information system security - prinsip manajemen keamanan
TRANSCRIPT
Information System SecurityPertemuan ke-1, Prinsip Manajemen Keamanan. D
udy
Fath
an A
li, 2
013.
Dud
y Fa
than
Ali,
201
3.
Prinsip Manajemen Keamanan• Manajemen : penggunaan sumber daya secara
efektif untuk mencapai sasaran. (http://bahasa.kemdiknas.go.id).
• Keamanan : menggambarkan suatu kondisi yang bebas dari bahaya dan gangguan. (http://bahasa.kemdiknas.go.id).
• Manajemen Keamanan, adalah suatu pengaturan kondisi dan keadaan yang bertujuan untuk meminimalisir resiko yang terjadi karena ancaman dari luar.
Dud
y Fa
than
Ali,
201
3.
Prinsip Manajemen Keamanan• Prinsip manajemen keamanan mendefinisikan
parameter dasar yang diperlukan untuk mengamankan suatu lingkungan kerja.
• Parameter tersebut selanjutnya digunakan sebagai acuan untuk melakukan disain, implementasi, dan administrasi suatu sistem.
• Pertumbuhan perangkat komunikasi dan komputasi tentu saja dibarengi dengan peningkatan layanan dan pengguna. Peningkatan layanan tersebut tentu saja berakibat pada meningkatnya celah keamanan dan makin banyaknya serangan yang mungkin terjadi.
Dud
y Fa
than
Ali,
201
3.
Prinsip Manajemen Keamanan
Sumber : Internet System Consortium (www.isc.org)
Dud
y Fa
than
Ali,
201
3.
Prinsip Manajemen Keamanan• 3 tujuan utama dari manajemen keamanan :• Confidentiality (kerahasiaan), adalah perlindungan
informasi dalam sistem agar pihak yang tidak berhak tidak dapat mengaksesnya.
• Integrity (keutuhan), merupakan perlindungan terhadap data dari perubahan yang tidak diijinkan secara sengaja maupun tidak.
• Availability (ketersediaan), adalah jaminan bahwa sistem komputer dapat diakses oleh pengguna yang diijinkan ketika diperlukan.
Confidentiality (kerahasiaan)• Suatu perusahaan atau organisasi masyarakat
perlu memanfaatkan prinsip ini sampai dapat memberikan dampak signifikan terhadap data perusahaan. Sehingga rahasia perusahaan tetap terjaga dari kompetitor atau pihak lain yang menginginkan informasi yang bersifat sensitif.
• Ancaman yang berhubungan kepada kerahasiaan dari suatu data :• Hacker, orang yang mem-bypass access control
suatu sistem untuk mendapatkan kelemahan keamanan yang ditinggalkan oleh pengembang sistem.
• Masquarader, pengguna yang memiliki ijin namun mendapatkan password dari pengguna lain sehingga mendapatkan hak akses data pengguna lain.
Dud
y Fa
than
Ali,
201
3.
Confidentiality (kerahasiaan)• Unauthorized User Activity, aktivitas ini terjadi
apabila pengguna yang telah diberikan ijin mengakses file lain yang seharusnya tidak diijinkan untuknya. Kelemahan kendali akses seringkali mengakibatkan hal ini.
• Local Area Network (LAN), mengakibatkan ancaman yang bersifat khusus karena data yang dikirimkan melalui jaringan dapat dilihat pada tiap node meskipun data tersebut tidak diperuntukkan pada node tersebut.
• Trojan, diprogram untuk menyalin data rahasia ke wilayah yang tak terlindungi pada sistem ketika dieksekusi tanpa sepengetahuan pengguna yang memiliki otorisasi saat ia mengakses suatu file.
Dud
y Fa
than
Ali,
201
3.
Integrity (keutuhan)• Untuk memastikan integritas suatu data dapat
dijaga, proses otentikasi dan identifikasi pengguna merupakan hal utama yang perlu diperhatikan.
• Integritas tergantung kepada access control yang akan mengidentifikasi pengguna yang berusaha mengakses.
• Tujuan Integritas :• Mencegah pengguna yang tidak berhak
memodifikasi data atau program.• Mencegah pengguna yang memiliki hak
memodifikasi yang tak diijinkan atau tidak sesuai ketentuan.
• Menjaga konsistensi data dan program secara internal maupun eksternal.
Dud
y Fa
than
Ali,
201
3.
Integrity (keutuhan)• Ancaman pada Integrity berhubungan dengan
ancaman pada Confidentiality, karena ancaman tersebut mengakibatkan terjadinya perubahan data yang tak diijinkan.
• Prinsip dasar yang digunakan untuk memastikan integritas adalah:• Pemberian hak akses berdasarkan apa yang perlu
diketahui• Pengguna diberikan hak hanya pada file dan program
yang dibutuhkan saja sesuai dengan pekerjaan yang dibebankan pada pengguna tersebut. Selanjutnya setiap akses terhadap data harus dikendalikan dengan baik melalui otorisasi yang diberikan sehingga setiap perubahan tidak akan mempengaruhi integritas data.
Dud
y Fa
than
Ali,
201
3.
Integrity (keutuhan)• Pembagian Tugas• Memastikan tidak ada satu pegawai pun yang
mengendalikan suatu transaksi dari awal hingga akhir. Pembagian tugas ini memungkinkan terjadinya pengendalian secara bertahap terhadap suatu sistem, sehingga apabila 1 pengguna melakukan kesalahan, tidak akan mempengaruhi keseluruhan proses, karena pengguna lain belum tentu melakukan kesalahan yang sama.
• Pergantian Tugas• Pemberian tugas harus dilakukan bergantian secara
rutin untuk menghindari kemampuan pengguna untuk mencoba mengamati sistem yang pada akhirnya melakukan tindakan yang mengakibatkan adanya ancaman pada sistem.
Dud
y Fa
than
Ali,
201
3.
Integrity (keutuhan)• Model Integritas• Tahap : • Identifikasi.• Verifikasi.• Transformasi.
• Untuk memastikan terjadinya perubahan data sesuai dengan mekanisme yang telah disiapkan maka sistem juga harus konsisten dan memiliki ketahanan untuk memastikan mekanisme terlaksana dengan benar.
• Beberapa model integritas yang dapat digunakan :• Biba (1977).• Goguan-meseguer (1982 ).• Sutherland (1986 ).• Clark-wilson (1987 ).• Brewer-nash (1989).
Dud
y Fa
than
Ali,
201
3.
Availability (ketersediaan)• Ketersediaan adalah jaminan bahwa sistem
komputer dapat diakses oleh pengguna yang diijinkan ketika diperlukan.
• Dua hal yang perlu diperhatikan dalam memberikan jaminan availability : • DOS (denial of service), merupakan suatu kejadian
yang mengakibatkan sistem komputer tidak dapat digunakan oleh pengguna yang berhak.
• Kehilangan kemampuan memproses karena bencana (misal: kebakaran, banjir, kerusakan tiba-tiba dan sebagainya termasuk adanya peperangan).
Dud
y Fa
than
Ali,
201
3.
Dud
y Fa
than
Ali,
201
3.
Terima Kasih.Dudy Fathan Ali.Prinsip dan Konsep Keamanan, 2013.Email :- [email protected]