Pretest
:
Untuk mengamankan sustu Sistem Informasi menurut anda apa saja yang perlu
dilindungi?
Aset
Sistem Informasi yang harus di lindungi melalui sistem keamanan dapat
diklasifikasikan
menjadi 2 yaitu :
1. Aset Fisik, meliputi :
a.
Personnel
b. Hardware
(termasuk media penyimpanan, dan periperalnya)
c.
Fasilitas
d.
Dokumentasi dan
e.
Supplies
2. Aset Logika
a. Data
/ Informasi dan
b.
Sofware (Sistem dan Aplikasi)
Pentingnya
keamanan sangat mempengaruhi untuk suatu
sistem informasi di era globalisasi pada sebuah organisasi atau perusahaan
untuk menjaga fasilitas terpenting
perusahaan. Pada dasarnya fasilitas dan asset perusahaan yang ingin dijaga
adalah berkaitan dengan lima komponen dasar sistem informasi yaitu perangkat
keras, perangkat lunak, pengguna, data dan prosedur.
Empat
karakteristik dasar yang dapat diketahui apabila perusahaan ingin menerapkan
solusi pengamanan sistem informasi di perusahaan :
1. Perusahaan yang bersangkutan harus memiliki
sebuah sistem komputerisasi yang harus dilindungi seperti misalnya mempunyai
komputer diperusahaannya, memiliki jaringan komputer ( local area network )
atau jaringan yang lebih luas lagi ataupun internet yang pada kenyataannya
digunakan untuk kegiatan bisnis perusahaan.
2. Perusahaan yang dimaksud harus memiliki
sebuah divisi teknologi informasi yang menangani berbagai kegiatan penunjang
untuk berbagai aplikasi bisnis perusahaan di bidang teknologi. Divisi teknologi
diperusahaan bisaanya disebut dengan EDP (Entry Data Processing ). Kejahatan
komputer dapat dilakukan dan berawal dari bagian ini , seperti dikatakan oleh
Thomas porter dalam bukunya “ Elektronik Data Processing ( EDP ) control and
auditing “ ( Porter ,1974 ), beliau mengatakan bahwa kejahatan yang berhubungan
dengan personal terutama dalam perusahaan dapat dikategorikan dalam komputer
abuse ( penyalahgunaan komputer ) , computer crime ( kejahatan komputer ) dan
computer related crime ( kejahatan yang berhubungan dengan komputer ).
3. Mempunyai data, informasi dan sistem jaringan
yang berharga yang layak untuk di jaga, dan dapat menyebabkan kerugian yang
besar apabila data, informasi dan sistem jaringan tersebut dapat keluar dari
perusahaan atau dapat menyebabkan perusahaan tidak dapat beroperasi.
Karakteristik ini sangat berhubungan dengan materi risk manajemen. Pihak
peruhaan dapat menghitung kerugian material ataupun non material yang
disebabkan kejahatan dari sisi teknologi ini sehingga dapat diketahui apakah
sudah layak mereka mengimplementasikan pengamanan sistem informasi dalam setiap
kegiatan bisnis mereka.
4. Karakteristik berikutnya adalah perusahaan
yang bersangkutan belum mempunyai kebijakan mengenai tata kelola teknologi
informasi terutama yang berkaitan dengan kebijakan tentang pengelolaan keamanan
sistem informasi (Information technology security policy). Atau mereka sudah
menerapkan beberapa prosedur kebijakan tentang keamanan sistem informasi namun
belum mengikuti standarisasi dari beberapa organisasi standar yang ada ( akan
dipelajari lebih lanjut pada bab selanjutnya ).
Empat
tipe keamanan komputer berdasarkan lubang keamanannya menurut David Icove :
1. Keamanan yang bersifat fisik ( physical
security )
Termasuk
akses orang ke gedung, peralatan, atau media yang digunakan. Beberapa contoh
kejahatan jenis ini adalah sebagai berikut :
a.
Berkas-berkas dokumen yang telah dibuang ke tempat sampah yang mungkin memuat
informasi password dan username.
b.
Pencurian komputer dan laptop
c.
Serangan yang disebut dengan DDos Attack / denial of service
d.
Pemutusan jalur listrik sehingga tidak berfungsi secara fisik.
e.
Pembajakan pesawat pada saat tragedy world trade centre.
2. Keamanan yang berhubungan dengan orang (
personal security ).
Tipe
keamanan jenis ini termasuk kepada identifikasi, profile resiko dari pekerja di
sebuah perusahaan. Dalam dunia keamanan informasi salah satu factor terlemah
adalah dari tipe jenis ini. Hal ini disebabkan manusia bukanlah mesin sehingga
kadangkala pekerjaannya tidak terstruktur dan dapat di kelabui. Kejahatan jenis
ini sering menggunakan metode yang disebut dengan social engineering .
3. Keamanan dari data dan media serta teknik
komunikasi (Communication security).
Tipe
keamanan jenis ini banyak menggunakan kelemahan yang ada pada perangkat lunak,
baik perangkat lunak aplikasi ataupun perangkat lunak yang diugunakan dalam
mengelola sebuah database.
4. Keamanan dalam operasi ( management
security )
Kebijakan
atau policy adalah hal terpenting yang harus di perhatikan sebuah perusahaan
dalam memelihara asset teknologi dan bisnis mereka apabila ingin aman dari
serangan hacker. Kebijakan digunakan untuk mengelola sistem keamanan , prosedur
sebelum maupun setelah serangan terjadi, mempelajari manajemen resiko seperti
dampak dan akibat dari sebuah serangan.Banyak perusahaan terutama di Indonesia
tidak memiliki standard prosedur bagi keamanan sistem informasi. Untuk itu
beberapa bagian dari buku ini akan banyak membahas tentang implementasi dari
standard pelaksanaan keamanan sistem informasi bagi perusahaan yang diambil
dari ISO 27001.
Analisi Resiko: adalah tentang identifikasi akan
resiko yang mungkin terjadi, sebuah even yang potensial yang bisa mengakibatkan
suatu sistem dirugikan.
Perlindungan: Kita dapat melindungi jaringan
internet dengan pengaturan Internet Firewall yaitu suatu akses yang
mengendalikan jaringan internet dan menempatkan web dan FTP server pada suatu
server yang sudah dilindungi oleh firewall.
Alat: alat atau tool yang digunakan pada suatu
komputer merupakan peran penting dalam hal keamanan karena tool yang digunakan
harus benar-benar aman.
Prioritas: Jika keamanan jaringan merupakan suatu
prioritas, maka suatu organisasi harus membayar harga baik dari segi material
maupun non material. Suatu jaringan komputer pada tahap awal harus diamankan
dengan firewall atau lainnya yang mendukung suatu sistem keamanan.
makasih kang
BalasHapus