Konsep Keamanan Informasi

Posted by : SkyMask Minggu, 15 September 2013

keamanan sebuah informasi merupakan suatu hal yang juga harus diperhatikan, karena jika sebuah informasi dapat di access oleh orang yang tidak berhak atau tidak bertanggung jawab, maka keakuratan informasi tersebut akan di ragukan, bahkan akan menjadi sebuah informasi yang menyesetkan.
sistem keamanan informasi (information security) memiliki empat tujuan yang sangat mendasar, yaitu :
1. Availability : Men+/j. cwamin pengguna yang valid selalu bisa mengakses informasi dan sumberdaya miliknya sendiri. untuk memastikan bahwa orang-orang yang memang berhak tidak ditolak untuk mengakses informasi yang memang menjadi haknya.

2. Confidentiality : Menjamin informasi yang dikirim tersebut tidak dapat dibuka dan tidak dapat diketahui orang yang tidak berhak. sehingga upaya orang-orang yang ingin mencuri informasi tersebut akan sia-sia.

3. Integrity : Menjamin konsistensi dan menjamin data tersebut sesuai dengan aslinya. sehingga upaya orang-orang yang berusaha merubah data itu akan ketahuan dan percuma.

4. Legitimate use : Menjamin kepastian bahwa sumberdaya tidak dapat digunakan orang yang tidak berhak.

pokok-pokok keamanan informasi

Pokok-pokok keamanan informasi mencakup topik yang sangat luas, tetapi dapat kita pilah menjadi dua area besar yaitu (1) keamanan informasi secara fisik dan (2) keamanan informasi secara logika, yang mana pada dasarnya terfokuskan pada dua hal yaitu (1) otentikasi dan (2) otorisasi.

Keamanan informasi secara fisik

Keamanan informasi secara fisik dapat diartikan sebagai upaya perlindungan terhadap sistem organisasi dari serangan secara fisik, yang meliputi semua elemen fisik sistem yaitu :

- melindungi mesin dimana aplikasi dijalankan;

- melindungi ruangan dimana mesin tersebut dioperasikan;

- melindungi gedung dimana mesin tersebut diinstal; dan

- melindungi daerah tempat dimana perusahaan berada.

Elemen-elemen fisik tersebut harus dijaga dan dilindungi dari segala macam gangguan dan ancaman yang mungkin dapat terjadi.

Keamanan informasi secara fisik juga termasuk mengamankan saluran komunikasi, baik komunikasi melalui kabel ataupun melalui gelombang (wireless). Jaringan komunikasi tersebut harus terlindung dari usaha penyadapan dan kerusakan, seperti misalnya terputusnya kabel atau lainnya.

Usaha-usaha perlindungan fisik sesungguhnya sangatlah kompleks, tulisan ini hanyalah garis besarnya saja.

Keamanan informasi secara logika

Keamanan informasi secara logika dihubungkan pada solusi masalah-masalah keamanan TI berupa arsitektur TI, aplikasi dan proses. Jaringan komunikasi harus dilindungi dengan baik tidak saja secara fisik namun juga secara logika. Sebab saat ini hampir semua organisasi dan individu terhubung ke jaringan umum internet.

Dengan terhubung ke internet maka sumberdaya di dalam komputer kita juga akan terhubung dan mungkin dapat diakses dari jauh. Karena itu sangat diperlukan perlindungan terhadap data/informasi yang penting dan sensitif yang dimiliki, agar tidak dapat diakses oleh pihak-pihak yang tidak berhak.

Perlindungan tersebut harus diterapkan di berbagai tingkatan keamanan. Dan perlindungan itu juga harus mencakup dari mulai mendesain aplikasi, membuat alur prosesnya hingga sistem penyimpanannya. Desain keamanan informasi pun perlu dibuat sedemikian rupa sehingga dapat menutup celah keamanan yang diketemukan.

Kebijakan dan regulasi keamanan informasi

Kebijakan, regulasi atau peraturan mengenai keamanan informasi perusahaan/organisasi sangatlah penting sebagai penuntun dalam seluruh operasional organisasi. Kebijakan tersebut dapat dibuat dengan mengacu pada standar yang sudah ada (ISO) atau membuat sendiri secara khusus disesuaikan dengan nafas organisasi.

Kebijakan keamanan informasi dapat mendefinisikan proses-proses yang terjadi pada area yang berbeda didalam organisasi. Serta berfokus pada keamanan antar proses, misalnya bagaimana meminta password baru, mengganti dll.

Otentikasi

Yang dimaksud otentikasi dalam TI adalah proses mengkonfirmasi keabsahan seseorang/sesuatu (user) tersebut benar sesuai dengan yang terdapat dalamdatabase. Kebijakan otentikasi ini akan dapat mengendalikan user terhadap penggunaan sumberdaya sistem dan untuk menghindari pemalsuan identitas.

Proses otentikasi meliputi pengumpulan informasi yang unik dari para user dan kemudian disimpan dalam sebuah database. Terdapat tiga mekanisme pengumpulan informasi untuk otentikasi yaitu (1) basis pengetahuan, seperti username danpassword; (2) basis kunci, seperti anak kunci (pintu), kunci algoritma sandi dansmartcard; (3) basis biometrik, seperti sidik jari, pola suara, dan DNA.

Dalam prakteknya mekanisme pengumpulan informasi untuk otentikasi ini sering dikombinasikan untuk mendapatkan hasil otentikasi yang lebih baik. Sebagai contoh sertifikat digital yang merupakan gabungan basis pengetahuan dengan kunci, atau voice password yang merupakan gabungan basis pengetahuan dengan biometrik.

- Username dan password adalah metode otentikasi yang paling terkenal. Useryang akan mengakses ke sistem diminta mengetikkan username dan passworduntuk dicocokkan dengan database sistem.

- Kunci (fisik) adalah sebuah objek yang dapat digunakan untuk membuktikan identitas pemegangnya. Biasanya terbuat dari logam untuk mengunci komputer atau dapat juga berupa sebuah peralatan hardware yang dihubungkan dengan komputer untuk mengaktifkan program aplikasi. Atau dapat juga berupa sebuahsmartcard.

- Otentikasi biometrik adalah penggunaan ciri-ciri fisik atau karakteristik tubuh sebagai sarana pencocokan identitas yang diterjemahkan kedalam sebuah nilai digital dan kemudian disimpan dalam sistem. Saat ini otentikasi biometrik telah semakin populer digunakan.

Otorisasi

Otorisasi adalah sebuah proses pengecekan kewenangan user dalam mengakses sumberdaya yang diminta. Terdapat dua metode dasar otorisasi yaitu (1) daftar pembatasan akses dan (2) daftar kemampuan.

- daftar pembatasan akses (access control list) umumnya berisi daftar usersdengan masing-masing tugasnya/kewenangannya terhadap sumberdaya sistem, misalnya use, read, write, execute, delete atau create. Secara spesifik merupakan aturan yang memberikan jenis kewenangan kepada users atas sumberdaya sistem.

- daftar kemampuan (capability list) hampir sama dengan daftar pembatasan akses, namun dengan pendekatan yang berbeda yaitu dengan penitik beratan pada tugas/kewenangan.

Pada kenyataannya daftar pembatasan akses lebih sering digunakan karena mengelola jenis otorisasi ini relatif lebih mudah.

Tugas/kewenangan masing-masing tingkat keamanan secara spesifik berbeda, mengakibatkan berbeda user berbeda pula tugas/kewenangan sehingga pembatasan akses selalu mengacu pada tugas/kewenangan yang menyertainya.

Komunikasi yang aman

Komunikasi yang aman dimaksudkan untuk melindungi data/informasi ketika sedang ditransmisikan dari upaya penyadapan, manipulasi atau perusakan. Teknik pengamanan data/informasi tersebut secara umum biasanya menggunakan teknik penyandian/kriptografi.

Komunikasi yang aman selalu berlandaskan kesaling pengertian (dalam otentikasi dan otorisasi) antara pengirim dan penerima yang biasa dikenal dengan istilahhandshake atau kontrak. Untuk membangun kesaling pengertian tersebut, maka diperlukan sebuah menejemen kunci dan manajemen keamanan informasi.

Keamanan informasi

Keamanan informasi adalah topik yang sangat luas dan kompleks, namun secara singkat keamanan informasi meliputi :

- Otentikasi / identifikasi

- Pembatasan akses

- Kerahasiaan / privasi

- Integritas data

- Dapat dipertanggung jawabkan / non-repudiation

- Konfigurasi / kebijakan

- Keterjaminan / pemantauan

Aspek keamanan sistem informasi

Authentication : agar penerima informasi dapat memastikan keaslian pesan tersebut datang dari orang yang dimintai informasi.
Integrity : keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam perjalanan informasi tersebut.
Authority : Informasi yang berada pada sistem jaringan tidak dapat dimodifikasi oleh pihak yang tidak berhak atas akses tersebut.
Confidentiality : merupakan usaha untuk menjaga informasi dari orang yang tidak berhak mengakses.
Privacy : merupakan lebih ke arah data-data yang sifatnya privat (pribadi).

Aspek ancaman keamanan komputer atau keamanan sistem informasi

Interruption : informasi dan data yang ada dalam sistem komputer dirusak dan dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.
Interception : Informasi yang ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer dimana informasi tersebut disimpan.
Modifikasi : orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut.
Fabrication : orang yang tidak berhak berhasil meniru suatu informasi yang ada sehingga orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.

Metodologi Keamanan Sistem Informasi

Keamanan level 0 : keamanan fisik, merupakan keamanan tahap awal dari komputer security. Jika keamanan fisik tidak terjaga dengan baik, maka data-data bahkan hardware komputer sendiri tidak dapat diamankan.

Keamanan level 1 : terdiri dari database, data security, keamanan dari PC itu sendiri, device, dan application. Contohnya : jika kita ingin database aman, maka kita harus memperhatikan dahulu apakah application yang dipakai untuk membuat desain database tersebut merupakan application yang sudah diakui keamanannya seperti oracle. Selain itu kita harus memperhatikan sisi lain yaitu data security. Data security adalah cara mendesain database tersebut. Device security adalah alat-alat apa yang dipakai supaya keamanan dari komputer terjaga. Computer security adalah keamanan fisik dari orang-orang yang tidak berhak mengakses komputer tempat datadase tersebut disimpan.
Keamanan level 2 : adalah network security. Komputer yang terhubung dengan jaringan sangat rawan dalam masalah keamanan, oleh karena itu keamanan level 2 harus dirancang supaya tidak terjadi kebocoran jaringan, akses ilegal yang dapat merusak keamanan data tersebut.
Keamanan level 3 : adalah information security. Keamanan informasi yang kadang kala tidak begitu dipedulikan oleh administrator seperti memberikan password ke teman, atau menuliskannya dikertas, maka bisa menjadi sesuatu yang fatal jika informasi tersebut diketahui oleh orang yang tidak bertanggung jawab.
Keamanan level 4 : merupakan keamanan secara keseluruhan dari komputer. Jika level 1-3 sudah dapat dikerjakan dengan baik maka otomatis keamanan untuk level 4 sud

Cara mendeteksi suatu serangan atau kebocoran sistem

Terdiri dari 4 faktor yang merupakan cara untuk mencegah terjadinya serangan atau kebocoran sistem :

Desain sistem : desain sistem yang baik tidak meninggalkan celah-celah yang memungkinkan terjadinya penyusupan setelah sistem tersebut siap dijalankan.

Aplikasi yang Dipakai : aplikasi yang dipakai sudah diperiksa dengan seksama untuk mengetahui apakah program yang akan dipakai dalam sistem tersebut dapat diakses tanpa harus melalui prosedur yang seharusnya dan apakah aplikasi sudah mendapatkan kepercayaan dari banyak orang.
Manajemen : pada dasarnya untuk membuat suatu sistem yang aman/terjamin tidak lepas dari bagaimana mengelola suatu sistem dengan baik. Dengan demikian persyaratan good practice standard seperti Standard Operating Procedure (SOP) haruslah diterapkan di samping memikirkan hal teknologinya.
Manusia (Administrator) : manusia adalah salah satu fakor yang sangat penting, tetapi sering kali dilupakan dalam pengembangan teknologi informasi dan dan sistem keamanan. Sebagai contoh, penggunaan password yang sulit menyebabkan pengguna malah menuliskannya pada kertas yang ditempelkan di dekat komputer. Oleh karena itu, penyusunan kebijakan keamanan faktor manusia dan budaya setempat haruslah sangat diperhatikan.

Langkah keamanan sistem informasi

Aset : Perlindungan aset merupakan hal yang penting dan merupakan langkah awal dari berbagai implementasi keamanan komputer. Contohnya: ketika mendesain sebuah website e-commerce yang perlu dipikirkan adalah keamanan konsumen. Konsumen merupakan aset yang penting, seperti pengamanan nama, alamat, ataupun nomor kartu kredit.
Analisis Resiko : adalah tentang identifikasi akan resiko yang mungkin terjadi, sebuah even yang potensial yang bisa mengakibatkan suatu sistem dirugikan.
Perlindungan : Kita dapat melindungi jaringan internet dengan pengaturan Internet Firewall yaitu suatu akses yang mengendalikan jaringan internet dan menempatkan web dan FTP server pada suatu server yang sudah dilindungi oleh firewall.
Alat : alat atau tool yang digunakan pada suatu komputer merupakan peran penting dalam hal keamanan karena tool yang digunakan harus benar-benar aman.
Prioritas : Jika keamanan jaringan merupakan suatu prioritas, maka suatu organisasi harus membayar harga baik dari segi material maupun non material. Suatu jaringan komputer pada tahap awal harus diamankan dengan firewall atau lainnya yang mendukung suatu sistem keamanan.

Strategi dan taktik keamanan sistem informasi

Keamanan fisik : lapisan yang sangat mendasar pada keamanan sistem informasi adalah keamanan fisik pada komputer. Siapa saja memiliki hak akses ke sistem. Jika hal itu tidak diperhatikan, akan terjadi hal-hal yang tidak dikehendaki.
Kunci Komputer : banyak case PC modern menyertakan atribut penguncian. Biasanya berupa soket pada bagian depan case yang memungkinkan kita memutar kunci yang disertakan ke posisi terkunsi atau tidak.
Keamanan BIOS : BIOS adalah software tingkat terendah yang mengonfigurasi atau memanipulasi hardware. Kita bisa menggunakan BIOS untuk mencegah orang lain me-reboot ulang komputer kita dan memanipulasi sisten komputer kita.
Mendeteksi Gangguan Keamanan Fisik : hal pertama yang harus diperhatikan adalah pada saat komputer akan di-reboot. Oleh karena Sistem Operasi yang kuat dan stabil, saat yang tepat bagi komputer untuk reboot adalah ketika kita meng-upgrade SO, menukar hardware dan sejenisnya.