Information System SecurityPertemuan ke-1, Prinsip Manajemen Keamanan. D

udy

Fath

an A

li, 2

013.

Dud

y Fa

than

Ali,

201

3.

Prinsip Manajemen Keamanan• Manajemen : penggunaan sumber daya secara

efektif untuk mencapai sasaran. (http://bahasa.kemdiknas.go.id).

• Keamanan : menggambarkan suatu kondisi yang bebas dari bahaya dan gangguan. (http://bahasa.kemdiknas.go.id).

• Manajemen Keamanan, adalah suatu pengaturan kondisi dan keadaan yang bertujuan untuk meminimalisir resiko yang terjadi karena ancaman dari luar.

Dud

y Fa

than

Ali,

201

3.

Prinsip Manajemen Keamanan• Prinsip manajemen keamanan mendefinisikan

parameter dasar yang diperlukan untuk mengamankan suatu lingkungan kerja.

• Parameter tersebut selanjutnya digunakan sebagai acuan untuk melakukan disain, implementasi, dan administrasi suatu sistem.

• Pertumbuhan perangkat komunikasi dan komputasi tentu saja dibarengi dengan peningkatan layanan dan pengguna. Peningkatan layanan tersebut tentu saja berakibat pada meningkatnya celah keamanan dan makin banyaknya serangan yang mungkin terjadi.

Dud

y Fa

than

Ali,

201

3.

Prinsip Manajemen Keamanan

Sumber : Internet System Consortium (www.isc.org)

Dud

y Fa

than

Ali,

201

3.

Prinsip Manajemen Keamanan• 3 tujuan utama dari manajemen keamanan :• Confidentiality (kerahasiaan), adalah perlindungan

informasi dalam sistem agar pihak yang tidak berhak tidak dapat mengaksesnya.

• Integrity (keutuhan), merupakan perlindungan terhadap data dari perubahan yang tidak diijinkan secara sengaja maupun tidak.

• Availability (ketersediaan), adalah jaminan bahwa sistem komputer dapat diakses oleh pengguna yang diijinkan ketika diperlukan.

Confidentiality (kerahasiaan)• Suatu perusahaan atau organisasi masyarakat

perlu memanfaatkan prinsip ini sampai dapat memberikan dampak signifikan terhadap data perusahaan. Sehingga rahasia perusahaan tetap terjaga dari kompetitor atau pihak lain yang menginginkan informasi yang bersifat sensitif.

• Ancaman yang berhubungan kepada kerahasiaan dari suatu data :• Hacker, orang yang mem-bypass access control

suatu sistem untuk mendapatkan kelemahan keamanan yang ditinggalkan oleh pengembang sistem.

• Masquarader, pengguna yang memiliki ijin namun mendapatkan password dari pengguna lain sehingga mendapatkan hak akses data pengguna lain.

Dud

y Fa

than

Ali,

201

3.

Confidentiality (kerahasiaan)• Unauthorized User Activity, aktivitas ini terjadi

apabila pengguna yang telah diberikan ijin mengakses file lain yang seharusnya tidak diijinkan untuknya. Kelemahan kendali akses seringkali mengakibatkan hal ini.

• Local Area Network (LAN), mengakibatkan ancaman yang bersifat khusus karena data yang dikirimkan melalui jaringan dapat dilihat pada tiap node meskipun data tersebut tidak diperuntukkan pada node tersebut.

• Trojan, diprogram untuk menyalin data rahasia ke wilayah yang tak terlindungi pada sistem ketika dieksekusi tanpa sepengetahuan pengguna yang memiliki otorisasi saat ia mengakses suatu file.

Dud

y Fa

than

Ali,

201

3.

Integrity (keutuhan)• Untuk memastikan integritas suatu data dapat

dijaga, proses otentikasi dan identifikasi pengguna merupakan hal utama yang perlu diperhatikan.

• Integritas tergantung kepada access control yang akan mengidentifikasi pengguna yang berusaha mengakses.

• Tujuan Integritas :• Mencegah pengguna yang tidak berhak

memodifikasi data atau program.• Mencegah pengguna yang memiliki hak

memodifikasi yang tak diijinkan atau tidak sesuai ketentuan.

• Menjaga konsistensi data dan program secara internal maupun eksternal.

Dud

y Fa

than

Ali,

201

3.

Integrity (keutuhan)• Ancaman pada Integrity berhubungan dengan

ancaman pada Confidentiality, karena ancaman tersebut mengakibatkan terjadinya perubahan data yang tak diijinkan.

• Prinsip dasar yang digunakan untuk memastikan integritas adalah:• Pemberian hak akses berdasarkan apa yang perlu

diketahui• Pengguna diberikan hak hanya pada file dan program

yang dibutuhkan saja sesuai dengan pekerjaan yang dibebankan pada pengguna tersebut. Selanjutnya setiap akses terhadap data harus dikendalikan dengan baik melalui otorisasi yang diberikan sehingga setiap perubahan tidak akan mempengaruhi integritas data.

Dud

y Fa

than

Ali,

201

3.

Integrity (keutuhan)• Pembagian Tugas• Memastikan tidak ada satu pegawai pun yang

mengendalikan suatu transaksi dari awal hingga akhir. Pembagian tugas ini memungkinkan terjadinya pengendalian secara bertahap terhadap suatu sistem, sehingga apabila 1 pengguna melakukan kesalahan, tidak akan mempengaruhi keseluruhan proses, karena pengguna lain belum tentu melakukan kesalahan yang sama.

• Pergantian Tugas• Pemberian tugas harus dilakukan bergantian secara

rutin untuk menghindari kemampuan pengguna untuk mencoba mengamati sistem yang pada akhirnya melakukan tindakan yang mengakibatkan adanya ancaman pada sistem.

Dud

y Fa

than

Ali,

201

3.

Integrity (keutuhan)• Model Integritas• Tahap : • Identifikasi.• Verifikasi.• Transformasi.

• Untuk memastikan terjadinya perubahan data sesuai dengan mekanisme yang telah disiapkan maka sistem juga harus konsisten dan memiliki ketahanan untuk memastikan mekanisme terlaksana dengan benar.

• Beberapa model integritas yang dapat digunakan :• Biba (1977).• Goguan-meseguer (1982 ).• Sutherland (1986 ).• Clark-wilson (1987 ).• Brewer-nash (1989).

Dud

y Fa

than

Ali,

201

3.

Availability (ketersediaan)• Ketersediaan adalah jaminan bahwa sistem

komputer dapat diakses oleh pengguna yang diijinkan ketika diperlukan.

• Dua hal yang perlu diperhatikan dalam memberikan jaminan availability : • DOS (denial of service), merupakan suatu kejadian

yang mengakibatkan sistem komputer tidak dapat digunakan oleh pengguna yang berhak.

• Kehilangan kemampuan memproses karena bencana (misal: kebakaran, banjir, kerusakan tiba-tiba dan sebagainya termasuk adanya peperangan).

Dud

y Fa

than

Ali,

201

3.

Dud

y Fa

than

Ali,

201

3.

Terima Kasih.Dudy Fathan Ali.Prinsip dan Konsep Keamanan, 2013.Email :- dudy.fathan@eng.ui.ac.id

- dudyali@gmail.com