2/16/2015 Boedy Bios: Access Control Sebagai Bagian dalam Information System Security

http://boedy.blogspot.com/2007/12/accesscontrolsebagaibagiandalam.html 1/3

HOME POSTS RSS COMMENTS RSS EDIT

Access Control Sebagai Bagian dalam Information SystemSecurity | Posted by Setia Budi at 1:18 PM

Salah satu bagian mendasar dalam Information System Security adalah AccessControl. Menurut definisi dari CISSP (Certified Information System Security Profesional)

Study Guide, Access Control didefinisikan sebagai suatu proses untuk mengatur /mengontrol siapa saja yang berhak mengakses suatu resourcerosource tertentu yangterdapat di dalam sebuah sistem.Di dalam proses ini akan diidentifikasi siapa yang sedang melakukan request untukmengases suatu resource tertentu dan apakah orang tersebut memiliki hak akses(authorized) untuk mengakses resource tersebut.Access control memproteksi data terhadap unauthorize access atau akses yang dilakukanoleh orang yang memang tidak memiliki hak akses terhadap reource tersebut. Akses di sinibisa berupa melihat data (view) ataupun melakukan perubahan terhadapt suatu data(modify).Dengan demikian Access Control mendukung terwujudnya1. ConfidentialityMemastikan data hanya bisa dilihat oleh orang yang memiliki hak akses untuk melihat datatersebut atau dikenal dengan istilah No Unauthorized Read2. IntegrityMemastikan data hanya bisa ditulisi dan diubah oleh orang yang memiliki hak akses untukmelakukan penulisan ataupun pengubahan terhadap data tersebut atau dikenal denganistilah No Unauthorized Write

Ketika membahas tentang Access Control, kita akan menemui dua entitas utama yangterlibat, yaitu1. Subject of the Access ControlYang menjadi subject di sini adalah entitas yang mengajukan request / permintaan untukmelakukan akses ke data.2. Object of the Access ControlYang menjadi object di sini adalah entitas yang mengandung atau mengatur data. Ataudengan kata lain object adalah resource yang tersedia di dalam suatu sistem

Least PrivilegeDalam menyusun dan membuat perencanaan Access Control, salah satu prinsip yangharus dipegang adalah Least Privilege. Yang dimaksud dengan Least Privilege di siniadalah hanya memberikan hak akses yang memang dibutuhkan oleh subject yangbersangkutan untuk melakukan tugastugas yang memang menjadi bagian dari tanggungjawabnya. Yang perlu dicatat di sini adalah jangan pernah memberikan akses penuh (FullAccess) terhadap semua resource yang tersedia di dalam sistem kepada subject. Berikanhak akses sesuai dengan yang dibutuhkannya. Tujuan utama dari prinsip ini adalahmeminimalisir terjadinya Authorization Creep atau suatu kejadian yang tidak disengaja dimana suatu subject diberi hak akses yang seharusnya tidak dia miliki. Kondisi ini tentunyamemiliki potensi untuk memunculkan threat / ancaman terhadap sistem yang kita miliki.Access Control sendiri dapat dibagi menjadi 3, yaitu Physical Access Control,Administrative Access Control, dan Logical Access Control.

Physical Access ControlPhysical Access Control ditujukan untuk membatasi akses secara fisik ke perangkat

A b o u t M e

Setia Budi

while me.is_alive( ): me.do_study( )

View my complete

prof i le

F o l l o w e r s

C a t e g o r y

Fotografi (2)Movie (13)

My Journey (25)Opini (29)Technology (17)

B l o g A r c h i v e

► 2011 (4)► June (3)► January (1)

► 2009 (58)► November (5)► July (5)► June (2)► May (4)

► April (19)► March (6)► February (10)► January (7)

► 2008 (66)► December (16)► November (6)► October (7)

► September (2)► August (4)► July (8)

B o e d y B i o sY M , F B , F S : b o e d y b i o s @ y a h o o . c o m

2/16/2015 Boedy Bios: Access Control Sebagai Bagian dalam Information System Security

http://boedy.blogspot.com/2007/12/accesscontrolsebagaibagiandalam.html 2/3

hardware yang membangun suatu sistemPhysical Access Control terbagi menjadi tiga bentuk, yaitu1. Perimiter Security

Perimiter Security bertujuan untuk membatasi akses masuk ke area atau lokasi dimana perangkat hardware berada. Contoh nyata dari penerapan Perimiter Security

adalah penggunaan pagar dan tembok, penerapan limited access room di mana hanyabeberapa orang saja yang diijinkan memasuki suatu ruangan tertentu. Pembatasan masukruangan bisa dilakukan menggunakan kunci ruangan ataupun perangkat autentikasisemisal card reader dan perangkat biometric seperti finger print scanner.2. Cable ProtectionProteksi kabel dapat dilakukan melalui beberapa cara, yaitu shielding untuk meningkatkanketahanan terhadap EMI (Electro Magnetic Interference), memilih jenis kabel yang tahanterhadap EMI seperti fiber optic, dan juga penggunaan conduit untuk memproteksi kabeldari gangguan kerusakan secara fisik seperti misalnya gigitan tikus.Penggunaan cable shielding dimaksudkan untuk memproteksi data yang dilewatkanmelalui suatu kabel dari gangguan EMI (protected the data). Sedangkan penggunaanconduit dimaksudkan untuk memproteksi kabel itu sendiri secara fisik dari serangan yangmungkin mengakibatkan kerusakan secara fisik (protected the cable).3.Pembagian Area Kerja (separation of duties and work areas)Pembagian area kerja secara fisik di antara karyawan ditujukan untuk meminimalisirterjadinya shoulder surfing. Yang dimaksud dengan istilah shoulder surfing adalah di manaseorang karyawan dapat melihat dan mengamati aktifitas yang dilakukan oleh karyawanlainnya dengan mengintip lewat balik bahu. Memang terdengar konyol, tetapi beberapaaksi pencurian password juga dilakukan dengan mekanisme seperti ini. Selain itu, denganmembagi area kerja secara fisik dapat menghidarkan seorang karyawan untukmengetahui dan mempelajari keseluruhan proses yang sifatnya sensitif. Seorang karyawanhanya mengetahui sebagian saja dari proses sensitif tersebut yaitu proses yang memangmenjadi bagian dari area kerja dan tanggung jawabnya.

Administrative Access ControlAdministrative Access Control akan berisi sekumpulan peraturan dan strategi untukmembatasi akses terhadap suatu resource tertentu dalam upaya pengaman terhadapsistem. Selain itu, Administrative Access Control juga berbicara mengenai mekanismemonitoring / pengawasan dan pendeteksian terhadap pelanggaran akses terhadap suaturesource.Ada 4 point utama yang terkandung dalam Administrative Access Control, yaitu:1. Policies and ProcedureDi sini berbicara mengenai penyusunan aturan / kebijakan dan prosedur yang jelasberkaitan dengan akses terhadap resourceresource yang terdapat di dalam sistem.Dalam point ini peranan dan dukungan dari pimpinan dalam tataran eksekutif sangatlahpenting sehingga kebijakan dan juga prosedur yang sudah disusun memiliki kekuatan (danterkadang memang perlu agak dipaksakan) untuk bisa diimplementasikan dan diikuti olehsemua karyawan yan terlibat di dalam sistem. Tanpa adanya dukungan dari pimpinanmaka kebijakan dan prosedur yang sudah disusun menjadi powerless atau tak memilikikekuatan apaapa.2. Hiring PraticesDi sini berbicara mengenai mekanisme perekrutan karyawan baru. Dalam prosesperekrutan, salah satu point yang perlu diperhatikan adalah tanggapan dan pendapatdari si calon karyawan tersebut berkenaan dengan kebijakan dan prosedur yang sudahdisusun. Rekrutlah karyawan yang memang sejalan dan sependapat dengan kebijakandan prosedur yang berlaku di perusahaan.

3. Security Awareness TrainingSelain merekrut karyawan yang sependapat dengankebijakan dan prosedur yang berlaku, perllu juga dilakukanpelatihan / training berkaitan dengan security awareness.Di sini setiap karyawan akan dijelaskan dan disadarkanbetapa pentingnya aspek keamanan terhadap sistem.Diharapkan setelah mengikuti pelatihan ini setiapkaryawan dapat mengikuti dan menjalankan setiapkebijakan dan prosedur yang berkaitan dengankeamanan sistem dengan penuh tanggung jawab karenatelah menyadari betapa pentingnya aspek keamanan

sistem yang terkandung di dalamnya.4. Monitoring

► June (1)► May (4)

► April (5)► March (3)► February (1)► January (9)

▼ 2007 (150)▼ December (18)

Last Day in PontianakTugu KhatulistiwaEs Tahu

Kwe CapSMK ImanuelKwe Tiau ArangMenyebrangi Sungai

Kapuas

Safe The EarthGo To PontianakAccess Control Sebagai

Bagian dalam InformationSy...

Latihan Pernapasan

Hip Hop Light Up Your LifeTekanan Darah RendahMail Yahoo UpMail Yahoo down

I Hate ChrismastDisiplin BelajarLemburan Menyusun Modul

Pelatihan MikroTik

► November (15)► October (15)► September (19)► August (27)

► July (28)► June (15)► May (1)► March (10)

► February (2)

► 2006 (22)► November (13)► February (4)

► January (5)

► 2005 (41)► December (10)► October (2)

► September (7)► August (9)► July (4)► May (2)

► April (6)► March (1)

► 2004 (3)► November (1)

► October (1)► July (1)

2/16/2015 Boedy Bios: Access Control Sebagai Bagian dalam Information System Security

http://boedy.blogspot.com/2007/12/accesscontrolsebagaibagiandalam.html 3/3

Newer Post Older Post

Point terakhir adalah monitoring atau pengawasan terhadap kebijakan dan prosedur yangberlaku. Di sini akan dilakukan pemantauan apakah setiap prosedur sudah dilakukandengan baik atau adakah pelanggaranpelanggaran yang terjadi terhadap kebijakandan prosedur yang berlaku. Tujuan utama dari point ini adalah memastikan setiapkebijakan dan prosedur yang berlaku berjalan dengan baik.

Logical Access ControlLogical Access Control akan berbicara mengenai halhal teknis yag diberlakukan

untuk melakukan pengaturan / pengendalian akses terhadap resourceresource yang adadi dalam suatu sistem.Ada 3 point utama yang terkandung dalam Logical Access Control, yaitu:1. Object Access RestrictionPoint ini dimaksudkan untuk mengijinkan akses kepada authorized user. Hal ini bisadilakukan dengan menggunakan Role Based Access Control di mana akan didefinisikanakses apa saja yang diijinkan kepada seorang atau sekumpulan karyawan berkaitandengan jabatan dan wewenang yang dimilikinya.2. EncryptionMelakukan penyandian data sehinga data hanya bisa dibaca oleh orangorang yangmemang memiliki hak akses.3. Network Architecture / SegregationMelakukan segmentasi pada infrastruktur jaringan komputer yang ada. Hal ini ditujukanuntuk menghindari adanya aksi pencurian data yang dilakukan melalui infratruktur jaringanyang ada.

Yang perlu diingat adalah physical, administrative, dan logical access control ketiganyaadalah samasama penting dan kesemuanya menuntut perhatian yang serius.

Demikian tulisan singkat berkaitan dengan halhal dasar yang sebaiknya Anda ketahuiseputar Access Control dalam Information System Security. Tulisantulisan berikutnyaberkaitan dengan topik ini akan coba disusun :)

0 c o m m e n t s :

Post a Comment

Home

Subscribe to: Post Comments (Atom)

Boedy Bios © 2009 | Dark Marble Blogger Template | Original WPtheme By CMS Developer Web | Converted to Blogger by Herro