harmonisasi keamanan fisik dan keamanan sistem informasi

8/16/2019 Harmonisasi Keamanan Fisik Dan Keamanan Sistem Informasi

1/3

Volume III No 23 - Januari 2005

Agus Pracoyo

Harmonisasi Keamanan

Fisik dan Keamanan Sistem

Informasi

Sebenarnya, dikotomi antara keamanan fisik (

physical security ) dan keamanan sistem

informasi (information security atau logical

security ) adalah sesuatu yang tidak tepat

benar. Orang umumnya mendefinisikan

keamanan fisik sebagai suatu mekanisme

untuk melindungi properti seperti bangunan,

dan fasilitas. Sedang, keamanan sistem

informasi adalah mekanisme untuk melindungi

data.

Merujuk definisi di atas, apakah kunci pintu

ruangan komputer, yang jelas dapat

dikategorikan sebagai pengamanan fisik,

dapat juga dikategorikan sebagai pengamanan

sistem informasi?

Umumnya, orang akan setuju bahwa kunci

pintu juga merupakan bagian pengamanan

sistem informasi, karena kunci pintu akan

mencegah orang yang tidak berkepentingan

mengakses komputer dan data yang ada di

dalamnya. Tetapi apakah berlaku sebaliknya?

Pengamanan sistem informasi menjadi bagian

dari pengamanan fisik ?

Dikotomi antara keamanan fisik dan

keamanan sistem informasi pada perusahaan juga terlihat pada pemisahan bagian/divisi

yang menanganinya. Keterlibatan staf TI dalam pengamanan fisik pada sebagian besar

perusahaan, boleh dikata tidak ada. Keamanan fisik, biasanya, menjadi tugas bagian

umum. Sebaliknya, dalam pengamanan informasi seperti pengadaan firewall atau anti virus

sudah jelas merupakan tugas divisi TI dan bagian umum enggan menyentuhnya.

Pentingnya Koordinasi

Tulisan ini tidak ditujukan untuk memperdebatkan dikotomi istilah, tetapi lebih menyoroti

pentingnya koordinasi antara bagian yang menangani keamanan fisik dan keamanan sistem

informasi, yang relevan sekarang ini.

Saat ini, masing terlihat rendahnya koordinasi antara bagian yang menangani keamanan

fisik dan keamanan sistem informasi. Salah satu contohnya, seperti terjadi pada suatu

perusahaan penyedia jasa telekomunikasi. Perusahaan tersebut mempunyai ruang server

dengan dua pintu. Pintu pertama terhubung ke ruang kerja staf TI, sedang pintu lainnya

terhubung ke koridor dan digunakan untuk keluar masuk barang. Kedua pintu ini akan

mengunci secara otomatis jika tertutup. Akses ke ruang server hanya dapat dilakukan dari

pintu pertama dengan menggunakan kartu akses, sedang pintu kedua hanya dapat dibuka

dari dalam.

onisasi Keamanan Fisik dan Keamanan Sistem Informasi - eBizzAs... http://www.ebizzasia.com/0324-2005/column,agus,0

30/06/2


2/3

Kenyataan yang terjadi adalah, pintu kedua ini sering terbuka (dengan cara diganjal) tanpa

pengawasan, terutama jika ada vendor yang bekerja. Alasannya, ‘memudahkan'

vendor/kontraktor keluar masuk tanpa harus meminta staf TI untuk membukakan pintu.

Kalaupun ada satpam yang lewat, hal ini dianggap sesuatu hal yang lazim.

Contoh lainnya, terjadi pada suatu perusahaan yang menerapkan pengamanan fisik yang

cukup ‘OK'. Akses pintu utama dilakukan dengan menggunakan sidik jari ( fingerprint)

ditambah kamera pengawas yang terhubung ke komputer sebagai pengatur kamera dan

perekam digital. Komputer ini juga dihubungkan melalui jaringan data ke komputer

koordinator satpam untuk tugas monitoring . Sayangny,a baik komputer yang berisi

database sidik jari maupun komputer untuk tugas pengatur kamera dan perekam gambar

diletakkan di pojok ruangan pantry, yang dipisahkan dengan bagian pantry lainnya hanya

oleh penyekat tanpa pintu. Yang lebih memprihatinkan lagi, tidak adanya password sebagai

kontrol akses ke komputer pengatur kamera.

Contoh pertama di atas menunjukkan rendahnya kesadaran staf TI dan juga Pak Satpam

akan pentingnya keamanan fisik terhadap keamanan sistem informasi (walaupun kalau

disurvei, dapat dipastikan 100% staf TI akan setuju bahwa keamanan fisik penting).

Sedangkan contoh kedua menunjukkan sebaliknya, rendahnya kesadaran (atau

ketidaktahuan ?) akan dampak ganguan atas sistem informasi terhadap keamanan fisik.

Banyak pihak yang tidak atau belum melihat hubungan pengaruh keamanan sistem

informasi terhadap keamanan fisik. Mereka mempertanyakan, apa mungkin seorang hacker

melalui Internet membuka pintu ruangan yang terkunci tanpa membongkar pintu? Hal ini

pula yang ditangkap oleh Dan Verton, mantan staf intelejen angkatan laut Amerika dalam

bukunya yang berjudul “Black Ice – The invisible Threat of Cyber-Terrorism”. Dan Verton

mengatakan “Many Internet security analyst and observers have refused to acknowledge

the physical aspects of cyber-terrorism ..”

Beberapa orang tidak menyadari bahwa pengamanan fisik dewasa ini banyak dipengaruhi

oleh teknologi sistem informasi. Sekarang ini sudah umum peralatan kamera dan

perekamnya dihubungkan ke jaringan data. Di beberapa tempat orang dapat menggunakan

fasilitas bluetooth pada handphone untuk membeli minuman dari vending machine , atau

membuka/menutup pintu rumah serta mematikan/menghidupkan mesin mobil lewat

fasilitas GPRS ( Global Packet Radio service ).

Di suatu perusahaan multinasioal jasa perminyakan, keterkaitan antara pengaman fisik dan

teknologi sistem informasi begitu tinggi. Perusahaan tersebut sudah menerapkan sistem

yang disebut “one (ID) for all” alias satu kartu akses (berupa Smart Card ) dapat

digunakan untuk autentikasi akses fisik, akses jaringan, bahkan untuk auto debet gaji atas

pembayaran makanan di kantin perusahaan. Dengan sistem tersebut pula, memungkinkan

seorang karyawan di suatu lokasi untuk meminta akses fisik pada fasilitas di lokasi lainnya

secara on-line .

Contoh di atas cukup kuat untuk menjadi jawaban atas keraguan mengenai pengaruh

keamanan sistem informasi terhadap keamanan fisik.

SCADA

Hubungan yang kuat antara keamanan fisik dan keamanan sistem informasi juga dilihat US

Department of Energy, terutama terhadap sistem Supervisory control and data acquisition

(SCADA). Bahkan, mereka mengkategorikan keamanan sistem SCADA sebagai isu nasional

(Amerika).

SCADA merupakan sistem elektronik yang digunakan untuk memonitor dan mengontrol

suatu perangkat pemrosesan. Pada sektor energi, SCADA digunakan untuk mengontrol

transmisi dan distribusi arus listrik, mengatur buka/tutup keran minyak dan gas pada

pipa-pipa dan reservoir , mengatur debit air dari waduk untuk keperluan pembangkit

tenaga listrik. SCADA juga digunakan oleh sektor lainnya untuk keperluan, misalnya

mengontrol dan memonitor pemrosesan bahan-bahan kimia, proses sanitasi air, dan

sebagainya.

Menurut laporan US Department of Energy bulan July 2003, banyak sistem SCADA yang

dirancang tanpa atau sedikit sekali memperhatikan faktor keamanan. Sebagai contoh, data

yang dikirim melalui sistem SCADA dilakukan melewati jaringan kabel publik ataupun

jaringan nirkabel tanpa enkripsi. Protokol yang digunakan untuk menerima perintahpun

dapat diakses tanpa autentikasi.

Selain itu, beberapa sistem SCADA menggunakan sistem operasi yang tidak aman.

Kerentanan-kerentanan di atas jelas-jelas memberi peluang besar bagi orang untuk

melakukan eksploitasi terhadap sistem SCADA. Di samping itu, karena sistem SCADA

sifatnya real-time, maka ketersediaan sistem tersebut menjadi sangat penting. Bayangkan

jika perintah membuka saluran gas untuk mengurangi tekanan pada reservoir tidak sampai

ke sistem SCADA, karena jalur data menjadi penuh akibat denial of service attack .

Harmonisasi


30/06/2


3/3

Harmonisasi keamanan fisik dan keamanan sistem informasi dalam bentuk satu

koordinator maupun kerjasama yang lebih erat akan sangat menunjang pengamanan

secara keseluruhan. Ada banyak efisiensi dan keuntungan yang didapatkan dengan adanya

harmonisasi mekanisme pengamanan.

John Pontrelli menyebutkan antara lain:

Lebih memotivasi anggota tim keamanan karena adanya pelatihan silang (spesialisasi

tetap pada masing-masing bagian).

Perencanaan keamanan perusahaan menjadi lebih komprehensif.

Program sosialisasi keamanan untuk seluruh karyawan menjadi lebih komprehensif.

Satu pintu untuk pelaporan kejadian ganguan keamanan yang berimplikasi pada databasedan matriks gangguan keamanan yang lebih lengkap dan memudahkan dalam melihat pola

ganguan secara lebih komprehensif.

Agus Pracoyo • channel manager / security consultant pada PT. Indokom Primanusa

dengan alamat e-mail: [email protected]

Foto: dok. ebizzasia

© 2003 - 2005 eBizzAsia. All rights reserved.


30/06/2

harmonisasi keamanan fisik dan keamanan sistem informasi

Documents