Archive for September, 2007
Sistem Keamanan
Keamanan dan management perusahaan
Seringkali sulit untuk membujuk management perusahaan atau pemilik
sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun
1997 majalah Information Week melakukan survey terhadap 1271 system
atau network manager di Amerika Serikat. Hanya 22% yang menganggap
keamanan sistem informasi sebagai komponen sangat penting (“extremely
important”). Mereka lebih mementingkan “reducing cost” dan “improving
competitiveness” meskipun perbaikan sistem informasi setelah dirusak
justru dapat menelan biaya yang lebih banyak.
Keamanan itu tidak dapat muncul demikian saja. Dia harus direncanakan.
Ambil contoh berikut. Jika kita membangun sebuah rumah, maka pintu
rumah kita harus dilengkapi dengan kunci pintu. Jika kita terlupa
memasukkan kunci pintu pada budget perencanaan rumah, maka kita akan
dikagetkan bahwa ternyata harus keluar dana untuk menjaga keamanan.
Kalau rumah kita hanya memiliki satu atau dua pintu, mungkin dampak dari
budget tidak seberapa. Bayangkan bila kita mendesain sebuah hotel dengan
200 kamar dan lupa membudgetkan kunci pintu. Dampaknya sangat besar.
Demikian pula di sisi pengamanan sebuah sistem informasi. Jika tidak kita
budgetkan di awal, kita akan dikagetkan dengan kebutuhan akan adanya
perangkat pengamanan (firewall, Intrusion Detection System, anti virus,
Dissaster Recovery Center, dan seterusnya).
Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur
dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya
dapat diukur dengan besaran yang dapat diukur dengan uang (tangible).
Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management
dapat mengerti pentingnya investasi di bidang keamanan. Berikut ini adalah
berapa contoh kegiatan yang dapat anda lakukan:
• Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1
jam, selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan,
bayangkan jika server Amazon.com tidak dapat diakses selama beberapa
hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)
• Hitung kerugian apabila ada kesalahan informasi (data) pada sistem
informasi anda. Misalnya web site anda mengumumkan harga sebuah
barang yang berbeda dengan harga yang ada di toko anda.
• Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian
yang diderita apabila daftar pelanggan dan invoice hilang dari sistem
anda. Berapa biaya yang dibutuhkan untuk rekonstruksi data.
• Apakah nama baik perusahaan anda merupakan sebuah hal yang harus
dilindungi? Bayangkan bila sebuah bank terkenal dengan rentannya
pengamanan data-datanya, bolak-balik terjadi security incidents.
Tentunya banyak nasabah yang pindah ke bank lain karena takut akan
keamanan uangnya.
Pengelolaan terhadap keamanan dapat dilihat dari sisi pengelolaan resiko
(risk management). Lawrie Brown dalam [3] menyarankan menggunakan
“Risk Management Model” untuk menghadapi ancaman (managing
threats). Ada tiga komponen yang memberikan kontribusi kepada Risk,
yaitu Asset, Vulnerabilities, dan Threats.
Nama komponen Contoh dan keterangan lebih lanjut
Assets • hardware
(aset) • software
• dokumentasi
• data
• komunikasi
• lingkungan
• manusia
Threats • pemakai (users)
(ancaman) • teroris
• kecelakaan (accidents)
• crackers
• penjahat kriminal
• nasib (acts of God)
• intel luar negeri (foreign intelligence)
Vulnerabilities • software bugs
(kelemahan) • hardware bugs
• radiasi (dari layar, transmisi)
• tapping, crosstalk
• unauthorized users
• cetakan, hardcopy atau print out
• keteledoran (oversight)
• cracker via telepon
• storage media
Untuk menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut
“countermeasures” yang dapat berupa:
• usaha untuk mengurangi Threat
• usaha untuk mengurangi Vulnerability
• usaha untuk mengurangi impak (impact)
• mendeteksi kejadian yang tidak bersahabat (hostile event)
• kembali (recover) dari kejadian
(Budi Raharjo)
Add comment September 20, 2007
Keamanan Sistem Informasi Berbasis Internet
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem
informasi. Sayang sekali masalah keamanan ini sering kali kurang
mendapat perhatian dari para pemilik dan pengelola sistem informasi.
Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan
terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu
performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.
Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah
“information-based society”. Kemampuan untuk mengakses dan
menyediakan informasi secara cepat dan akurat menjadi sangat esensial
bagi sebuah organisasi, baik yang berupa organisasi komersial
(perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual
(pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang
teknologi komputer dan telekomunikasi.
Sangat pentingnya nilai sebuah informasi menyebabkan seringkali
informasi diinginkan hanya boleh diakses oleh orang-orang tertentu.
Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis)
dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh,
banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan
diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti
misalnya informasi tentang produk yang sedang dalam development,
algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan
produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan
harus terjamin dalam batas yang dapat diterima.
Jaringan komputer, seperti LAN1 dan Internet, memungkinkan untuk
menyediakan informasi secara cepat. Ini salah satu alasan perusahaan atau
organisasi mulai berbondong-bondong membuat LAN untuk sistem
informasinya dan menghubungkan LAN tersebut ke Internet.
Terhubungnya LAN atau komputer ke Internet membuka potensi adanya
lubang keamanan (security hole) yang tadinya bisa ditutupi dengan
mekanisme keamanan secara fisik. Ini sesuai dengan pendapat bahwa
kemudahan (kenyamanan) mengakses informasi berbanding terbalik
dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi
tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses
informasi.
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat
mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya
penipuan di sebuah sistem yang berbasis informasi, dimana informasinya
sendiri tidak memiliki arti fisik.
Add comment September 20, 2007
Sistem Keamanan
Evaluasi Keamanan
SistemInformasi
- Monitoring Keamanan
- Ditemukannya lubang keamanan (security hole) yangbaru.
- Kesalahan konfigurasi. Kadang-kadang karena lalai atau alpa, konfigurasi sebuah sistem kurang benar sehingga menimbulkan lubang keamanan.
- Penambahan perangkat baru (hardware dan/atau software) yang menyebabkan menurunnya tingkat security atau berubahnya metoda untuk mengoperasikan sistem. Operator dan administrator harus belajar lagi. Dalammasa belajar ini banyak hal yang jauh dari sempurna, misalnya server atau software masih menggunakan konfigurasi awal dari vendor (dengan password yang sama).
Sumber lubang keamanan
- Salah Disain
- Implementasi kurang baik
- Salah konfigurasi
- Salah menggunakan program atau sistem Penguji keamanan sistem
- Menggunakan software/tools yang sesuai dengan SistemOperasi
- Probing Services
- Penggunaan program penyerang
- Penggunaan sistem pemantau jaringan
Add comment September 20, 2007
