Keamanan Informasi

Nama Kelompok :

Deni Setiawan            (51414009)

Eka Rizky Wahyuni (51414014)

Elsa Vidyana D         (51414016)

1.      Topik               : Keamanan Informasi

2.      Rangkuman     :

A.    KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN

            Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari ancaman baik dari dalam atau dari luar. Sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang viaetnam ketika sejumlah instalasi keamanan komputer dirusak pemrotes.

B.     KEAMANAN INFORMASI

            Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada perlindunga peranti keras data maka istilah keamanan sistem digunakan. Istilah keamanan sistem digunakan untuk mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.

ü  Tujuan Keamanan Informasi

1.      Kerahasiaan.

2.      Ketersediaan.

3. Integritas.

ü  Manajemen Keamanan informasi

            Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management – ISM ), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity management – BCM).

C.    MANAJEMEN KEAMANAN INFORMASI

Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap yakni:

a.       Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan

b.      Mendefenisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut

c.       Menentukan kebijakan keamanan informasi

d.      Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.

D.    ANCAMAN

ü  Ancaman Internal dan Eksternal

            Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan sistem tersebut.

ü  Tindakan Kecelakaan dan disengaja

Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh orang-orang di dalam ataupun diluar perusahaan. sama halnya

E.     JENIS- JENIS ANCAMAN

1.      Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain.

2.      Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat menyebarkan salinannya melalui e-mail.

3.      Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan sebagai perangkat.

4.       Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu.

5.      Spyware. Program yang mengumpulkan data dari mesin pengguna.

F.     RISIKO

            Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi.

1.      Pengungkapan Informsi yang tidak terotoritasis dan pencurian.

2. Penggunaan yang tidak terotorisasi
3. Penghancuran yang tidak terotorisasi dan penolakan layanan
4. Modifikasi yang terotorisasi.

G.    PERSOALAN E-COMMERCE

            E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit.

ü  Kartu Kredit “Sekali pakai”

            Saat pemegang kartu ingin membeli sesuatu seccar online, ia akan memperleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelannggan tersebut, yang diberikan kepada pedadang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.

ü  Praktik keamanan yang diwajibkan oleh Visa

            Visa mengumumkan 10 pratik terkait keamanan yang diharapkan perusahaan ini untuk diikuti oleh peritelnya. Peritel harus :

1.      Memasang dan memelihara firewall

2.      Memperbaharui keamanan

3.      Melakukan enkripsi data yang disimpan

4.      Melakukan enkripsi pada data ynag dikirm

5.      Menggunakan dan memperbaharui peranti  lunak anti virus

6.      Membatasi akses data kepada orang-orang yang ingin tahu

7.       Memberikan id unik kepada setiap orang yang memiliki kemudahan mengakses data

8.      Memantau akses data dengan id unik

9.      Tidak menggunakan kata sandi default yang disediakan oleh vendor

10.  Secara teratur menguji sistem keamanan

            Visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang berhubungan dengan e-commerce:

1.      Menyaring karyawan yang memiliki akses terhadap data

2.      Tidak meninggalkan data atau komputer dalam keadaan tidak aman

3.      Menghancurkan data jika tidak dibutuhkan lagi

H.    MANAJEMEN RISIKO (MANAGEMENT RISK)

Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :

1.      Identifikasi aset-aset bisnis yang harus dilindungi dari risiko

2.      Menyadari risikonya

3.      Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi

4.      Menganalisis kelemahan perusahaan tersebut

I.       KEBIJAKAN KEAMANAN INFORMASI

Kebijakan Keamanan yang Terpisah dikembangkan untuk

a.       Keamanan Sistem Informasi

b.      Pengendalian Akses Sistem

c.       Keamanan Personel

d.      Keamanan Lingkungan Fisik

e.       Keamanan Komunikasi data

f.       Klasifikasi Informasi

g.      Perencanaan Kelangsungan Usaha

h.      Akuntabilitas Manajemen

J.      PENGENDALIAN

Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu :

K.    PENGENDALIAN TEKNIS

Pengendalian teknis (technical control)  adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para penyusun system selam masa siklus penyusunan system.

1.      Pengendalian Akses

 Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup:

a)      Identifikasi pengguna.

b)      Autentifikasi pengguna.

c)      Otorisasi pengguna

2.      System Deteksi Gangguan

Logika dasar dari system deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna.

3.      Firewall

Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data ked an dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman untuk semua komputer pada jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing computer. Ada tiga jenis firewall, yaitu:

a)      Firewall Penyaring Paket.

b)      Firewall Tingkat Sirkuit.

c)      Firewall Tingkat Aplikasi.

4.      Pengendalian Kriptografis

Popularitas kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan untuk meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah SET (Secure Electronic Transactions), yang ,melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang dapat berpartisispasi dalam transaksi e-commerce – pelanggan, penjual, dan institusi keuangan. Dua tanda tangan biasanya digunakan menggantikan nomor kartu kredit.

5.      Pengendalian Fisik

Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir, dan badai.

6.      Meletakkan Pengendalian Teknis Pada Tempatnya

Anda dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak semuanya dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Perusahaan biasanya memilih dari daftar ini dan menerapkan kombinasi yang dianggap menawarkan pengaman yang paling realisitis.

L.     PENGENDALIAN FORMAL

Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku yang berbeda dari panduan yang berlaku.

M.   PENGENDALIAN INFORMAL

Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen.

N.    MENCAPAI TINGAKAT PENGENDALIAN YANG TEPAT

Ketiga jenis pengendalian – teknis, formal, dan informal – mengharuskan biaya. Karena bukanlah merupakan praktik bisnis yang baik untuk mengahabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkat yang sesuai.

O.    DUKUNGAN PEMERINTAH DAN INDUSTRI

Beberapa organisasi pemerintahan dan internasional telah menentukan standar-standar yang ditujukan untuk menjadi panduan organisasi yang ingin mendapatkan keamanan informasi. Berikut ini adalah beberapa contohnya :

·         BS7799 Milik Inggris

·         BSI IT Baseline Protection Manual

·         COBIT

·         GASSP (Generally Accepted System Security Principles)

·         ISF Standard of Good Practice

P.     PERATURAN PEMERINTAH

·         Standar Keamanan Komputer Pemerintah Amerika Serikat

·         Undang-undang Anti Terorisme, Kejahatan, dan Keamanan Inggris ( ATCSA) 2001

Q.    STANDAR INDUSTRI

The Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para mengguna computer guna membuat system mereka lebih aman. Bantuan diberikan melalui dua produk – CIS Benchmark dan CIS Scoring Tools.

R.    SERTIFIKASI PROFESIONAL

·         Asosiasi Audit Sistem dan Pengendalian

·         Konsersium Sertifikasi Keamanan Sistem Informasi Internasional

·         Institute SANS

S.      MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA TEMPATNYA

            Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian yang didasarkan atas identifikasi ancaman dan risiko ataupun atas panduan yang diberikan oleh pemerintah atau asosiasi industri. Perusahaan harus mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal yang diharapkan untuk menawarkan tinngkat keamanan yang diinginkan pada batasan biaya yang ditentukan dan sesuai dengan pertimbangan lain yang membuat perusahaan dan sistemnya mamapu berfungsi secara efektif.

T.     MANAJEMEN KEBERLANGSUNGAN BISNIS

            Manajemen keberlangsungan bisnis (bussines continuity management – BCM) adalah aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguang sistem informasi.

1.      Rencana darurat (Emergency plan). Rencana darurat menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara ini mencakup sistem alarm, prosedur evakuasi dan sistem pemadaman api.

2.      Rencana cadangan.

1. Redudansi. Peranti keras, peranti lunak dan data di duplikasikan sehingga jika satu set tidak dapat dioperasikan, set cadangannya dapat meneruskan proses.
2. Keberagaman. Sumber daya informasi tidak dipasang pada tempat yang sama, komputer dibuat terpisah untuk wilayah operasi yang berbeda-beda.
3. Mobilitas. Perusahaan dapat membuat perjanjian dengan para pengguna peralatan yang sama sehingga masing-masing perusahan dapat menyediakan cadangan kepada yang lain jika terjadi bencana besar.

3.      Rencana catatan penting. Catatan penting (vital records) perusahaan adalah dokumen kertas, microform dan media penyimpanan optimis dan magnetis yang penting untuk meneruskan bisnis perusahaan tersebut. Rencana catatan penting (vital records plan) menentukan cara bagaimna catatan penting tersebut harus dilindungi.

U.    MELETAKKAN MANAJEMEN KEBERLANGSUNGAN BISNIS PADA TEMPATNYA

            Manajemen keberlangsungan bisnis merupakan salah satu bidang pengunaan komputer dimana kita dapat melihat perkembangan besar. Banyak upaya telah dilaksanakan untuk mengembangkan perencanaan kontijensi, dan banyak informasi serta bantuan telah tersedia. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke dalam kebutuhan khususnya. Sistem komputer TAMP memasarakan sistem pemulihan bencana (disaster recovery system – DRS) yang mencakup sistem manajemen basis dasa, instruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan.

3.Tanya Jawab:

1. Terdapat 4 risiko yang sudah dijlaskan, lalu bagaimana cara menanggulangi risiko yang ada tersebut ?

Jawab :

Di dalam perusahaan yaitu bagian manajemen keamanan informasi selalu ada seorang CIAO yang merupakan direktur keamanan informasi yang bertugas untuk menjaga sistem informasi perusahaan agar tetap aman selain itu CIAO beserta unit lain harus siap mengahadpi atau menanggulangi risiko yang akan diterima oleh perusahaan. Selain itu tujuan dari kemanan informasi adalah integritas, kerahasiaan dan ketersediaan, dengan adanya hal tersebut maka risiko apapun akan bisa diatasi dan bisa terselesaikan deng CIAO yang dah ditetapkan oleh perusahan.

2. Apa perbedaan dari keamanan informasi dengan keamanan system ?

Keamanan sistem meliputi perlindungan peranti keras dan data, sedangkan kemanan informasi digunakan untuk  mendeskripsikan perlindungan peralatan computer maupun nonkomputer, fasilitas, data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.

3. Apa kelebihan dari pengendalian kriptografis ?

Kelebihan dari kriptogafis yaitu data dan informasi dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan, jika seseorangyang tidak memiliki otorisasi memperoleh akses, enskripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa. Selain itu kelebihan dari kriptografis yaitu dalam pengendalian ini menggunakan kode yang melalui proses matematika, jadi untuk kerahasiaan ataupun keamanan kriptografis lebih baik dari yang lain.

4. Bagaimana cara mengatasi IP Spoofing ?

Memasang filter di router dengan memanfaatkan ingress dan engress filtering pada router merupakan langkah pertama dalam mempertahankan diri dari spoofing. Selain itu juga dapat memanfaatkan ACL (acces control list) untuk memblok alamat IP privat dalam jaringan untuk downstream. Selain itu cara lain yaitu dengan manambahkan bug pada system keamanan, karena dengan adanya bug sebanyak apapun hacker yang akan mengambil data maka akan terakses atau tersaring deng bug tersebut.

4. Rangkuman           :

Banyak perusahaan mencari keamanan sistem informasi yng tidak menghambat ketersediaan informasi bagi pihak-pihak yang memiliki otorisasi. Keamanan sistem digunakan untuk mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management – ISM ). Terdapat tiga tujuan keamanan informasi adalah kerahasiaan, ketersediaan, dan integrasi. Manajemen risiko melibatkan identifikasi ancaman, pendefinisian risiko, penetapan kebijakan keamanan informasi, dan penerapan pengendalian. Manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya.

            Ancaman Keamanan Informasi (Information Security Threat) merupakan orang, organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja. Risiko adalah tindakan yang tidak terotorisasi yang dilakukan oleh ancaman. Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit. Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu : teknis, formal dan informal.

            Banyak hal yang telah dicapai di wilayah standar keamanan baik pemerintah atau asosiasi industri telah mengeluarkan standar dalam menentukan ap saja yang harus dimasukkan ke dalam program keamanan. Pemerintah telah mengeluarkan undang-undang yang mengharuskan suatu standar diikui atau membuat perusahaan mampu menyediakan informasi mengenai ancaman potensi. Saat ini telah tersedia berbagai pilihan bagi perusahaan yang berniat untuk meningkatkan keamanan informasinya