Keamanan Informasi
(Hutri Tampubolon | 21s18027)
Informasi menjadi aset yang sangat berharga baik bagi perseorangan, pemerintah maupun swasta. Informasi memiliki nilai dan harus dilindungi, sehingga menjadi penting bagi individu untuk melakukan perlindungan terhadap informasi. Informasi sangat berharga karena jika suatu informasi tersebut berada di tangan pihak yang tidak berhak bisa disalahgunakan.
Information security atau keamanan informasi adalah perlindungan informasi dan elemen elemennya termasuk system dan perangkat kerasnya. Jika dihubungkan dengan goal dari information security, yaitu confidentiality, integrity dan availability (dikenal dengan segitiga CIA), maka information security adalah sebuah perlindungan informasi dari confidentiality, integrity dan availability pada saat informasi tersebut sedang di proses, di transmisikan, ataupun dalam penyimpanannya.
- Confidentiality, yaitu proses untuk mengamankan dan memastikan bahwa hanya orang yang berhak saja yang dapat mengakses informasi tertentu.
- Integrity, yaitu sebuah jaminan bahwa semua data tersedia dalam keadaan utuh dan lengkap sesuai apa adanya.
- Availability, yaitu usaha supaya data akan dapat diakses setiap saat, tanpa delay, dan tersedia dengan utuh tanpa cacat.
Faktor yang berpengaruh terhadap kerentanan keamanan sistem informasi
- Lingkungan bisnis yang saling terhubung dan bergantung, serta jaringan yang terhubung secara nirkabel
Internet sekarang memungkinkan jutaan komputer dan jaringan komputer untuk berkomunikasi dengan bebas dan mudah satu sama lain. Organisasi dan individu dihadapkan pada dunia jaringan yang tidak tepercaya dan mudah diretas. Jaringan tepercaya, secara umum, adalah jaringan apa pun dalam organisasi Anda. Jaringan tidak tepercaya, secara umum, adalah jaringan apa pun di luar organisasi Anda. Selain itu, teknologi nirkabel memungkinkan karyawan untuk menghitung, berkomunikasi, dan mengakses Internet di mana saja dan kapan saja. Secara signifikan, nirkabel merupakan media komunikasi siaran yang tidak aman.
2. Komputer dan perangkat penyimpanan yang lebih kecil, cepat, dan murah
Kecanggihan teknologi saat ini memberikan inovasi terbaru terkait bentuk dan kapasitas dari komputer dan perangkat penyimpanan yang lebih kecil, cepat, dan murah. Akan tetapi, di samping itu, dengan karakteristik seperti ini akan berpotensi tinggi terhadap ancaman pencurian perangkat atau data dan informasi yang disimpan.
3. Menurunnya keterampilan yang diperlukan untuk menjadi seorang hacker
Internet berisi informasi dan program computer yang disebut script. Pengguna dengan sedikit keahlian dapat mengunduh dan menggunakannya untuk menyerang sistem informasi apa pun yang terhubung ke internet. Pakar keamanan juga dapat menggunakan script ini untuk tujuan yang sah, seperti menguji keamanan berbagai sistem.
4. Kejahatan terorganisir secara internasional mengambil alih kejahatan dunia maya
Faktor ini merupakan kejahatan dunia maya pada aktivitas ilegal yang dilakukan melalui jaringan komputer, khususnya internet. Kejahatan pada faktor ini biasanya tanpa kekerasan tetapi cukup merugikan pengguna, yang dimana kejahatan komputer biasanya mengalami kerugian rata-rata ratusan ribu dolar.
5. Kurangnya dukungan manajemen
Agar seluruh organisasi menganggap serius kebijakan dan prosedur keamanan, manajer senior harus mengatur struktur organisasi. Sayangnya, para manajer senior seringkali tidak melakukannya dan kurang mensosialisasikannya kepada karyawan tentang pentingnya keamanan informasi. Dimana hal ini dapat meningkatkan kerentanan sumber informasi dalam perusahaan.
ANCAMAN TERHADAP SISTEM INFORMASI
- Ancaman yang Tidak Disengaja
Kesalahan yang diakibatkan oleh lalainya sumber daya manusia baik secara sengaja maupun tidak sengaja. Munculnya kesalahan ini terjadi akibat kemalasan, kecerobohan, atau kurangnya kesadaran tentang keamanan informasi.
2. Natural Disaster
Faktor yang tidak terduga yang dapat mengancam sistem informasi sehingga menyebabkan sumber daya pendukunng sistem informasi menjadi luluh lantah dalam waktu yang singkat
3. Technical Failure
Kegagalan software dan hardware dapat menyebabkan data tidak konsisten, transaksi tidak berjalan dengan lancar sehingga data menjadi tidak lengkap atau bahkan menjadi rusak
4. Management failures
Kurangnya dana dan tidak ada upaya untuk meningkatkan keamanan informasi
5. Deliberate act
Mengakses secara tidak sah ke informasi yang bersifat rahasia dan pribadi.
Ada 10 jenis tindakan yang disengaja adalah sebagai berikut:
a. Spionase atau pelanggaran pemerasan informasi yaitu menuntut kompensasi untuk mengembalikan rahasia informasi yang diperoleh oleh penyerang.
b. Sabotase atau Vandalisme yaitu upaya untuk menghancurkan aset atau merusak citra organisasi.
c. Pencurian peralatan yaitu mengambil barang orang lain secara illegal.
d. Pemerasan informasi terjadi ketika penyerang mengancam untuk mencuri, atau sebenarnya mencuri, informasi dari perusahaan.
e. Pencurian identitas adalah asumsi yang disengaja dari identitas orang lain, biasanya untuk mendapatkan keuntungan akses ke informasi keuangannya atau untuk menjebaknya atas kejahatan.
f. Kompromi dengan kekayaan intelektual atau HAKI (Compromises to intellectual property (IP))yaitu ancaman dari pelanggaran dalam penggunaan HAKI seperti hak cipta, rahasia dagang, merek dagang, hak paten. Pelanggaran HAKI yang paling umum adalah pembajakan perangkat lunak.
g. Serangan Software yaitu perangkat lunak yang berbahaya yang dirancang untuk merusak, menghancurkan, atau menolak layanan ke system, termasuk virus, worm, trojan horse, backdoors, serangan DoS, dan distributed denial of service (DDoS).
h. Perangkat Lunak Alien yaitu perangkat lunak klandestin yang diinstal pada komputer melalui metode duplikat.
i. Serangan Supervisory Control and Data Acquisition (SCADA) yaitu mengacu pada sistem kontrol dan pengukuran terdistribusi berskala besar. Sistem SCADA terdiri dari beberapa sensor, komputer master, dan infrastruktur komunikasi.
j. Cyberterrorism dan Cyberwarfare yaitu mengacu pada tindakan berbahaya yang dilakukan penyerang dengan menggunakan target sistem komputer, terutama melalui Internet, menyebabkan kerusakan fisik, dunia nyata, atau parah gangguan, seringkali untuk melaksanakan agenda politik.
ORGANISASI MELINDUNGI SUMBER DAYA INFORMASI
Dalam sebuah organisasi yang menggunakan teknologi infromasi sangat menghabiskan banyak waktu dan uang dalam melindungan sumber informasi mereka. Dimana sebelum melakukannya, sebuah organisasi melakukan manajemen risiko.
Manajemen Resiko yaitu probabilitas yang sangat berdampak bagi informasi. Tujuan dari manajemen resiko ini untuk mengidentifikasi , mengendalikan, meminimalkan dampak ancaman, artinya manajemen resiko dapat mengurangi dampak resiko ke tingkat yang dapat diterima. Adapun proses dari manajemen resiko adalah sebagai berikut:
a. Analisis resiko
Pada sebuah organisasi dilakukan analisis resiko yang bertujuan untuk memastikan bahwa keamanan system informasi mereka hemat biaya. Dalam analisis resiko terdapat 3 langkah yang harus dilakukan yaitu :
- Melakukan penilaian kepada setiap aset yang akan dilindungi
- Memperkirakan kemungkinan bahwa setiap aset akan dikompromikan
- Melakukan perbandingan biaya yang mungkin timbul dari aset yang dikompromikan dengan biayaa untuk melindungi aset tersebut.
b. Mitigasi resiko
Dalam mitigasi risiko, organisasi melakukan tindakan nyata terhadap risiko. Mitigasi risiko memiliki dua fungsi:
- melaksanakan pengendalian untuk mencegah terjadinya ancaman yang teridentifikasi,
- mengembangkan cara pemulihan jika ancaman tersebut menjadi kenyataan.
Ada beberapa strategi mitigasi risiko yang dapat diadopsi oleh organisasi yaitu:
- Penerimaan risiko: Terima potensi risiko, terus beroperasi tanpa kontrol, dan serap segala kerusakan yang terjadi.
-Batasan risiko: Batasi risiko dengan menerapkan kontrol yang meminimalkan dampak ancaman.
· Pemindahan risiko: Mentransfer risiko dengan menggunakan cara lain untuk mengkompensasi kerugian, seperti dengan membeli asuransi.
c. Evaluasi resiko
Dalam proses ini merupakan proses pengendalian dimana organisasi memeriksa biaya penerapan tindakan pengendalian terhadap nilai tindakan pengendalian tersebut. Jadi ketetapannya jika biaya pelaksanaan control lebih besar dari nilai aset yang dilindungi maka langkah selanjutnya akan mempelajari control yang akan digunakan organisasi untuk melindungi sumber daya informasi mereka.
KONTROL KEAMANAN INFORMASI
- Physical Controls
Dalam hal ini untuk mencegah individu untuk mendapatkan akses masuk. Yang termasuk kedalam control fisik adalah dinding, pagar, gerbang, system alaram control fisik yang lebih canggih termasuk sensor tekanan, suhu dan lainnya.
- Access Controls
Membatasi individu yang tidak berwenang untuk menggunakan sumber informasi. Akses kotrol ini memiliki 2 fungsi utama pertama otentikasi yaitu menegaskan identitas orang yang membutuhkan akses kedua otorisasi yaitu menentukan haak, tindakan yang dimiliki orang tersebut berdasarkan identitas yang terverifikasi.
- Communication Controls
Sering disebut sebagai kontrol jaringan yang berfungsi untuk mengamankan pergerakan data yang melintasi jaringan.
- Business Continuity Planning
Berupa strategi keamanan dasar yang membutuhkan perencanaan untuk perlindungan dan pemulihan untuk memberikan arahan kepada orang-orang yang menjaga agar bisnis tetap beroperasi setelah terjadinya bencana.
- Information Systems Auditing
Sering diterapkan dalam sebuah perusahaan untuk memastikan bahwa system informasi berfungsi dengan baik. Dalam system informasi audit merupakan sebuah pemeriksaan system informasi, masukan, keluaran, dan pengolahan jenis auditor dan audit.
REFERENSI :
James A O’Brien “Introduction to Information System”. McGRAW-HILL, 15th Edition, 2010
Rainer, R. K., Prince, B., Splettstoesser-Hogeterp, I., Sanchez-Rodriguez, C., & Ebrahimi, S. (2015). Introduction to information systems 6th Edition.
