Keamanan Informasi

Konsep Dasar Keamanan Informasi dan Pemahaman Serangannya

Keamanan jaringan (network security) dalam jaringan komputer sangat penting untuk memantau akses jaringan dan mencegah penyalahgunaan sumber daya jaringan yang tidak berwenang. Tugas keamanan jaringan dikendalikan oleh administrator jaringan.
Administrator jaringan komputer adalah jenis pekerjaan yang sangat dibutuhkan saat ini, terutama di perusahaan / instansi yang telah menerapkan teknologi komputer dan internet untuk mendukung pekerjaan.
Pada dasarnya, administrator jaringan bertugas mengelola dan memelihara semua sumber daya pada kinerja jaringan sistem jaringan yang lebih efektif dan efisien dilihat dari fungsi, struktur dan keamanan jaringan itu sendiri.
Sebelum tugas dan tanggung jawab berikut ini adalah beberapa hal umum yang harus dikuasai seorang administrator jaringan, yaitu:
·      Pengetahuan teori dasar dan praktek komputer, sangat penting karena menjadi administrator jaringan komputer paham dengan bagaimana sistem komputer itu sendiri dapat dipahami dengan baik.
·      Pengetahuan tentang hardware jaringan komputer seperti; repeater, hub, switch, router, antena, kabel dan berbagai perangkat pendukung lainnya, pemahaman yang meliputi cara kerja, instalasi dan konfigurasi.
·      Memahami routing, pemahaman tentang teori dan konfigurasi routing harus dikuasai dengan baik untuk dapat membangun jaringan yang baik itu sangat diperlukan, terutama jika komputer atau perusahaan sub-organisasi yang sangat banyak.
·      Pengetahuan tentang sistem keamanan komputer, terutama jaringan (keamanan jaringan) akan sangat membantu dan memberikan nilai lebih.
Selain kemampuan teori dan praktek yang harus unggul dalam hal lain adalah memiliki etika profesional, ada etika profesi dan tidak ada sikap yang tidak baik maka semua kemampuan menguasai teori dan praktek tidak akan berarti banyak.
Ada beberapa fungsi dan administrator, tetapi secara garis besar dapat dinyatakan dari irisan antara jaringan, hardware, dan aplikasi. Manajemen keamanan (security management) pekerjaan berfokus pada masalah network  administrator keamanan jaringan adalah sebagai berikut :
·      Firewall adalah sebuah sistem atau perangkat yang memungkinkan lalu lintas jaringan yang dianggap aman untuk melalui itu dan mencegah lalu lintas jaringan yang dianggap aman untuk melaluinya dan mencegah lalu lintas yang dianggap tidak aman.
·      Username : Nama pengguna akan digunakan sebagai informasi untuk login password control : password control adalah yang dimiliki oleh pengguna sistem.
·      Resource access : admin jaringan dapat melakukan pembatasan penggunaan sumber daya sesuai dengan izin yang diberikan.tem informasi merupakan
Attack (serangan) untuk keamanan dapat dikategorikan ke dalam empat kategori utama, yaitu :
1.    Gangguan  (interruption) aset dari sistem di bawah serangan sehingga menjadi tidak tersedia atau tidak dapat digunakan oleh pihak berwenang. Contohnya adalah perusakan / modifikasi perangkat keras atau jaringan saluran.
2.    Intersepsi (interception) orang yang tidak berwenang mendapatkan akses ke aset. Pihak bersangkutan dimaksud bisa orang, program, atau sistem lain. Contohnya adalah penyadapan data dalam jaringan.
3.    Modifikasi (modification)  orang yang tidak berwenang dapat membuat perubahan pada aset. Contohnya adalah perubahan nilai file data, memodifikasi program sehingga tidak beres, dan modifikasi pesan yang sedang ditransmisikan dalam jaringan.
4.    Fabrikasi (fabrication) sebuah pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contohnya adalah mengirimkan pesan palsu kepada orang lain.
Ada beberapa prinsip yang perlu dihindari dalam menangani masalah keamanan :
1.    Diam dan semua akan baik-baik saja
2.    Menyembunyikan dan mereka tidak akan dapat menemukan Anda
3.    Teknologi yang digunakan kompleks / Unix, yang berarti aman.
Penggunaan sistem jaringan komputer dalam skala kecil dan besar akan memerlukan pengaturan mulai dari tingkat fisik dan non-fisik. Pengaturan ini melibatkan proses pengendalian. Ada beberapa definisi administrasi jaringan, antara lain :
1.    Controlling corporate strategic (assets) Mengendalikan strategis (aset)
2.    Controlling complexity (kompleksitas pengendali)
3.    Improving service (layanan yang baik)
4.    Balancing various needs (menyeimbangkan berbagai kebutuhan)
5.    Reducing downtime (mengurangi downtime)
6.    Controlling costs (biaya pengendalian)ian yang tak dapat dipisahkan dari pengelolaa informasi, bahkan melaksanakan fu
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena mengamati setiap tahapan daam proses pengelolaan informasi. Pengendalian sistem informasi adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan mengawasi pelaksanaan mekanisme. Organisasi pada saat ini bergantung pada teknologi informasi (TI), seperti memindahkan sebagaian dari sistem informasinya ke cloud. Untuk mengatasi permasalahan pengendalian  tersebut, AICPA dan CICA mengembangkan Trust Service Framework untuk menyediakan panduan penilaian keandalan sistem informasi. Trust Service Framework mengatur pengendalian TI ke dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem:
1.    Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2.    Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive (seperti rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3.    Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari pengungkapan tanpa ijin.
4.    Integritas pemrosesan (processing integrity), dimana data diproses secara akurat, lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.
5.    Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk memenuhi kewajiban operasional dan kontraktual.
Implementasi Keamanan Jaringan di Perusahaan
1.    Mengatur akses
Mengatur akses ke informasi melalui mekanisme “authentication”  dan  “access  control” dengan menggunakan “password”. Di sistem UNIX dan Windows NT, untuk menggunakan sebuah sistem atau komputer,   pemakai   diharuskan   melalui   proses   authentication   dengan menuliskan   “userid”   dan   “password”.   Informasi yang diberikan ini dibandingkan dengan user id dan password yang berada di sistem. Access control ini biasanya dilakukan  dengan  mengelompokkan  pemakai  dalam  “group”. Ada  group yang  berstatus  pemakai  biasa,  ada  tamu, dan  ada  juga  administrator atau super   user   yang   memiliki   kemampuan   lebih   dari   group   lainnya. Pengelompokan ini disesuaikan dengan kebutuhan dari penggunaan sistem anda.
2.    Shadow Password
Cara  ini bertujuan untuk  mempersulit  pengacau  untuk  mendapatkan  berkas yang berisi password meskipun telah terenkripsi. Mekanisme  ini  menggunakan berkas/etc/shadow untuk  menyimpan  encrypted  password,  sementara  kolom password  di berkas/etc/passwd berisi  karakter  “x”.  Berkas/etc/shadow tidak dapat dibaca secara langsung oleh pemakai biasa.
3.    Menutup servis yang tidak digunakan
Seringkali  sistem  (perangkat  keras  dan/atau  perangkat  lunak)  diberikan dengan  beberapa  servis  dijalankan  sebagai  default.  Sebagai  contoh,  pada sistem UNIX servis-servis berikut sering dipasang dari vendornya: finger, telnet, ftp, smtp, pop, echo, dan seterusnya. Servis tersebut tidak semuanya dibutuhkan.  Untuk  mengamankan sistem,  servis  yang  tidak  diperlukan  di server (komputer) tersebut sebaiknya dimatikan.
4.    Memasang Proteksi
Untuk  lebih  meningkatkan  keamanan  sistem  informasi,  proteksi  dapat ditambahkan berupa filter yang umum dan yang lebih spesifik adalah  firewall.    Filter dapat  digunakan  untuk  memfilter  e-mail, informasi, akses, atau bahkan dalam level packet.
5.    Firewall
Firewall  merupakan   sebuah  perangkat  yang  diletakkan  antara  Internet dengan  jaringan  internal  Informasi  yang keluar atau masuk harus melalui firewall ini. Tujuan utama dari firewall adalah untuk menjaga (prevent) agar akses (kedalam  maupun  ke luar)  dari  orang   yang  tidak  berwenang  (unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi yang bersangkutan, yang dapat dibagi menjadi dua jenis:
       apa-apa   yang   tidak   diperbolehkan   secara   eksplisit   dianggap   tidak diperbolehkan (prohibitted).
       apa-apa  yang  tidak  dilarang  secara  eksplisit  dianggap  diperbolehkan (permitted).
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall maka akses dapat diatur berdasarkan IP address, port, dan arah informasi. Detail dari konfigurasi bergantung kepada masing-masing firewall. Firewall dapat berupa sebuah perangkat keras yang sudah dilengkapi dengan perangkat lunak tertentu, sehingga pemakai (administrator) tinggal melakukan konfigurasi dari firewall tersebut. Firewall juga dapat berupa perangkat lunak yang ditambahkan kepada sebuah server (baik UNIX maupun Windows NT), yangdikonfigurasi menjadi firewall. Dalam hal ini, sebetulnya perangkat komputer dengan prosesor Intel 80486 sudah cukup untuk menjadi firewall yang sederhana.
Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering dan fungsi proxy. Keduanya dapat dilakukan pada sebuah perangkat komputer (device) atau dilakukan secara terpisah. Beberapa perangkat lunak berbasis UNIX yang dapat digunakan untuk melakukan IP filtering antara lain:
       ipfwadm: merupakan standar dari sistem Linux yang dapat diaktifkan pada level kernel
       ipchains: versi baru dari Linux kernel packet filtering yang diharapkan dapat menggantikan fungsi ipfwadm

Fungsi proxy dapat dilakukan oleh berbagai software tergantung kepada jenis proxy yang dibutuhkan, misalnya web proxy, rloginproxy, ftp proxy dan seterusnya. Di sisi client sering kalau dibutuhkan software tertentu agar dapat menggunakan proxy server ini, seperti misalnya dengan menggunakan SOCKS. Beberapa perangkat lunak berbasis UNIX untuk proxy antara lain:
       Socks: proxy server oleh NEC Network Systems Labs
       Squid: web proxy server


6.    Backup secara rutin
Seringkali  tamu  tak  diundang  (intruder)  masuk  ke  dalam  sistem  dan merusak sistem dengan menghapus berkas-berkas yang dapat ditemui. Jika intruder ini berhasil   menjebol   sistem   dan   masuk   sebagai   super   user (administrator),  maka ada kemungkinan  dia  dapat  menghapus  seluruh berkas. Untuk itu, adanya backup yang dilakukan secara rutin merupakan sebuah  hal  yang esensial. Bayangkan apabila yang dihapus  oleh tamu  ini adalah   berkas   penelitian,   tugas   akhir,   skripsi,   yang telah dikerjakan bertahun-tahun. Untuk sistem yang sangat esensial, secara berkala perlu dibuat backup yang letaknya  berjauhan  secara  fisik.  Hal  ini  dilakukan  untuk menghindari hilangnya   data   akibat   bencana   seperti   kebakaran,  banjir, dan lain sebagainya. Apabila data-data dibackup akan tetapi diletakkan pada lokasi yang sama, kemungkinan data akan hilang jika tempat yang bersangkutan mengalami bencana seperti kebakaran.
7.    Penggunaan Enkripsi
Salah  satu  mekanisme  untuk  meningkatkan  keamanan  adalah  dengan menggunakan  teknologi  enkripsi.  Data-data  yang    anda  kirimkan  diubah sedemikian rupa sehingga tidak mudah disadap. Banyak servis di Internet yang   masih menggunakan   “plain   text”   untuk   authentication,   seperti penggunaan  pasangan userid  dan  password.  Informasi  ini  dapat  dilihat dengan mudah oleh program penyadap atau pengendus (sniffer).
8.    Catatan dalam berkas log
Informasi tentang kesalahan ini biasanya dicatat dalam berkas log. Besarnya informasi yang dicatat bergantung kepada konfigurasi dari sistem setempat. Misalnya, ada yang menuliskan informasi apabila pemakai memasukkan user id dan password yang salah sebanyak tiga kali. Ada juga yang langsung menuliskan informasi ke dalam berkas log meskipun baru satu kali salah. Informasi tentang waktu kejadian juga dicatat. Selain itu asal hubungan (connection) juga dicatat sehingga administrator dapat memeriksa keabsahan hubungan.
9.    Pemantau adanya serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahuiadanya tamu tak diundang (intruder) atau adanya serangan (attack).Nama lain dari sistem ini adalah “intruder detection system” (IDS).Sistem ini dapat memberitahu administrator melalui e-mail maupunmelalui mekanisme lain seperti melalui pager. Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya denganmemonitor logfile. Contoh software IDS antara lain:
       Autobuse, mendeteksi probing dengan memonitor logfile.
       Courtney, mendeteksi probing dengan memonitor packet yang lalu lalang
       Shadow dari SA
Referensi:
10 Konsep Dasar Keamanan Jaringan Komputer. 16 April 2018. http://www.dosenpendidikan.com/10-konsep-dasar-keamanan-jaringan-komputer/
Handoko, T. Hani. (1998). Manajemen, Edisi Kedua. Yogyakarta: BPFE.
Keamanan Sistem Infomasi. 16 April 2018. http://alsyahdadgmni.blogspot.co.id/?m=1.
Keamanan Sistem Informasi. 16 April 2018. https://www.google.com.hk/amp/s/dirpratama.wordpress.com/2012/05/25/keamanan-sistem-informasi/amp/
M.Ag, Badrudin. (2013). Dasar-Dasar Manajemen. Bandung: Alfabeta.
Sistem Informasi dan Pengendalian. 16 April 2018. http://yuriaiuary.blogspot.co.id/2017/05/sistem-informasi-dan-pengendalian.html
Tipe-Tipe Kontrol dan Kontrol Proses Manajemen. 16 April 2018. https://hestuningikrarini.wordpress.com/2014/12/02/tipe-tipe-kontrol-dan-kontrol-proses-manajemen-2/
Umar, Husein. (2000). Business An Introduction. Jakarta: PT. Gramedia Pustaka Media.


Komentar

Posting Komentar

Postingan populer dari blog ini

COBIT, COSO & ERM

COBIT, COSO dan ERM 1.              COBIT COBIT ( Control Objectives for Information and Related Technology ) merupakan audit sistem informasi dan dasar pengendalian yang dibuat oleh Information Systems Audit and Control Association (ISACA) dan IT Governance Institute (ITGI) pada tahun 1992. Control Objectives for Information and Related Technology (COBIT) adalah sekumpulan dokumentasi best practice untuk IT Governance yang dapat membantu auditor, pengguna (user), dan manajemen, untuk menjembatani gap antara resiko bisnis, kebutuhan kontrol dan masalah-masalah teknis IT (Sasongko, 2009). COBIT bermanfaat bagi manajemen untuk membantu menyeimbangkan antara resiko dan investasi pengendalian dalam sebuah lingkungan IT yang sering tidak dapat diprediksi. Bagi user, ini menjadi sangat berguna untuk memperoleh keyakinan atas layanan keamanan dan pengendalian IT yang disediakan oleh pihak internal atau pihak ketiga. Sedangkan bagi Auditor untuk mendukung atau memperkuat opini y
Baca selengkapnya

Sistem Informasi Siklus Produksi

Sistem Informasi Siklus Produksi Menurut Romney and Steinbart (2015:441-443), siklus produksi adalah berulang kegiatan bisnis dan operasi pemrosesan informasi terkait yang berhubungan dengan pembuatan produk. Sebagai imbalannya, sistem informasi siklus produksi mengirimkan informasi siklus pendapatan tentang barang jadi yang telah diproduksi dan tersedia untuk dijual. Meskipun akuntan terlibat terutama pada langkah keempat, akuntansi biaya, mereka harus memahami tiga proses lain untuk dapat merancang laporan yang menyediakan manajemen dengan informasi yang dibutuhkan untuk mengelola kegiatan siklus produksi perusahaan manufaktur modern. Tujuan sistem informasi siklus produksi, yaitu: 1.     Siklus produksi dilakukan secara efektif dan efisien, 2.     Mengetahui catatan persediaan barang, 3.     Semua kegiatan produksi telah diotorisasi dengan baik, 4.     Semua kegiatan siklus produksi telah tercatat dengan akurat, Berikut ini adalah aktivitas siklus produksi di Pe
Baca selengkapnya

Pengendalian Internal atas Pelaporan Keuangan

Pengendalian Internal atas Pelaporan Keuangan Pengendalian Internal atas Pelaporan Keuangan (Internal Control over Financial Reporting - ICOFR) merupakan suatu proses yang dirancang dan dilaksanakan oleh manajemen perusahaan dalam rangka mencapai keandalan laporan keuangan, efisiensi, dan efektivitas operasi, serta kepatuhan terhadap peraturan yang berlaku untuk memberikan keyakinan yang memadai. ICOFR bertujuan untuk memastikan pencatatan yang terperinci, akurat, dan wajar atas transaksi dan pengelolaan transaksi perusahaan. Tujuan ini selanjutnya akan memberikan keyakinan yang memadai bahwa transaksi telah dicatat dengan benar dengan prinsip akuntansi yang berlaku umum serta keyakinan yang memadai akan upaya pencegahan atau identifikasi perolehan, penggunaan, atau pengelolaan aset perusahaan tanpa otorisasi yang berdampak material atas pelaporan keuangan. ICOFR tidak dapat menjanjikan bahwa perusahaan akan mutlak tidak akan mengalami kesalahan dalam penyajian laporan keuangannya
Baca selengkapnya