Berikut beberapa pengertian dari keamanan sistem informasi:
- John D. Howard, Computer Security is preventing attackers from
achieving objectives through unauthorized access or unauthorized use of
computers and networks.
- G. J. Simons, keamanan sistem informasi adalah bagaimana kita dapat
mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya
penipuan di sebuah sistem yang berbasis informasi, dimana informasinya
sendiri tidak memiliki arti fisik.
- Wikipedia, keamanan komputer atau sering diistilahkan keamanan
sistem informasi adalah cabang dari teknologi komputer yang diterapkan
untuk komputer dan jaringan. Tujuan keamanan komputer meliputi
perlindungan informasi dan properti dari pencurian, kerusakan, atau
bencana alam, sehingga memungkinkan informasi dan aset informasi tetap
diakses dan produktif bagi penggunanya. Istilah keamanan sistem informasi
merujuk pada proses dan mekanisme kolektif terhadap informasi yang
sensitif dan berharga serta pelayann publikasi yang terlindungi dari
gangguan atau kerusakan akibat aktivitas yang tidak sah, akses individu
yang tidak bisa dipercaya dan kejadian tidak terencana.
a. Tujuan Keamanan Sistem
Informasi
Keperluan pengembangan Keamanan Sistem Informasi
memiliki tujuan sebagai berikut (Rahmat M. Samik-Ibrahim, 2005):
- Penjaminan INTEGRITAS informasi.
- Pengamanan KERAHASIAAN data.
- Pemastian KESIAGAAN sistem informasi.
- Pemastian MEMENUHI peraturan, hukum, dan bakuan yang
berlaku.
b. Domain Keamanan Sistem
Informasi
Keamanan Pengoperasian, teknik-teknik kontrol pada operasi
personalia, sistem informasi dan perangkat keras.
Keamanan Aplikasi dan Pengembangan Sistem, mempelajari berbagai
aspek keamanan serta kendali yang terkait pada pengembangan sistem informasi.
Cakupannya meliputi:
- Tingkatan Kerumitan Fungsi dan Aplikasi;
- Data Pengelolaan Keamanan Basis Data;
- SDLC: Systems Development Life Cycle;
- Metodologi pengembangan aplikasi
- Pengendalian perubahan perangkat lunak;
- Program bermasalah;
Aspek Keamanan Sistem Informasi
Garfinkel mengemukakan bahwa keamanan komputer
(computer security) melingkupi empat aspek, yaitu privacy, integrity,
authentication, dan availability. Selain keempat hal di atas, masih ada dua
aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce,
yaitu access control dan non-repudiation.
Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality
adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses.
Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality
biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan
tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya
diperbolehkan untuk keperluan tertentu tersebut.
Contoh hal yang berhubungan dengan privacy
adalah e-mail seorang pemakai tidak boleh dibaca oleh administrator. Contoh
confidential information adalah data-data yang sifatnya pribadi seperti nama,
tempat tanggal lahir, social security number, agama, status perkawinan,
penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan
data-data yang ingin diproteksi penggunaan dan penyebarannya. Contoh lain dari
confidentiality adalah daftar pelanggan dari sebuah Internet Service Provider
(ISP).
Integrity
Aspek ini menekankan bahwa informasi tidak boleh
diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai
lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi.
Sebuah e-mail dapat saja “ditangkap” di tengah jalan, diubah isinya kemudian
diteruskan ke alamat yang dituju. Dengan kata
lain, integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan
digital signature, misalnya, dapat mengatasi masalah ini.
Salah satu contoh kasus adalah trojan horse
dengan distribusi paket program TCP Wrapper (yaitu program populer yang dapat
digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi oleh
orang yang tidak bertanggung jawab. Jika anda memasang program yang berisi
trojan horse tersebut, maka ketika anda merakit (compile) program tersebut, dia
akan mengirimkan eMail kepada orang tertentu yang kemudian memperbolehkan dia
masuk ke sistem anda. Contoh serangan lain adalah yang disebut “man in the
middle attack”dimana seseorang menempatkan diri di tengah pembicaraan dan
menyamar sebagai orang lain.
Authentication
Aspek ini berhubungan dengan metoda untuk
menyatakan bahwa informasi betul-betul asli, orang yang mengakses atau
memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang
kita hubungi adalah betul-betul server yang asli. Masalah pertama, membuktikan
keaslian dokumen, dapat dilakukan dengan teknologi watermarking dan digital
signature. Watermarking juga dapat digunakan untuk menjaga “intelectual
property”, yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan”
pembuat.
Masalah kedua biasanya berhubungan dengan access
control, yaitu berkaitan dengan pembatasan orang yang dapat mengakses
informasi. Dalam hal ini pengguna harus menunjukkan bukti bahwa memang dia
adalah pengguna yang sah, misalnya dengan menggunakan password, biometric
(ciri-ciri khas orang), dan sejenisnya. Ada tiga hal yang dapat ditanyakan
kepada orang untuk menguji siapa dia:
- What you have (misalnya kartu ATM)
- What you know (misalnya PIN atau password)
- What you are (misalnya sidik jari, biometric)
Penggunaan teknologi smart card, saat ini
kelihatannya dapat meningkatkan keamanan aspek ini. Secara umum, proteksi
authentication dapat menggunakan digital certificates.
Authentication biasanya diarahkan kepada orang (pengguna), namun
tidak pernah ditujukan kepada server atau mesin. Pernahkan kita bertanya bahwa
mesin ATM yang sedang kita gunakan memang benar-benar milik bank yang
bersangkutan? Bagaimana jika ada orang nakal yang membuat mesin seperti ATM
sebuah bank dan meletakkannya di tempat umum? Dia dapat menyadap data-data
(informasi yang ada di magnetic strip) dan PIN dari orang yang tertipu. Memang
membuat mesin ATM palsu tidak mudah. Tapi, bisa anda bayangkan betapa mudahnya
membuat web site palsu yang menyamar sebagai website sebuah bank yang
memberikan layanan Internet Banking. (Ini yang terjadi dengan kasus
klikBCA.com.)
Availability
Aspek availability atau ketersediaan berhubungan
dengan ketersediaan informasi ketika dibutuhkan. Sistem informasi yang diserang
atau di jebol dapat menghambat atau meniadakan akses ke informasi. Contoh
hambatanadalah serangan yang sering disebut dengan “denial of service attack”
(DoS attack), dimana server dikirimi permintaan (biasanya palsu) yang
bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak dapat
melayani permintaan lain atau bahkan sampai down, hang, crash. Contoh lain
adalah adanya mailbomb, dimana seorang pemakai dikirimi email bertubi-tubi
dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka emailnya
atau kesulitan mengakses emailnya . Bayangkan apabila anda di kirimi 5000 email
dan anda harus mengambil (download) email tersebut melalui telepon dari rumah.
Serangan terhadap availability dalam bentuk DoS attack merupakan yang
terpopuler pada saat naskah ini ditulis. Pada bagian lain akan dibahas
tentang serangan DoS ini secara lebih rinci.
Access Control
Aspek ini berhubungan dengan cara pengaturan akses kepada
informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public,
private, confidential, top secret) & user (guest, admin, top manager,
dsb.), mekanisme authentication dan juga privacy. Access control seringkali
dilakukan dengan menggunakan kombinasi userid/password atau dengan menggunakan
mekanisme lain (seperti kartu, biometrics).
Non-repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah
melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email
untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email
tersebut. Aspek ini sangat penting dalam hal electronic commerce. Penggunaan
digital signature, certificates, dan teknologi kriptografi secara umum dapat
menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga
status dari digital signature itu jelas legal.
Keamanan Program Aplikasi (Software Security)
1. Protect with passwords
Banyak serangan cyber
yang berhasil meretas karena kata sandi (password) yang lemah. Semua
akses ke jaringan maupun data, sangat sensitif dan harus dijaga dengan nama
pengguna dan kata kunci yang unik. Sandi yang kuat berisi angka, huruf dan
simbol. Disarankan untuk setiap pengguna menggunakan kata sandi yang unik.
2.
Design safe systems
Batasi akses ke
infrastruktur teknologi Anda untuk mencegah mudahnya peretas dan pencuri
merusak sistem Anda. Hilangkan akses yang tidak perlu ke hardware maupun
software Anda, dan batasi hak akses pengguna hanya untuk peralatan dan program
yang dibutuhkan saja. Bila memungkinkan, gunakan juga alamat email, login, server
dan nama domain yang unik bagi setiap pengguna, kelompok kerja maupun
departemen.
3.
Conduct screening and background checks
Melakukan skrining dan
pemeriksaan latar belakang pada karyawan perlu dilakukan. Sama halnya dengan
meneliti kredibilitas mereka juga. Pada periode percobaan awal, akses terhadap
data sensitif atau jaringan yang mencurigakan yang dilakukan oleh karyawan Anda
harus dilarang dan juga dibatasi, agar sistem IT Anda menjadi aman.
4.
Provide basic training
Pelanggaran keamanan
yang tak terhitung jumlahnya kerap terjadi sebagai akibat kesalahan dan
kecerobohan manusia. Anda dapat membantu dengan membangun budaya perusahaan
yang menekankan pada keamanan komputer melalui program pelatihan yang
memperingatkan berapa besarnya risiko pada penggunaan kata sandi, jaringan,
program dan perangkat yang ceroboh.
5.
Avoid unknown email attachements
Jangan pernah mengklik
lampiran email yang tidak dikenal, yang kemungkinan bisa berisi virus komputer.
Sebelum membukanya, hubungi pengirim untuk mengkonfirmasi isi pesan. Jika Anda
tidak mengenal pengirim tersebut, baiknya Anda menghapus pesan, memblokir akun
pengirim yang tidak dikenal, dan memperingatkan orang lain untuk melakukan hal
yang sama.
6.
Hang up and call back
Jika Anda menerima
panggilan dari orang yang tidak dikenal yang tiba-tiba ingin memberikan hadiah
dan berpura-pura hadiah itu diberikan oleh perwakilan dari bank atau mitra
lainnya, segera akhiri panggilan yang tidak dikenal tersebut. Kemudian hubungi
kontak langsung ke organisasi tersebut, atau salah satu nomor call centernya
untuk mengkonfirmasi bahwa panggilan yang Anda terima tersebut sah/tidak.
7.
Think before clicking
Untuk menghindari
penipuan yang terjadi melalui email yang meminta informasi nama pengguna, kata
sandi atau informasi pribadi, Anda harus mempertimbangkannya kembali agar Anda
tidak terdorong ke sebuah situs web palsu yang mendorong calon korban untuk
memasukkan data mereka sendiri.
8.
Use a virus scanner, and keep all software up-to-date
Baik Anda bekerja di
rumah atau di jaringan kantor, disarankan untuk menginstal antivirus pada PC
Anda. Banyak penyedia jaringan sekarang menawarkan aplikasi antivirus secara
gratis. Di samping itu, menjaga perangkat lunak agar terus up-to-date
juga mampu mencegah virus masuk dan membuat keamanan sistem IT Anda terjaga.
9.
Keep sensitive data out of the cloud
Cloud computing menawarkan banyak
manfaat dan penghematan biaya kepada bisnis Anda. Namun layanan semacam itu
juga dapat menimbulkan ancaman tambahan karena data ditempatkan di server jarak
jauh yang dioperasikan oleh pihak ketiga yang mungkin memiliki masalah keamanan
tersendiri.
10. Stay paranoid
Rusak atau robek semua
hal termasuk dokumen dengan nama perusahaan, alamat dan informasi lainnya,
termasuk logo vendor dan bank yang sedang ingin berurusan dengan Anda. Jangan
pernah meninggalkan laporan yang bersifat penting dan sensitif di meja Anda.
Ubah juga kata sandi secara teratur dan sering, terutama jika Anda membaginya
dengan rekan kerja Anda. Hal ini sangat penting Anda lakukan, untuk membuat
keamanan sistem IT Anda terjaga
Teknik
dalam Kriptografi di dalam PHP
- password_hash()
- md5()
- sha()
- mcrypt
- base64()
- crypt()
1
