Untuk mengamankan suatu Sistem Informasi menurut anda apa saja yang perlu dilindungi?
Soal : Untuk mengamankan sustu Sistem Informasi menurut
anda apa saja yang perlu dilindungi?
Aset Sistem Informasi yang harus di lindungi melalui
sistem keamanan dapat
diklasifikasikan menjadi 2 yaitu :
1. Aset Fisik, meliputi :
a. Personnel
b. Hardware (termasuk media penyimpanan, dan
periperalnya)
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika
a. Data / Informasi dan
b. Sofware (Sistem dan Aplikasi)
Pentingnya keamanan sangat mempengaruhi untuk
suatu sistem informasi di era globalisasi pada sebuah organisasi atau
perusahaan untuk menjaga fasilitas terpenting perusahaan. Pada dasarnya
fasilitas dan asset perusahaan yang ingin dijaga adalah berkaitan dengan lima
komponen dasar sistem informasi yaitu perangkat keras, perangkat lunak,
pengguna, data dan prosedur.
Empat karakteristik dasar yang dapat diketahui apabila
perusahaan ingin menerapkan solusi pengamanan sistem informasi di perusahaan :
1.
Perusahaan yang bersangkutan harus
memiliki sebuah sistem komputerisasi yang harus dilindungi seperti misalnya
mempunyai komputer diperusahaannya, memiliki jaringan komputer ( local area
network ) atau jaringan yang lebih luas lagi ataupun internet yang pada
kenyataannya digunakan untuk kegiatan bisnis perusahaan.
2.
Perusahaan yang dimaksud harus memiliki
sebuah divisi teknologi informasi yang menangani berbagai kegiatan penunjang
untuk berbagai aplikasi bisnis perusahaan di bidang teknologi. Divisi teknologi
diperusahaan bisaanya disebut dengan EDP (Entry Data Processing ). Kejahatan
komputer dapat dilakukan dan berawal dari bagian ini , seperti dikatakan oleh
Thomas porter dalam bukunya “ Elektronik Data Processing ( EDP ) control and
auditing “ ( Porter ,1974 ), beliau mengatakan bahwa kejahatan yang berhubungan
dengan personal terutama dalam perusahaan dapat dikategorikan dalam komputer
abuse ( penyalahgunaan komputer ) , computer crime ( kejahatan komputer ) dan
computer related crime ( kejahatan yang berhubungan dengan komputer ).
3. Mempunyai data, informasi dan sistem
jaringan yang berharga yang layak untuk di jaga, dan dapat menyebabkan kerugian
yang besar apabila data, informasi dan sistem jaringan tersebut dapat keluar
dari perusahaan atau dapat menyebabkan perusahaan tidak dapat beroperasi.
Karakteristik ini sangat berhubungan dengan materi risk manajemen. Pihak
peruhaan dapat menghitung kerugian material ataupun non material yang
disebabkan kejahatan dari sisi teknologi ini sehingga dapat diketahui apakah
sudah layak mereka mengimplementasikan pengamanan sistem informasi dalam setiap
kegiatan bisnis mereka.
4. Karakteristik berikutnya adalah
perusahaan yang bersangkutan belum mempunyai kebijakan mengenai tata kelola
teknologi informasi terutama yang berkaitan dengan kebijakan tentang
pengelolaan keamanan sistem informasi (Information technology security policy).
Atau mereka sudah menerapkan beberapa prosedur kebijakan tentang keamanan
sistem informasi namun belum mengikuti standarisasi dari beberapa organisasi
standar yang ada ( akan dipelajari lebih lanjut pada bab selanjutnya ).
Empat tipe keamanan komputer berdasarkan lubang
keamanannya menurut David Icove :
1. Keamanan yang bersifat fisik (
physical security )
Termasuk akses orang ke gedung, peralatan, atau media
yang digunakan. Beberapa contoh kejahatan jenis ini adalah sebagai berikut :
a. Berkas-berkas dokumen yang telah dibuang ke tempat
sampah yang mungkin memuat informasi password dan username.
b. Pencurian komputer dan laptop
c. Serangan yang disebut dengan DDos Attack / denial of
service
d. Pemutusan jalur listrik sehingga tidak berfungsi
secara fisik.
e. Pembajakan pesawat pada saat tragedy world trade
centre.
2. Keamanan yang berhubungan dengan
orang ( personal security ).
Tipe keamanan jenis ini termasuk kepada identifikasi,
profile resiko dari pekerja di sebuah perusahaan. Dalam dunia keamanan
informasi salah satu factor terlemah adalah dari tipe jenis ini. Hal ini
disebabkan manusia bukanlah mesin sehingga kadangkala pekerjaannya tidak
terstruktur dan dapat di kelabui. Kejahatan jenis ini sering menggunakan metode
yang disebut dengan social engineering .
3. Keamanan dari data dan media serta
teknik komunikasi (Communication security).
Tipe keamanan jenis ini banyak menggunakan kelemahan
yang ada pada perangkat lunak, baik perangkat lunak aplikasi ataupun perangkat
lunak yang diugunakan dalam mengelola sebuah database.
4. Keamanan dalam operasi (
management security )
Kebijakan atau policy adalah hal terpenting yang harus
di perhatikan sebuah perusahaan dalam memelihara asset teknologi dan bisnis
mereka apabila ingin aman dari serangan hacker. Kebijakan digunakan untuk
mengelola sistem keamanan , prosedur sebelum maupun setelah serangan terjadi,
mempelajari manajemen resiko seperti dampak dan akibat dari sebuah serangan.Banyak
perusahaan terutama di Indonesia tidak memiliki standard prosedur bagi keamanan
sistem informasi. Untuk itu beberapa bagian dari buku ini akan banyak membahas
tentang implementasi dari standard pelaksanaan keamanan sistem informasi bagi
perusahaan yang diambil dari ISO 27001.
Aset: Perlindungan aset merupakan hal yang penting dan
merupakan langkah awal dari berbagai implementasi keamanan komputer.Contohnya:
ketika mendesain sebauah website e-commerce yang perlu dipikirkan adalah
keamanan konsumen. Konsumen merupakan aset yang penting, seperti pengamanan
naman alamat ataupun nomor kartu kredit.
Analisi Resiko: adalah tentang identifikasi akan resiko
yang mungkin terjadi, sebuah even yang potensial yang bisa mengakibatkan suatu
sistem dirugikan.
Perlindungan: Kita dapat melindungi jaringan internet
dengan pengaturan Internet Firewall yaitu suatu akses yang mengendalikan
jaringan internet dan menempatkan web dan FTP server pada suatu server yang
sudah dilindungi oleh firewall.
Alat: alat atau tool yang digunakan pada suatu komputer
merupakan peran penting dalam hal keamanan karena tool yang digunakan harus
benar-benar aman.
Prioritas: Jika keamanan jaringan merupakan suatu
prioritas, maka suatu organisasi harus membayar harga baik dari segi material
maupun non material. Suatu jaringan komputer pada tahap awal harus diamankan
dengan firewall atau lainnya yang mendukung suatu sistem keamanan.
Tidak ada komentar:
Posting Komentar