Rangkuman Week 5 : Keamanan Informasi
Oleh : Ernestine Jessica Siahaan-21S18015
Keamanan adalah suatu usaha untuk menghindari timbulnya atau adanya ancaman kejahatan yang akan mengganggu. Keamanan merupakan satu hal yang selalu diusahakan untuk diperoleh oleh semua orang, untuk dirinya, harta-bendanya, dan juga untuk orang-orang yang berada di sekitarnya.
Keamanan informasi merupakan perlindungan informasi dari berbagai ancaman agar menjamin kelanjutan proses bisnis, mengurangi risiko bisnis, dan meningkatkan return of investment (ROI) serta peluang bisnis (Chaeikar, etc., 2012).
Ada tiga hal yang perlu diperhatikan dalam keamanan informasi yaitu:
1. Confidentiality (kerahasiaan) : Hal ini menjamin bahwa data atau informasi hanya diakses oleh orang yang berwenang saja .
2. Integrity (integritas) : Hal ini menjamin bahwa data atau informasi dikirim dengan akurat dan secara lengkap, tanpa ada perubahan apapun didalamnya.
3. Availability (ketersediaan) : Data atau informasi tersedia pada saat dibutuhkan.
Menurut Reiner dan Prince (2017) ada beberapa pengertian terkait Keamanan Informasi yaitu :
* Keamanan Informasi adalah semua proses dan kebijakan yang dirancang untuk melindungi sistem informasi dan informasi (IS) organisasi dari akses, penggunaan, pengungkapan, gangguan, modifikasi, atau penghancuran yang tidak sah.
* Keamanan tingkat perlindungan terhadap kegiatan kriminal, bahaya, kerusakan, dan atau kerugian.
* Ancaman (ke sumber informasi) bahaya apa pun yang dapat menyebabkan sistem terpapar.
* Paparan adalah bahaya, kerugian, atau kerusakan yang dapat terjadi jika ancaman mengganggu sumber informasi.
* Kerentanan (dari suatu sumber informasi) adalah kemungkinan bahwa sistem akan dirugikan oleh suatu ancaman.
Keamanan secara umum dapat diartikan sebagai ‘quality or state of being secure-to be free from danger’. Contoh tinjauan keamanan informasi sebagai berikut:
* Physical Security, strategi yang memfokuskan untuk mengamankan anggota organisasi, aset fisik, akses tanpa otorisasi dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran.
* Personal Security, strategi yang lebih memfokuskan untuk melindungi orang-orang dalam organisasi.
* Operation Security, strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan ancaman.
* Communications Security, strategi yang bertujuan untuk mengamankan media informasi dan teknologi informasi.
* Network Security, strategi yang memfokuskan pengamanan peralatan jaringan pada data organisasi.
Menurut Reiner dan Prince (2017) terdapat Lima faktor yang berkontribusi pada kerentanan dari suatu sumber informasi yaitu :
· Jaringan yang saling terhubung, saling berkaitan, dan nirkabel pada lingkungan bisnis
Teknologi nirkabel memungkinkan karyawan untuk menghitung, berkomunikasi, dan mengakses internet dimanapun dan kapanpun. Secara signifikan, nirkabel pada dasarnya tidak aman untuk dijadikan sebagai media komunikasi siaran.
Contohnya, data dari akun Tokopedia yang pernah diretas karena memiliki keterhubungan
dan saling berkaitan di satu koneksi yang sama (world wide web), sehingga memiliki kerentanan untuk diretas.
· Komputer dan alat penyimpan data yang lebih kecil, lebih cepat, dan lebih murah
Kemajuan teknologi saat ini memungkinkan revolusi hardware secara signifikan. Hardware tersebut harus mengikuti kemampuan dan demand pasar yang ingin kepraktisan, dan kemudahan. Tetapi, kepraktisan dan kemudahan ini memberikan paparan yang tinggi terhadap kerentanan kejahatan informasi.
Contohnya, handphne yang berukuran kecil yang memiliki kapasitas penyimpanan yang besar. Smartphone ini juga memiliki harga yang cenderung terjangkau dibandingkan harga komputer atau laptop. Tetapi, smartphone tersebut memiliki kerentanan yang tinggi terhadap kejahatan informasi, pencurian, dan peretasan data karena bentuknya yang kecil dan pengamanan yang kurang mumpuni peretasan data karena bentuknya yang kecil dan pengamanan yang kurang mumpuni
· Penurunan tuntutan kemampuan untuk meretas sebuah komputer
Internet berisi informasi dan program computer yang disebut script. Pengguna dengan sedikit keahlian dapat mengunduh dan menggunakannya untuk menyerang sistem informasi apa pun yang terhubung ke internet. Pakar keamanan juga dapat menggunakan script ini untuk tujuan yang sah, seperti menguji keamanan berbagai sistem.
Contohnya, Seorang mahasiswa fakultas Ekonomi memiliki ketertarikan untuk mempelajari sistem komputer. Pada saat UTS , nilainya keluar di luar ekspektasi. Ia bersiasat untuk meretas sistem komputer kampusnya untuk menaikkan nilainya sendiri.
· Pelaku kejahatan komputer internasional melakukan kejahatan komputer
Kejahatan terorganisir internasional mengambil alih kejahatan dunia maya. Cybercrime mengacu pada aktivitas ilegal yang dilakukan melalui jaringan komputer, khususnya Internet
Contohnya, Salah satu contoh kejahatan cyber crime yang paling sering terjadi adalah pengkloningan akun facebook milik seseorang. Tindakan ini marak terjadi kepada para public figur atau tokoh terkenal yang memiliki banyak pengikut. Dengan banyaknya atensi yang diterima oleh akun kloningan, pemalsu biasanya akan semakin cepat mendapat korban. Cyber crime model ini biasanya meminta bayaran uang dengan cara transfer ke rekening tertentu. Jadi, jangan mudah percaya jika Anda dihubungi seseorang yang mengaku sedang membutuhkan bantuan.
· Kurangnya dukungan manajemen
Manajemen yang kurang menganggap serius dan kurang paham tentang peretasan atau kejahatan informasi dapat meningkatkan kerentanan kejahatan sumber informasi.
Contohnya, di kantor A tidak ada sosialisasi tentang keamanan informasi. Vani bekerja sebagai sales, tidak sengaja menekan link di dalam e-mail dari sumber yang tidak diketahui. Link tersebut ternyata merupakan sebuah virus yang meretas seluruh informasi dari komputer-komputer kantor A . Jika tadinya pihak manajer melakukan sosialisasi terhadap kerentanan sumber informasi, kemungkinan hal ini untuk terjadi dapat ditekan.
Kesalahan manusia (Human Errors) juga berkontribusi besar terhadap kerentanan sumber informasi. Kesalahan manusia yang umum terkait hal ini berdasarkan Reiner dan Prince adalah:
1. Kecerobohan dengan Laptop : Kehilangan laptop. Seperti meninggalkannya di dalam taksi, dan sebagainya.
2. Kecerobohan dengan perangkat komputasi : Perangkat ini hilang atau hilang, atau digunakan secara sembarangan sehingga malware masuk ke dalam jaringan organisasi.
3. Membuka email yang meragukan : Membuka email dari seseorang yang tidak dikenal, atau mengklik link yang disematkan di email.
4. Penjelajahan Internet yang ceroboh : Mengakses situs Web yang meragukan; dapat menyebabkan perangkat lunak perusak dan/atau orang lain dimasukkan ke dalam jaringan organisasi.
5. Pemilihan dan penggunaan kata sandi yang buruk : Memilih dan menggunakan kata sandi yang lemah dan mudah ditebak oleh orang lain atau peretas.
6. Kecerobohan dengan kantor seseorang : Meja tidak terkunci dan lemari terbuka saat karyawan pulang pada malam hari; tidak keluar dari jaringan perusahaan saat tidak lagi beroperasi untuk jangka waktu yang lama.
7. Kecerobohan dalam menggunakan perangkat yang tidak dikelola Perangkat yang tidak dikelola adalah yang berada di luar kendali departemen TI organisasi dan prosedur keamanan perusahaan. Perangkat tersebut antara lain komputer milik pelanggan dan mitra bisnis, komputer di pusat bisnis hotel, dan komputer di Starbucks, Roti Panera, dan sebagainya.
8. Kecerobohan dengan peralatan yang dibuang : Membuang perangkat keras dan perangkat computer lama tanpa sepenuhnya menghapus memori; termasuk komputer, smartphone, serta mesin fotokopi dan printer digital.
9. Pemantauan bahaya lingkungan yang ceroboh : Bahaya ini, yang meliputi kotoran, debu, kelembaban, dan listrik statis, berbahaya bagi pengoperasian peralatan komputasi sekarang.
Selain itu ada juga Social Engineering, yaitu serangan di mana pelakunya menggunakan keterampilan sosial untuk mengelabui atau memanipulasi karyawan untuk memberikan informasi rahasia perusahaan seperti kata sandi.
Contoh social engineering yang sering terjadi adalah :
1. tailgating (Pelaku tailgating biasanya akan berpura-pura menjadi kurir pengirim barang dan menunggu di luar gedung)
2. shoulder surfing (seorang hacker dalam mengamati tingkah laku korbannya, bisa menggunakan teropong dua lensa, memasang kamera-kamera mini dan diletakkan dalam plafon atau langit-langit, dinding sebagai peralatan untuk mengamati entri data)
3. phishing ( penipuan melalui email, situs web, dan pesan teks untuk mencuri informasi)
4. Malware (Perangkat lunak korban akan dikirim malware dan memaksa korban untuk membayar/ perangkat pemeras)
Menurut Reiner dan Prince (2017), terdapat 10 ancaman yang disengaja terhadap sebuah sistem informasi:
ㆍSpionase atau pelanggaran
Spionase atau pelanggaran terjadi ketika individu yang tidak berwenang mencoba untuk mendapatkan akses illegal ke sistem informasi organisasi. Terdapat perbedaan antara intelijen kompetitif dan spionase industry. Intelijen kompetitif terdiri dari teknik pengumpulan informasi hukum seperti mempelajari situs web perusahaan dan siaran pers, menghadiri pameran dagang, dan tindakan serupa. Sebaliknya spionase industry melintasi batasan hukum.
ㆍPemerasan informasi
Pemerasan informasi terjadi ketika penyerang mengancam untuk mencuri atau benar-benar mencuri informasi dari perusahaan. Pelaku menuntut bayaran agar tidak mencuri informasi, untuk mengembalikan informasi yang dicuri, atau untuk menyetujui untuk tidak mengungkapkan informasi tersebut.
ㆍSabotase atau vandalisme
Sabotase dan vandalisme adalah tindakan sengaja yang melibatkan perusakan situs web organisasi, berpotensi merusak citra organisasi dan menyebabkan pelanggan kehilangan kepercayaan. Satu bentuk vandalisme online adalah operasi hactivist atau cyberactivist. Ini adalah kasus teknologi tinggi pembangkangan sipil untuk memprotes operasi, kebijakan, atau tindakan organisasi atau lembaga pemerintah.
ㆍPencurian peralatan atau informasi
Perangkat komputasi dan perangkat penyimpanan menjadi lebih kecil namun lebih bertenaga dengan cepat dengan penyimpanan yang ditingkatkan (misalnya laptop, asisten digital probadi, ponsel cerdas, kamera digital, iPod). Hasilnya, perangkat ini menjadi lebih mudah untuk dicuri dan lebih mudah bagi penyerang untuk mencuri informasi. Salah satu bentuk pencurian, yang dikenal sebagai dumpster diving adalah mengobrak-abrik iklan atau tempat sampah untuk menemukan informasi yang dibuang. File kertas, surat,memo, foto, ID, kata sandi, kartu kredit, dan bentuk informasi lainnya dapat ditemukan di tempat sampah.
ㆍPencurian identitas
Pencurian identitas adalah asumsi identitas orang lain yang disengaja, biasanya untuk mendapatkan akses ke informasi keuangannya tau untuk menjebaknya atas kejahatan. Teknik secara illegal memperoleh informasi pribadi termasuk sebagai berikut:
- Mencuri surat atau dumpster diving
- Mencuri informasi pribadi di database komputer
- Menembus organisasi yang menyimpan informasi pribadi dalam jumlah besar (misalnya aggregator data seperti Acxiom)
- Meniru organisasi terpercaya dalam komunikasi elektronik (phisisng) Memulihkan dari pencurian identitas memakan biaya, waktu, dan memberatkan.
ㆍKompromi terhadap kekayaan intelektual
Melindungi kekayaan intelektual adalah masalah penting bagi orang-orang yang mata pencahariannya di bidang pengetahuan. Kekayaan intelektual adalah kekayaan yang dibuat oleh individu atau perusahaan yang dilindungi oleh undang-undang rahasia dagang,paten, dan hak cipta.
ㆍSerangan perangkat lunak
Serangan perangkat lunak telah berkembang dari tahun-tahun awal era komputer, ketika penyerang digunakan, perangkat lunak berbahaya untuk menginfeksi sebanyak mungkin komputer di seluruh dunia untuk mencari keuntungan, biasanya melalui Web.
Serangan ini dikelompokkan ke dalam tiga kategori:
- Serangan jarak jauh yang membutuhkan tindakan pengguna
- Serangan jarak jauh yang tidak membutuhkan tindakan pengguna
- Serangan perangkat lunak yang dimulai oleh pemrograman selama pengembangan sistem
ㆍ Perangkat lunak Asing
Banyak komputer pribadi yang memiliki perangkat lunak asing, atau pestware yang berjalan di atasnya yang tidak disadari oleh pemiliknya. Perangkat lunak asing adalah perangkat lunak rahasia yang diinstal pada komputer anda melalui duplikat. Ini biasanya tidak seberbahaya virus, worm, atau Trojan horse, tetapi mampu menghabiskan sumber daya sistem yang berharga. Selain itu, dapat memunckinkan pihak lain untuk melacak kebiasaan berselancar di web dan perilaku pribadi lainnya.
ㆍSerangan pengawasan dan akuisisi data (SCADA)
SCADA mengacu pada sistem kendali dan pengukuran terdistribusi berskala besar. Sistem SCADA digunakan untuk memantau atau mengendalikan proses kimia, fisik, dan transportasi seperti yang digunakan di kilang minyak, instalasi pengolahan air dan limbah, generator listrik, dan pembangkit listrik nuklir. Pada dasarnya sistem SCADA menyediakan hubungan antara dunia fisik dan dunia elektronik.
ㆍ Cyberterrorism dan cyberwarfare
Terorisme siber adalah penggunaan internet untuk melakukan tindakan kekerasan yang mengakibatkan atau mengancam hilangnya nyawa atau kerugian fisik yang signifikan untuk mencapai keuntungan politik melalui intimidasi. Sedangnya Cyber warfare adalah perang dunia maya yang melibatkan penggunaan dan penargetan komputer dan jaringan dalam perang. Perang tersebut melibatkan operasi serangan atau pertahanan yang dilakukan melalui ancaman serangan dunia maya, espionase, dan sabotase. Terdapat kontroversi tentang apakah operasi semacam itu dapat disebut “perang”. Mengetahui hal ini, terdapat beberapa cara yang mampu memitigasi terjadinya resiko terkait kerentanan sumber informasi. Mitigasi Resiko adalah langkah-langkah yang diambil untuk mengendalikan, mengevaluasi, mencegah kembali, dan mengendalikan resiko yang mungkin terjadi.
Menurut Reiner dan Prince, terdapat tiga strategi yang dapat dilakukan untuk strategi yang dapat dilakukan untuk memitigasi resiko, yaitu :
1. Risk Acceptance (Menerima Resiko)
Menerima potensi resiko, melanjutkan operasi tanpa pengendalian, dan menerima segala kerusakan terjadi
2. Risk Limitation (Membatasi Resiko)
Membatasi resiko melalui pengendalian yang dapat meminimalisasi dampak ancaman.
3. Risk Transference (Transfer Resiko)
Memindahkan resiko dengan menggunakan cara lain untuk mengganti kerugian. Misalnya dengan menggunakan pihak kedua.
Contoh mitigasi resiko yaitu :
- mesin absensi di kantor, merupakan contoh kecil tentang langkah mitigasi risiko terhadap perilaku indisipliner pegawai yang suka telat .
- pembatasan akses internet di suatu perusahaan.
Dalam kasus Kepemilikan Rumah, dibutuhkan penjabaran resiko yang mungkin terjadi oleh sebuah rumah. Resiko yang mungkin terjadi adalah sebagai berikut yang diikuti langsung oleh pemberian contoh mitigasi resiko:
- Rumah kebanjiran
- Rumah kebakaran
- Rumah kemalingan
- Rumah runtuh akibat gempa bumi
- Rumah kelongsoran
- Rumah kemalingan
Resiko dan kerentanan dapat dimitigasi dan dikendalikan.
Ada beberapa hal yang dapat dilakukan untuk mengurangi paparan terhadap kerentanan, berikut tiga jenis kendali utama yang dapat digunakan sebuah organisasi untuk melindungi sumber informasi perusahaan terkait:
1. Pengendalian Fisik
Berdasarkan Reiner dan Prince (2017), pengendalian fisik mencegah individu yang tidak berhak mendapatkan akses ke fasilitas perusahaan. Pengendalian fisik umum meliputi dinding, pintu, pagar, gerbang, kunci, pelindung, dan sistem alarm. Pengendali fisik yang lebih canggih termasuk sensor tekanan, sensor suhu, dan detector tekanan.
Contoh dari pengendalian fisik ini adalah instalasi CCTV di kantor-kantor. Hal ini dilakukan agar kerahasiaan, dokumen-dokumen dan data-data yang berada di kantor dapat terus terjaga sehingga usikan orang asing tidak dapat terjadi.
2. Pengendalian Akses
Pengendalian Akses membatasi individu yang tidak berwenang untuk menggunakan sumber informasi kendali. Pengendalian ini melibatkan dua fungsi utama yaitu, otentikasi dan otoritas. Otentifikasi mengkon firmasi identitas orang yang membutuhkan akses. Setelah orang tersebut diidentifikasi, langkah selanjutnya adalah otorisasi. Otorisasi menentukan tindakan atau hak istimewa mana yang dimiliki oleh seseorang berdasarkan identitasnya yang telah diverifikasi.
Contoh pengendalian akses adalah memberikan kartu identitas bagi setiap pekerja kantor atau organisasi, dan juga hanya memberikan akses kepada pengunjung secara terbatas. Sehingga orang-orang yang memang berkepentinganlah yang dapat mengakses informasi sebuah organisasi tersbut.
3. Pengendalian Komunikasi
Sering disebut juga dengan pengendalian jaringan. Tujuan dilakukannya pengendalian komunikasi adalah untuk mengamankan pergerakan data pada sistem jaringan yang digunakan. Pengendali komunikasi terdiri dari:
a. Firewalls
b. Anti-malware system
c. Whitelisting and Blacklisting
d. Encryption
e. VPN (Virtual Private Networks)
f. Transport Layer Security
g. Employee monitoring Systems
Keamanan Informasi Kontrol
Keamanan informasi kontrol meliputi :
1. Kontrol fisik
merupakan suatu tindakan untuk mengamankan objek dengan menerapkan keamanan pada sisi alat / media yang digunakan.
Kontrol fisik meliputi :
- Guard
- Fences (Pagar)
- Barriers (Hambatan)
- Lighting
- Monitoring
- Key and Lock
2. Kontrol Akses
merupakan layanan keamanan komputer yang berperan dalam mengatur pengaksesan sumber daya. Sumber daya tersebut dapat berupa berkas, software, maupun hardware. Kontrol akses ini membatasi pengguna yang akan mengakses sumber daya tersebut. Kontrol akses ada 2 yaitu :
- Otentikasi adalah proses memverifikasi siapa Anda. Saat Anda masuk ke PC dengan nama pengguna dan kata sandi, Anda sedang melakukan otentikasi.
- Otorisasi adalah proses memverifikasi bahwa Anda memiliki akses ke sesuatu. Mendapatkan akses ke sumber daya (misalnya direktori pada hard disk) karena izin yang dikonfigurasi di atasnya memungkinkan Anda mengakses adalah otorisasi.
3. Komunikasi Kontrol
merupakan cabang teknologi yang ditujukan untuk perancangan, pengembangan, dan penerapan fasilitas komunikasi yang digunakan khusus untuk tujuan kendali, seperti untuk mengendalikan proses industri, pergerakan sumber daya, tenaga listrik pembangkitan, distribusi, dan pemanfaatan jaringan komunikasi, dan sistem transportasi.
4. Business Continuity Perencanaan
merupakan dokumen yang menguraikan bagaimana bisnis akan terus beroperasi selama gangguan layanan yang tidak direncanakan.Ini adalah perencanaan yang lebih komprehensif daripada rencana pemulihan bencana dan berisi kemungkinan untuk proses bisnis, aset, sumber daya manusia, dan mitra bisnis — setiap aspek bisnis yang mungkin terpengaruh.
5. Sistem Informasi Audit
merupakan proses pengumpulan dan penilaian bukti-bukti untuk menentukan apakah software akuntansi yang digunakan perusahaan dapat mengamankan aset, memelihara integritas data, dapat mendorong pencapaian tujuan organisasi secara efektif dan menggunakan sumberdaya secara efisien.
Tujuan audit sistem informasi menurut Ron weber (1999:11–13) yaitu :
- Sistem Pengamanan Aset
- Menjaga Integritas Data
- Efektivitas Sistem
- Efisiensi Sistem
Manfaat Audit Sistem Informasi :
1. Mendeteksi agar komputer tidak dikelola secara kurang terarah.
2. Mendeteksi resiko kehilangan data.
3. Mendeteksi resiko pengambilan keputusan yang salah akibat informasi hasil proses sistem komputerisasi salah/lambat/tidak lengkap.
4. Menjaga aset perusahaan karena nilai hardware, software dan personil yang lazimnya tinggi.
5. Mendeteksi resiko error komputer.
6. Mendeteksi resiko penyalahgunaan komputer (fraud).
7. Menjaga kerahasiaan
8. Meningkatkan pengendalian evolusi penggunaan komputer.
Referensi
Reiner, R. K. and Prince, B. (2017). Introduction to Information Systems. Sixth Edition. Page 89. Wiley : USA.
Rahardjo, B. (2005). Keamanan sistem informasi berbasis internet. Bandung: PT. Insan Indonesia.
Ramadhani, A. (2018). Keamanan Informasi. Nusantara Journal of Information and Library Studies (N-JILS), 1(1), 39–51. https://mmsi.binus.ac.id/2017/11/17/keamanan-informasi/
