Kita sudah berada pada era global yang dimana keamanan sistem informasi sudah menjadi hal penting yang harus diperhatikan. Jaringan internet pada dasarnya bersifat publik dan menyeluruh (global) yang tidak aman, tidak aman jika tidak dikelola dengan tepat tetapi juga bisa sangat aman jika dikelola dengan benar dan tepat sehingga data-data tersebut tidak akan dimanfaatkan pihak yang tidak bertanggung jawab.
Definisi dari keamanan informasi menurut G. J. Simons adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Permasalahan pokok sebenarnya dalam hal keamanan sistem informasi terletak pada kelemahan dan ancaman atas sistem informasi yang pada gilirannya masalah tersebut akan berdampak kepada resiko dan pada gilirannya berdampak kepada 7 hal yang utama dalam sistem informasi yaitu :
- Efektifitas
- Efisiensi
- Kerahaasiaan
- Integritas
- Keberadaan
- Kepatuhan
- Keandalan
Dasar-dasar dari keamanan informasi, meliputi:
- Tujuan:
- Menjaga keamanan sumber-sumber informasi , disebut dengan Manajemen Pengamanan Informasi (information security management-ISM)
- Memelihara fungsi-fungsi perusahaan setelah terjadi bencana atau pelanggaran keamanan, disebut dengan Manajemen Kelangsungan Bisnis (business continuity management-BCM).
- CIO (chief information officer) akan menunjuk sekelompok khusus pegawai sebagai bagian keamanan sistem informasi perusahaan. (corporate information systems security officer-CISSO), atau bagian penjamin informasi perusahaan (corporate information assurance officer-CIAO).
Adapun tujuan keamanan Informasi menurut Garfinkel, antara lain:
- Kerahasiaan/privacy
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah datadata yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. - Ketersediaan/ availability
Agar data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk menggunakannya. - Integritas/ integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” di tengah jalan, diubah isinya kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini. - Autentikasi/ Authentication
Berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang dihubungi adalah betul-betul server yang asli. Authentication biasanya diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada server atau mesin. - Access Control
Berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top secret) dan user (guest, admin, top manager) mekanisme authentication dan juga privacy. - Non-repudiation
Menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi.
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi akan terus meningkat dikarenakan beberapa hal:
- Aplikasi bisnis berbasis teknologi informasi dan jaringan komputer semakin meningkat.
- Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan lebih banyak operator dan administrator yang handal.
- Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan.
- Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti internet..
- Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani.
- Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
- Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat. Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu, karena jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi itu sendiri.
KELEMAHAN, ANCAMAN
Cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Kelemahan tersebut dimanfaatkan oleh orang-orang yang tidak bertanggung jawab seperti gangguan /serangan:
- Untuk mendapatkan akses (access attacks)
Berusaha mendapatkan akses ke berbagai sumber daya komputer atau data/informasi - Untuk melakukan modifikasi (modification attacks)
Didahului oleh usaha untuk mendapatkan akses, kemudian mengubah data/informasi secara tidak sah - Untuk menghambat penyediaan layanan (denial of service attacks)
Berusaha mencegah pemakai yang sah untuk mengakses sebuah sumber daya atau informasi Menghambat penyediaan layanan dengan cara mengganggu jaringan komputer
Beberapa cara dalam melakukan serangan, antara lain:
- Sniffing
Memanfaatkan metode broadcasting dalam LAN, membengkokkan aturan Ethernet, membuat network interface bekerja dalam mode promiscuousn. Cara pencegahan dengan pendeteksian sniffer (local & remote) dan penggunaan kriptografi - Spoofing
Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang memiliki hak akses yang valid, Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke dalam sistem. Pada saat ini, penyerang sudah mendapatkan username & password yang sah untuk bisa masuk ke server - Man-in-the-middle
Membuat client dan server sama-sama mengira bahwa mereka berkomunikasi dengan pihak yang semestinya (client mengira sedang berhubungan dengan server, demikian pula sebaliknya) - Menebak password
Dilakukan secara sistematis dengan teknik brute-force atau dictionary ( mencoba semua kemungkinan password ). Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai, atau yang memiliki relasi dengan user yang ditebak (tanggal lahir, nama anak, dan sebagainya)
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman tersebut berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi perusahaan. Dan pada kenyataannya, ancaman dapat terjadi dari internal, eksternal perusahaan serta terjadi secara sengaja atau tidak sengaja Berdasarkan hasil survey menemukan 49% kejadian yang membahayakan keamanan informasi dilakukan pengguna yang sah dan diperkirakan 81 %
kejahatan komputer dilakukan oleh pegawai perusahaan. Hal ini dikarenakan ancaman dari intern perusahaan memiliki bahaya yang lebih serius dibandingkan yang berasal dari luar perusahaan dan untuk kontrol mengatasinya/ menghadapi ancaman internal dimaksudkan dengan memprediksi gangguan keamanan yang mungkin terjadi. Sementara untuk kontrol ancaman yang besumber dari eksternal perusahaan baru muncul/ mulai bekerja jika serangan terhadap keamanan terdeteksi. Namum demikian tidak semuanya ancaman berasal dari perbuatan yang disengaja, kebanyakan diantaranya karena ketidaksengajaan atau kebetulan, baik yang berasal dari orang di dalam maupun luar perusahaan.
Aspek ancaman keamanan komputer atau keamanan sistem informasi
- Interruption: Informasi dan data yang ada dalam sistem komputer dirusak dan dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.
- Interception: Informasi yang ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer dimana informasi tersebut disimpan.
- Modifikasi: Orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut.
- Fabrication: Orang yang tidak berhak berhasil meniru suatu informasi yang ada sehingga orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.
RESIKO
Dengan mengetahui ancaman dan kelemahan pada sistem informasi terdapat beberapa kriteria yang perlu diperhatikan dalam masalah keamanan sistem informasi yang dikenal dengan 10 domain, yaitu :
- Akses kontrol sistem yang digunakan
- Telekomunikasi dan jaringan yang dipakai
- Manajemen praktis yang di pakai
- Pengembangan sistem aplikasi yang digunakan
- Cryptographs yang diterapkan
- Arsitektur dari sistem informasi yang diterapkan
- Pengoperasian yang ada
- Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
- Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
- Tata letak fisik dari sistem yang ada
PENGENDALIAN
Pengendalian yang dimaksud adalah sejauh mana pengendalian keamanan sistem informasi memiliki peran dalam mencegah dan mendeteksi adanya kesalahan-kesalahan . Kontrol-kontrol untuk pengamanan sistem informasi antara lain:
- Kontrol Administratif
Kontrol ini mencakup hal-hal berikut:
- Mempublikasikan kebijakan kontrol yang membuat semua pengendalian sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam organisasi.
- Supervisi terhadap para pegawai, termasuk pula cara melakukan kontrol kalau pegawai melakukan penyimpangan terhadap yang diharapkan.
- Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar tidak memberikan kesempatan untuk melakukan kecurangan.
- Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas. Termasuk hal ini adalah proses pengembangan sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data.
- Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi pembinaan, dan pelatihan yang diperlukan.
- Kontrol Pengembangan dan Pemeliharaan Sistem
Dibutuhkan peran auditor sistem informasi, dengan dilibatkannya dari masa pengembangan hingga pemeliharaan sistem, untuk memastikan bahwa sistem benar-benar terkendali, termasuk dalam hal otorisasi pemakai sistem. Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri (Referensi: goindoti)