I. Pengantar
Informasi
dewasa ini sudah menjadi sebuah komoditas yang memiliki peranan yang vital bagi
setiap organisasi, baik organisasi profit maupun non-profit. Kemampuan untuk
mengakses dan menyediakan informasi saat ini sangat dimungkinkan dengan
pesatnya perkembangan teknologi komputer. Oleh karena itu, mengingat pentingnya
keberadaan informasi, perlu kita ketahui teknik-teknik mengamankan informasi,
sehingga integritas yang informasi yang dimiliki dapat terjaga, dan tidak sembarang
pihak dapat mengakses informasi yang sensitif bagi organisasi.
1. Pentingya informasi
Seperti
telah dijelaskan sebelumnya keberadaan informasi sangat penting akhir-akhir
ini, bahkan ada pepatah yang mengatakan bahwa mereka yang akan memenangkan
kompetisi ialah mereka yang menguasai informasi. Kemampuan untuk memperoleh
infomasi secara akurat, cepat dan up to
date, menjadi kebutuhan yang sangat esensial. Jatuhnya akses terhadap
informasi kepada pihak kompetitor, informasi yang bernilai penting tersebut,
merupakan asset penting yang harus dilindungi.
Sebagai
gambaran pentingnya informasi ialah seperti kasus beberapa tahun belakangan
yang melibatkan dua perusahaan it raksasa, Apple Inc dan Samsung. Dalam kasus
tersebut dikabarkan bahwa Samsung “mencuri” informasi berupa hak atas kekayaan
intelektual milik Apple pada jajaran produk smartphone-nya.
Hal ini berujung kepada tuntutan di pengadilan yang menyebabkan Samsung harus membayar
denda senilai Rp 1,4 triliun, jumlah tersebut jauh lebih kecil dari permintaan
Apple yang menuntut kerugian US$ 2,2 miliar atau sekitar Rp 25,2 triliun.
2. Keamanan informasi
Informasi
merupakan asset bernilai yang harus dilindungi agar aman. Keamanan secara garis
besar ialah suatu berbagai upaya yang dilakukan sehingga terbebas dari ancaman
dan gangguan. Menurut ISO / IEC 27001,2005, keamanan informasi ialah penjagaan
informasi dari seluruh ancaman yang mungkin terjadi dalam upaya untuk
memastikan atau menjamin kelangsungan bisnis, meminimalisasi risiko bisnis dan
memaksimalkan atau mempercepat pengembalian investasi dan peluang bisnis.
Keamanan
informasi sendiri bisa dicapai dengan beberapa langkah yang bisa dilakukan,
langkah-langkah dari keamanan informasi masing-masing memiliki fokus dan
dibangun untuk tujuan tertentu sesuai dengan kebutuhan. Jenis-jenis dari
langkah dari mengamankan informasi sebagai berikut:
·
Keamanan fisik ialah keamanan yang memfokuskan
pada strategi untuk mengamankan asset fisik dari suatu informasi dari bencana
yang disebabkan oleh alam maupun ulah manusia.
·
Keamanan personal, merupakan jenis keamanan yang
bertujuan untuk mengamankan informasi dari aktivitas peretasan maupun
pengaksesan oleh pihak yang tidak memiliki otoritas.
·
Keamanan operasi ialah keamanan yang bertujuan
untuk mengamankan organisasi agar berjalan tanpa gangguan
·
Keamanan komunikasi ialah keamanan yang
bertujuan untuk mengamankan media komunikasi, dan memanfaatkannya untuk
mencapai tujuan organisasi.
·
Keamanan Jaringan merupakan jenis keamanan yang
memfokuskan diri pada pengamanan peralatan jarringan dari gangguan, agar
terciptanya kelancaran alur informasi.
Tidak
dapat dipungkiri, cepatnya pertukaran informasi yang pada era globalisasi
seperti sekarang, berbagai enterprise
dihadapkan pada sejumlah ancaman keamanan informasi dari berbagai sumber. Hal ini
bisa dilihat dari berbagai kasus kejahatan computer yang marak terjadi seperti:
pencurian data, penyebaran malware,
percobaan backing. Ancaman juga dapat disebabkan oleh faktor alam, seperti
gempa bumi, banjir, tsunami, dan sebagainya. Keamanan informasi dapat dicapai
melalui berbagai upaya teknis yang didukung oleh berbagai kebijakan dan
prosedur manajemen yang sesuai.
2.1 Model Serangan
Keamanan Informasi
Beberapa model – model serangan keamanan informasi yang telah terjadi dan marak
dilakukan bisa dijabarkan sebagai berikut [Raharjo, 2005]:
a). Scanning ; scan adalah probe dalam jumlah besar menggunakan tool secara otomatis dengan tujuan
tertentu misalnya mendeteksi kelemahan – kelamahan pada host tujuan.
b). Sniffing : sniffer adalah
device ( software maupun hardware) yang digunakan untuk mendengar informasi
yang melewati jaringand dengan protokol apa saja.
c). Eksploit : memanfaatkan
kelamahan sistem untuk aktifitas – aktifitas diluar penggunaan normal yang
sewajarnya.
d). Spoofing : biasanya IP spoofing
dilakukan dengan menyamarkan identitas alamat IP menjadi IP yang terpercaya
dengan script tertentu dan kemudian melakukan koneksi ke dalam jaringan.
e) DoS (Denial of Service)
attack : salah satu sumberdaya jaringan yang berharga adalah servis –servis yang
disediakan. DoS atau malah Distributed Dos (Ddos) attack dapat menyebabkan
servis yang seharusnya ada menajdi tidak bisa digunakan. Penyebab penolakan
servis ini sangat banyak sekali dapat disebabkan hal – hal berikut :
f) Jaringan kebanjiran trafik (
misal karena serangan syn flooding, ping flooding, smufring)
g) Ada worm / virus yang
menyerang dan menyebar sehingga jaringan menjadi lumpuh bahkan tidak berfungsi.
h). Malicious Code : Program
yang dapat menimbulkan efek yang tidak diinginkan jika dieksekusi jenisnya
antara lain : trojan borse, virus, worm.
i) Trojan borse adalah
program yang menyamar dan melakukan aktifitas tertentu secara tersembunyi.
j) Virus adalah program yang
bersifat mengganggu bahkan merusak dan biasanya memerlukan intervensi manusia
dalam penyebarannya.
k) Worm adalah program yang
dapat menduplikasikan diri dan menyebar denga cepat tanpa intervensi manusia.
l). Serangan secara fisik :
mengakses server / jaringan / piranti secara illegal.
m). Buffer over Flow : dapat
terjadi jika ada fungsi yang dibebani dengan data yang lebih besar dari yang
mampu ditangani fungsi tersebut. Buffer adalah penampungan sementara di memori
komputer dan biasanya mempunyai ukuran tertentu.
m). Social Engineering : usaha
untuk mendapatkan password dengan jalan memintanya misalkan dengan menggunakan fake email.
n). OS Finger Printing :
mengetahui Operating System (OS) dari target yang akan diserang merupakan salah
satu pekerjaan pertama yang dilakukan oleh seorang cracker. Setelah mengetahui
OS yang dituju, dia dapat melihat database kelemahan sistem yang dituju. Finger
Printing adalah istilah yang umum yang digunakan untuk menganalisa OS sistem
yang dituju.
o). Crack password : program
untuk menduga dan memecahkan password dengan menggunakan sebuah atau beberapa
kamus.
p). Spyware : definisi umum spyware
adalah program kecil yang bekerja secara otomatis pada saat kita browsing
internet atau memata – matai kegiatan online kita lalu mengirimkan hasil
pantauannya ke host server spyware terserbut. Jenis spyware sangat banyak, ada
yang hanya bertugas merotasi tampilan pada iklan software, ada yang menyadap
informasi konfigurasi komputer kita, ada yang menyadap kebiasaan online kita.
2.2 Aspek Keamanan
Informasi
Keamanan informasi terkait erat dengan fasilitas pemrosesan informasi (
fasilitas informasi ) yang meliputi dokumen, perangkat keras, perangkat lunak,
infrastruktur, dan bangunan yang melindunginya. Hal tersebut seharusnya
direncanakan dan diorganisir dengan baik agar dapat melindungi sumber daya (
resouce) dan investasi lainnya. Perlindungan pada informasi tersebut dilakukan
untuk memenuhi aspek keamanan informasi. Aspek – aspek tersebut seharusnya
diperhatikan atau dikontrol dan semestinya dipahami untuk diterapkan. [Whitman
& Mattord, 2009] menyebutkan beberapa aspek yang terkaid keamanan informasi
yang akan dijelaskan sebagai berikut :
a). Privacy
Informasi yang dikumpulkan,
digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan
tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy
menjamin keamanan data bagi pemilik informasi dari orang lain.
b). Identification
Sistem informasi memiliki
karakteristik identifikasi jika bisa mengenali penggunanya. Identifikasi adalah
langkah pertama dalam memperoleh hak akses ke informasi yang diamankan.
Identifikasi umumnya dilakukan dengan penggunaan user name atau user ID.
c). Authentication
Autentikasi terjadi pada saat
sistem dapat membuktikan bahwa pengguna memang benar – benar orang yang
memiliki identitas yang di-klaim.
d). Authorization
Setelah identitas pengguna
diautentikasi, sebuah proses yang disebut autorisasi memberi jaminan bahwa
pengguna ( manuasia maupun komputer) telah mendapat autorisasi secara spesifik
dan jelas untuk mengakses, mengubah, atau menghapus, isi data informasi.
e). Accountability
Karakteristik ini dipenuhi jika
sebuah sistem dapat menyajikan data semua aktifitas terhadap informasi yang
telah dilakukan, dan siapa yang melakukan aktifitas ini.
Adapun [ISO/IEC 27002, 2005] menyebutkan tujuh aspek informasi ,sedangkan untuk
aspek keamanan informasi ,meliputi tiga hal yang pertama yaitu
a). Confidentialy
Keamanan informasi seharusnya
bisa menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses
informasi tertentu.
b). Integrity
Keamanan informasi seharusnya
menjamin kelengkapan informasi dan menjaga dari korupsi, kerusakan, atau
ancaman lain yang menyebabkan berubah informasi dari aslinya.
c). Availability
Keamanan informasi seharusnya
menjamin pengguna dapat mengakses informasi kapanpun tanpa adanya gangguan dan
tidak dalam format yang tidak bisa digunakan. Pengguna dalam hal ini bisa saja
manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk
mengakses informasi.
2.3 Metode – Metode
Keamanan Informasi
2.3.1 Password
Cara yang paling umum digunakan untuk mengamankan informasi adalah dengan
mengatur atau membatasi akses informasi tersebut melalui mekanisme “access
control”, dimana implementasi dari mekanisme ini paling banyak dikenal dengan
istilah “password”.
2.3.2 Enkripsi
Enkripsi adalah proses pengubahan / konversi / penyajian suatu informasi
kebentuk lain atau tertentu sehingga tidak dapat dimengerti / tidak dapat
dimanfaatkan oleh pihak yang tidak berhak. Enkripsi digunakan untuk melindungi
data atau informasi yang kita miliki agar hanya kita saja atau orang lain
yang telah kita beritahu kode – kodenya dapat memanfaatkan informasi kita.
Proses pembacaan kembali informasi yang telah dienkripsi diistilahkan dengan dekripsi.
Data – data penting yang ada dan yang dikirim bisa diubah sedemikian rupa
sehingga tidak mudah disadap.
Jenis – jenis enkripsi ini
banyak sekali : DES ( Data Encryption System), PEM ( Privacy Enhanced Mail dll.
3. Aset Sistem Informasi
Perlindungan
terhadap aset merupakan hal yang penting dan merupakan langkah awal dari
berbagai implementasi keamanan komputer. berbagai fasilitas dan aset organisasi
yang perlu dilindungi mencakup aset yang berdampak langsung merugikan
organisasi seperti perangkat keras, perangkat lunak, database, dan sebagainya. Secara
garis besar ada dua eleman dari sistem informasi yang perlu dilindungi melaui
sistem keamanan, yaitu:
1. Aset Fisik, meliputi:
a. Personnel
Personel
ialah sumber daya yang berperan dalam terjadinya interaksi antara proses
komputerisasi dalam jaringan pada perusahaan, sebagai contoh: seorang pengguna
yang mengakses informasi, atau contoh lain admin yang mengelola database suatu
perusahaan.
b. Hardware
Hardware
atau perangkat keras mencakup segala hal yang berkaitan dengan peralatan
komputer yang berguna untuk mendukung kegiatan, seperti CPU, monitor, router,
printer, dan sebagainya. Setiap organisasi tidak akan berjalan tanpa adanya
fasilitas dari perangkat keras, oleh sebab itu kegiatan melindungi serta
perawatan dari perangkat keras sangat diperlukan, mengingat perannya yang
sangat penting.
c. Fasilitas
Fasilitas
merupakan segala sarana dan prasarana yang diperlukan demi menjamin
keberlangsungan hidup suatu organisasi, seperti gedung, tanah, kantor, dan
lain-lain.
d. Dokumentasi
Dokumentasi
merupakan basis data dari jurnal yang berisi kumpulan transaksi yang disimpan
dalam server yang sewaktu-waktu diperlukan untuk keperluan analisis dan
pengambilan keputusan.
2. Aset Logika
Yang termasuk ke dalam aset
logika ialah:
a. Data/Informasi
Mempunyai data, informasi dan
sistem jaringan yang berharga yang layak untuk dijaga, dan dapat menyebabkan
kerugian besar apabila data, informasi dan sistem jaringan tersebut dapat
keluar dari perusahaan atau dapat menyebabkan perusahaan tidak dapat
beroperasi.
b. Software (Sistem dan
Aplikasi)
Perusahaan yang
dimaksud pasti memiliki database informasi mengenai informasi perusahaan dan
asset berharga lainnya. Database tersebut dibentuk dan diolah untuk kepentingan
perusahaan. Biasanya untuk menampilkan sebuah informasi di dalam database
tersebut diperlukan query yang tepat agar dapat menghasilkan data atau
informasi yang diinginkan. Oleh karenanya, perlindungan dalam terhadap software
sangat diperlukan untuk mencegah terjadinya pencurian data atau akses illegal
lainnya diluar kepentingan perusahaan.
Ref
- www.staffsite.gunadarma.ac.id
-http://karina-d-p-fisip11.web.unair.ac.id/artikel_detail-79279-Tugas%20-Keamanan%20Sistem%20Informasi.html
- http://circuitspoofer.blogspot.com/2013/12/beberapa-hal-yang-diperlukan-untuk.html