harmonisasi keamanan fisik dan keamanan sistem informasi
TRANSCRIPT
-
8/16/2019 Harmonisasi Keamanan Fisik Dan Keamanan Sistem Informasi
1/3
Volume III No 23 - Januari 2005
Agus Pracoyo
Harmonisasi Keamanan
Fisik dan Keamanan Sistem
Informasi
Sebenarnya, dikotomi antara keamanan fisik (
physical security ) dan keamanan sistem
informasi (information security atau logical
security ) adalah sesuatu yang tidak tepat
benar. Orang umumnya mendefinisikan
keamanan fisik sebagai suatu mekanisme
untuk melindungi properti seperti bangunan,
dan fasilitas. Sedang, keamanan sistem
informasi adalah mekanisme untuk melindungi
data.
Merujuk definisi di atas, apakah kunci pintu
ruangan komputer, yang jelas dapat
dikategorikan sebagai pengamanan fisik,
dapat juga dikategorikan sebagai pengamanan
sistem informasi?
Umumnya, orang akan setuju bahwa kunci
pintu juga merupakan bagian pengamanan
sistem informasi, karena kunci pintu akan
mencegah orang yang tidak berkepentingan
mengakses komputer dan data yang ada di
dalamnya. Tetapi apakah berlaku sebaliknya?
Pengamanan sistem informasi menjadi bagian
dari pengamanan fisik ?
Dikotomi antara keamanan fisik dan
keamanan sistem informasi pada perusahaan juga terlihat pada pemisahan bagian/divisi
yang menanganinya. Keterlibatan staf TI dalam pengamanan fisik pada sebagian besar
perusahaan, boleh dikata tidak ada. Keamanan fisik, biasanya, menjadi tugas bagian
umum. Sebaliknya, dalam pengamanan informasi seperti pengadaan firewall atau anti virus
sudah jelas merupakan tugas divisi TI dan bagian umum enggan menyentuhnya.
Pentingnya Koordinasi
Tulisan ini tidak ditujukan untuk memperdebatkan dikotomi istilah, tetapi lebih menyoroti
pentingnya koordinasi antara bagian yang menangani keamanan fisik dan keamanan sistem
informasi, yang relevan sekarang ini.
Saat ini, masing terlihat rendahnya koordinasi antara bagian yang menangani keamanan
fisik dan keamanan sistem informasi. Salah satu contohnya, seperti terjadi pada suatu
perusahaan penyedia jasa telekomunikasi. Perusahaan tersebut mempunyai ruang server
dengan dua pintu. Pintu pertama terhubung ke ruang kerja staf TI, sedang pintu lainnya
terhubung ke koridor dan digunakan untuk keluar masuk barang. Kedua pintu ini akan
mengunci secara otomatis jika tertutup. Akses ke ruang server hanya dapat dilakukan dari
pintu pertama dengan menggunakan kartu akses, sedang pintu kedua hanya dapat dibuka
dari dalam.
onisasi Keamanan Fisik dan Keamanan Sistem Informasi - eBizzAs... http://www.ebizzasia.com/0324-2005/column,agus,0
30/06/2
-
8/16/2019 Harmonisasi Keamanan Fisik Dan Keamanan Sistem Informasi
2/3
Kenyataan yang terjadi adalah, pintu kedua ini sering terbuka (dengan cara diganjal) tanpa
pengawasan, terutama jika ada vendor yang bekerja. Alasannya, ‘memudahkan'
vendor/kontraktor keluar masuk tanpa harus meminta staf TI untuk membukakan pintu.
Kalaupun ada satpam yang lewat, hal ini dianggap sesuatu hal yang lazim.
Contoh lainnya, terjadi pada suatu perusahaan yang menerapkan pengamanan fisik yang
cukup ‘OK'. Akses pintu utama dilakukan dengan menggunakan sidik jari ( fingerprint)
ditambah kamera pengawas yang terhubung ke komputer sebagai pengatur kamera dan
perekam digital. Komputer ini juga dihubungkan melalui jaringan data ke komputer
koordinator satpam untuk tugas monitoring . Sayangny,a baik komputer yang berisi
database sidik jari maupun komputer untuk tugas pengatur kamera dan perekam gambar
diletakkan di pojok ruangan pantry, yang dipisahkan dengan bagian pantry lainnya hanya
oleh penyekat tanpa pintu. Yang lebih memprihatinkan lagi, tidak adanya password sebagai
kontrol akses ke komputer pengatur kamera.
Contoh pertama di atas menunjukkan rendahnya kesadaran staf TI dan juga Pak Satpam
akan pentingnya keamanan fisik terhadap keamanan sistem informasi (walaupun kalau
disurvei, dapat dipastikan 100% staf TI akan setuju bahwa keamanan fisik penting).
Sedangkan contoh kedua menunjukkan sebaliknya, rendahnya kesadaran (atau
ketidaktahuan ?) akan dampak ganguan atas sistem informasi terhadap keamanan fisik.
Banyak pihak yang tidak atau belum melihat hubungan pengaruh keamanan sistem
informasi terhadap keamanan fisik. Mereka mempertanyakan, apa mungkin seorang hacker
melalui Internet membuka pintu ruangan yang terkunci tanpa membongkar pintu? Hal ini
pula yang ditangkap oleh Dan Verton, mantan staf intelejen angkatan laut Amerika dalam
bukunya yang berjudul “Black Ice – The invisible Threat of Cyber-Terrorism”. Dan Verton
mengatakan “Many Internet security analyst and observers have refused to acknowledge
the physical aspects of cyber-terrorism ..”
Beberapa orang tidak menyadari bahwa pengamanan fisik dewasa ini banyak dipengaruhi
oleh teknologi sistem informasi. Sekarang ini sudah umum peralatan kamera dan
perekamnya dihubungkan ke jaringan data. Di beberapa tempat orang dapat menggunakan
fasilitas bluetooth pada handphone untuk membeli minuman dari vending machine , atau
membuka/menutup pintu rumah serta mematikan/menghidupkan mesin mobil lewat
fasilitas GPRS ( Global Packet Radio service ).
Di suatu perusahaan multinasioal jasa perminyakan, keterkaitan antara pengaman fisik dan
teknologi sistem informasi begitu tinggi. Perusahaan tersebut sudah menerapkan sistem
yang disebut “one (ID) for all” alias satu kartu akses (berupa Smart Card ) dapat
digunakan untuk autentikasi akses fisik, akses jaringan, bahkan untuk auto debet gaji atas
pembayaran makanan di kantin perusahaan. Dengan sistem tersebut pula, memungkinkan
seorang karyawan di suatu lokasi untuk meminta akses fisik pada fasilitas di lokasi lainnya
secara on-line .
Contoh di atas cukup kuat untuk menjadi jawaban atas keraguan mengenai pengaruh
keamanan sistem informasi terhadap keamanan fisik.
SCADA
Hubungan yang kuat antara keamanan fisik dan keamanan sistem informasi juga dilihat US
Department of Energy, terutama terhadap sistem Supervisory control and data acquisition
(SCADA). Bahkan, mereka mengkategorikan keamanan sistem SCADA sebagai isu nasional
(Amerika).
SCADA merupakan sistem elektronik yang digunakan untuk memonitor dan mengontrol
suatu perangkat pemrosesan. Pada sektor energi, SCADA digunakan untuk mengontrol
transmisi dan distribusi arus listrik, mengatur buka/tutup keran minyak dan gas pada
pipa-pipa dan reservoir , mengatur debit air dari waduk untuk keperluan pembangkit
tenaga listrik. SCADA juga digunakan oleh sektor lainnya untuk keperluan, misalnya
mengontrol dan memonitor pemrosesan bahan-bahan kimia, proses sanitasi air, dan
sebagainya.
Menurut laporan US Department of Energy bulan July 2003, banyak sistem SCADA yang
dirancang tanpa atau sedikit sekali memperhatikan faktor keamanan. Sebagai contoh, data
yang dikirim melalui sistem SCADA dilakukan melewati jaringan kabel publik ataupun
jaringan nirkabel tanpa enkripsi. Protokol yang digunakan untuk menerima perintahpun
dapat diakses tanpa autentikasi.
Selain itu, beberapa sistem SCADA menggunakan sistem operasi yang tidak aman.
Kerentanan-kerentanan di atas jelas-jelas memberi peluang besar bagi orang untuk
melakukan eksploitasi terhadap sistem SCADA. Di samping itu, karena sistem SCADA
sifatnya real-time, maka ketersediaan sistem tersebut menjadi sangat penting. Bayangkan
jika perintah membuka saluran gas untuk mengurangi tekanan pada reservoir tidak sampai
ke sistem SCADA, karena jalur data menjadi penuh akibat denial of service attack .
Harmonisasi
onisasi Keamanan Fisik dan Keamanan Sistem Informasi - eBizzAs... http://www.ebizzasia.com/0324-2005/column,agus,0
30/06/2
-
8/16/2019 Harmonisasi Keamanan Fisik Dan Keamanan Sistem Informasi
3/3
Harmonisasi keamanan fisik dan keamanan sistem informasi dalam bentuk satu
koordinator maupun kerjasama yang lebih erat akan sangat menunjang pengamanan
secara keseluruhan. Ada banyak efisiensi dan keuntungan yang didapatkan dengan adanya
harmonisasi mekanisme pengamanan.
John Pontrelli menyebutkan antara lain:
Lebih memotivasi anggota tim keamanan karena adanya pelatihan silang (spesialisasi
tetap pada masing-masing bagian).
Perencanaan keamanan perusahaan menjadi lebih komprehensif.
Program sosialisasi keamanan untuk seluruh karyawan menjadi lebih komprehensif.
Satu pintu untuk pelaporan kejadian ganguan keamanan yang berimplikasi pada databasedan matriks gangguan keamanan yang lebih lengkap dan memudahkan dalam melihat pola
ganguan secara lebih komprehensif.
Agus Pracoyo • channel manager / security consultant pada PT. Indokom Primanusa
dengan alamat e-mail: [email protected]
Foto: dok. ebizzasia
© 2003 - 2005 eBizzAsia. All rights reserved.
onisasi Keamanan Fisik dan Keamanan Sistem Informasi - eBizzAs... http://www.ebizzasia.com/0324-2005/column,agus,0
30/06/2