tugas uas keamanan informasi_sony

Tugas Pengganti UASKeamanan Jaringan dan Sistem InformasiDosen : Achmad Affandi/Wirawan

PENDAHULUAN

Perkembangan teknologi informasi pada dekade ini tumbuh sangat cepat. Kecepatan pertumbuhan tersebut juga diikuti dengan pertumbuhan data. Data yang dipergunakan menjadi lebih besar. Selain data penggunaan teknologi informasi berkembang pesat penggunaan di berbagai sektor juga semakin luas. Hal ini memunculkan satu permasalahan atau tantangan baru dibidang teknologi informasi.

Tantangan tersebut yang paling pokok salah satunya adalah tentang keamanan informasi. Dengan adanya permasalahan besarnya data, dan interaksi data yang lebih kompleks, maka diperlukan suatu tindakan yang dapat menjamin bahwa data yang ada serta transaksi-transaksi pertukaran data dapat dipastikan keamanannya. Hal ini yang memunculkan konsep Keamanan Informasi.

Konsep Keamanan Informasi menjadi lebih urgen untuk diaplikasikan seiring pertumbuhan jaringan internet yang terus menggurita. Dengan sinerginya teknologi komunikasi dan Informasi (ICT) maka penanganan Keamanan Informasi menjadi isu yang menarik untuk diteliti. Penelitian dan riset yang ada dilakukan dari berbagai sisi.

Dari berbagai riset tersebut dapat diambil beberapa hal yang mendasar tentang Keamanan Informasi. Hal tersebut adalah :

Keamanan Informasi secara fisik.o Perlindungan terhadap aset/infomasi secara fisik misal gedung, kunci

pengamanan, brankas, dan sebagainya. Keamanan Informasi secara logis.

o Pengamanan informasi dengan menggunakan metode-metode tertentu yang berkenaan dengan informasi sebagai softcopy.

Keamanan informasi dari sisi logis ini peluang untuk terjadinya ancaman dan pengembangan penanggulangannya terus terjadi. Pengembangan sistem Keamanan informasi harus dapat memenuhi aspek Keamanan Informasi yaitu :

ConfidentialityConfidentiality: harus bisa menjamin bahwa hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu.

Sony Nuhmana2210 206 714Telematika-CIO2011


IntegrityIntegrity: harus menjamin kelengkapan informasi dan menjaga dai korupsi, kerusakan, atau ancaman lain yang menyebabkannya berubah dari aslinya.

AvailabilityAvailability: adalah aspek keamanan informasi yang menjamin pengguna dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses informasi.

Aspek Keamanan Informasi yang lain (menurut Dr. Michael E. Withman dan Hebert J. Mattord dalam bukunya Management Of Information Security adalah :

PrivacyInformasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik informasi dari orang lain.

IdentificationSistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu pengguna. Identifikasi adalah langkah pertama dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan user name atau user ID.

AuthenticationAutentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar-benar orang yang memiliki identitas yang mereka klaim.

AuthorizationSetelah identitas pengguna diautentikasi, sebuah proses yang disebut autorisasi memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan autorisasi secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari aset informasi.

AccountabilityKarakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang melakukan aktifitas itu.

Aspek-aspek tersebut patut menjadi konsideran dalam membangun sebuah keamanan informasi yang baik dan tangguh. Ketangguhan Keamanan Informasi diperlukan untuk menghadapi ancaman Keamanan Informasi.



A. Jenis Ancaman Keamanan Informasi

Ancaman Keamanan informasi dapat dibedakan menjadi 2 yaitu :

a. Ancaman dari dalamb. Ancaman dari luar

Bila dirangkum dari keduanya, menurut PC Magazine 2007 ancaman Keamanan Informasi yaitu :

1. Social engineeringAtau rekayasa Sosial. Ancaman ini kadang kala tidak disadari oleh pelaku, dalam hal ini adalah manusia. Dalam melakukan akitfitasnya seseorang yang menggunakan peralatan Teknologi informasi dapat melakukan aktifitas yang mengancam Keamanan Informasi yang ada.

2. Identity theft (pencurian Identitas)Pencurian identitas adalah mengambil informasi tentang satu user/pengguna lain dan menggunakannya seolah-olah pelaku adalah korban yang sedang melakukan akitifitasnya. Umumnya motif dari identity theft ini adalah motif ekonomi (uang).

3. Spyware dan trojansSpyware dan trojan horse adalah program komputer yang biasanya tanpa sengaja terinstal untuk melakukan perusakan, penyalinan atau pengintipan aktifitas sebuah komputer, sehingga segala aktifitas saat menggunakan komputer dapat dipantau, di-copy dari tempat lain.Spyware dan trojans biasanya terinstal karena ketidak telitian pengguna komputer saat meng-klik suatu browsing internet.

4. Virus dan wormVirus dan worm adalah sebuah program komputer aktif yang biasanya tersembunyi dan membahayakan karena bersifat merusak komputer. Virus dapat menginfeksi program komputer lain atau file data serta dapat terdistribusi ke komputer lain dengan membonceng pendistribusian file atau program lain dan memiliki kemampuan untuk menduplikasi dirinya sendiri.



5. AdwareAdware adalah kependekan dari advertising software, yaitu sebuah program yang dibuat untuk mengiklankan sesuatu yang dapat secara otomatis tampil dalam web browser atau pop up. Adakalanya Adware ini sangat mengganggu dan secara terus menerus muncul.

6. Web exploitsApabila sebuah website yang didalamnya berisi kode-kode jahat (malicious codes) yang dapat mengeksploitasi lubang-lubang keamanan dalam sistem operasi dan program yang digunakan dalam komputer yang mengaksesnya.

7. Hacker/Cracker attackHacker adalah seseorang atau beberapa orang yang ahli dan mengetahui seluk beluk komputer baik software, hardware, keamanan atau jaringannya.

8. Wireless attackTeknologi Wireless sangat membantu dan praktis dalam penggunaan dan settingnya. Namun bila tidak hati-hati, seseorang dalam jangkauan area wireless tersebut dapat melakukan pencurian bandwidth atau bahkan melakukan akses terhadap data yang berada pada peralatan mobile.

9. Phishing mailPhising mail adalah email yang seolah-olah dikirim dari bank tempat kita menyimpan uang, dari situs tempat kita membeli barang secara on-line dan lain-lain. Bila kita log-in kedalam situs tersebut maka situs itu akan mencuri username dan password yang dapat merugikan kita.

10. Spam mailSpam mail atau junk mail atau bulk mail biasanya berupa e-mail yang dikirim secara serentak ke beberapa alamat yang berisi pesan penawaran, tipuan dan lain-lain yang biasanya kurang berguna bagi penerimanya.



Ancaman yang mudah terjadi pada Organisasi Dinas Kominfo Kab. Pasuruan

No Jenis Ancaman Penjelasan/Penyebab

1 Social engineering Tingkat pengetahuan tentang teknologi informasi yang beragam.

2 Identity Theft Rasa iseng untuk menggoda teman Terdapat dendam pribadi antar individu. Terdapat motif ekonomi.

3 Spyware/Trojan Penggunaan software yang tidak terotorisasi dalam pc user/staf.

Penggunaan software illegal.4 Virus/Worm Kemudahan pemindahan data melalui

removable device yang tidak terkontrol. Akses internet yang tidak tepat.

5 Adware Akses internet pada situs-situs yang tidak semestinya dilakukan.

6 Web exploits -7 Hacker/Cracker Attacks -8 Wireless Attack Keinginan untuk memperoleh bandwidth yang

besar sendirian.9 Phising Mail Akses internet/situs yang tidak tepat(promo

produk). Pemahaman yang kurang atas berbagai

tawaran di internet.10 Spam mail Penggunaan email yang tidak tepat. Biasanya

dilakukan pada situs hobi atau kesenangan.

B. Solusi Keamanan Informasi

Dalam menciptakan keamanan informasi berikut ini ada sepuluh langkah yang akan dilakukan bila perusahaan betul-betul ingin mewujudkan keamanan informasinya(Henricus Bambang Triantono:2007) yaitu :

1. Mendefinisikan kebijakan keamanan informasi perusahaan. Pengelolaan keamanan informasi yang baik dimulai dengan penyusunan kebijakan keamanan secara tertulis



yang menggariskan seluruh persyaratan keamanan untuk dapat memenuhi kepatuhan, standar dan tujuan yang akan dijalankan perusahaan.

2. Dapat dilakukan penunjukan penanggung jawab keamanan, dimana penting untuk menunjuk seseorang di dalam perusahaan yang bertanggung jawab kepada tim manajamen untuk menegakkan dan mengamankan informasi di seluruh bagian organisasi.

3. Melakukan inventarisasi asset informasi. Perusahaan harus menyusun daftar asset informasi yang dimilikinya, termasuk peranti lunak, perlengkapan komputer, database, dan file-file, dan mendokumentasikan lokasinya, klasifikasi keamanannya dan pemilik internalnya.

4. Melakukan seleksi terhadap staf kunci. Melindungi diri dari ancaman keamanan internal sama pentingnya dengan melindungi diri dari ancaman eksternal.

5. Melindungi aset informasi secara fisik. Hal ini memberikan tingkat keamanan informasi yang lebih tinggi.

6. Mempraktikkan pengelolaan jaringan yang efektif. Banyak perusahaan tidak pernah mendokumentasikan prosedur yang benar untukmengoperasikan sistem-sistem komputer mereka. Hal ini dapat mengakibatkan kegagalan sistem, kehilangan data atau terjadi kebocoran informasi yang sangat berharga dan rahasia.

7. Menciptakan aturan pengendalian akses yang ketat. Perusahaan harus secara ketat mendefinisikan ijin akses yang diberikan kepada pekerjanya. Hal ini tidak saja dapat menghindari akses tak berwenang ke data rahasia, tetapi juga melindungi integritas sumber komputasi dan melindungi diri dari penggunaan peranti lunak dan yang tidak memiliki kewenangan.

8. Bangun keamanan di dalam semua sistem dan aplikasi. Jika sebuah perangkat keras atau peranti lunak diinstal, pastikan kompatibilitasnya dengan sistem yang dimiliki untuk menghindari kegagalan sistem, dan mengkonfigurasikan tingkat keamanan yang sesuai sehingga tidak menimbulkan celah kelemahan.

9. Merencanakan pengembangan terhadap kelangsungan bisnis atau sebuah contingency plan yang menggariskan langkahlangkah yang harus diambil perusahaan untuk meminimalkan gangguan jika terjadi bencana dan memulihkan aplikasi penting secepat mungkin agar dapat terus berbisnis.

10. Pastikan kepatuhan terhadap peraturan dan UU yang dapat diterapkan. Pendokumentasian dan pengendalian harus diterapkan tidak saja sesuai dengan undang-undang setempat, propinsi atau nasional yang mengatur tata usaha perusahaan.



C. Kebijakan Pengelolaan TIK dalam organisasi

Solusi Keamanan Informasi diperlukan agar Informasi yang merupakan aset yang berharga dari organisasi dapat dipergunakan dengan sebagaimana mestinya. Konsep Confidentiallity, Integrity dan Accountability dapat diterapkan secara optimal.

Kebijakan keamanan informasi harus dilakukan. Apakah organisasi telah melakukan manajemen resiko ataupun tidak. Maka menurut McLeod (Sistem Informasi Manajemen, bab 9, hal 298) perlu dilakukan 5 fase kebijakan keamanan informasi yaitu :

Fase 1

Inisiasi proyek, dilakukan assessment kebijakan keamanan informasi.

Fase 2

Dilakukan penyusunan kebijakan keamanan informasi pada organisasi.

Fase 3

Konsultasi dan persetujuan. Penyusunan atas temuan dikonsultasikan kepada manajemen organisasi untuk dilakukan persetujuan atas kebijakan keamanan informasi yang ada.

Fase 4

Kesadaran dan edukasi, memberikan pelatihan dan kewaspadaan atas keamanan informasi pada masing-masing wilayah/bagian/department/unit dalam organisasi.

Fase 5

Penyebarluasan kebijakan keamanan informasi ke seluruh unit organisasi yang ada untuk diterapkan.

Sedangkan elemen yang penting dalam kebijakan keamanan informasi menurut EC-Council (dalam Manajemen Keamanan Informasi dan Internet, R.Eko Indrajit) terdapat 7 elemen yaitu :

1. Komunikasi yang jelas mengenai arti dan pentingnya sebuah kebijakan keamanan untuk disusun dan ditaati oleh seluruh pemangku kepentingan perusahaan

2. Definisi yang jelas dan ringkas mengenai aset informasi apa saja yang harus diprioritaskan untuk dilindungi dan dikelola dengan sebaik-baiknya



3. Penentuan ruang lingkup pemberlakukan kebijakan yang dimaksud dalam teritori kewenangan yang ada.

4. Jaminan adanya sanksi, perlindungan, dan penegakan hukum terhadap para pelaku yang terkait dengan manajemen informasi sesuai dengan peraturan dan undang-undang yang berlaku.

5. Adanya pembagian tugas dan tanggung jawab yang jelas terhadap personel atau SDM yang diberikan tugas untuk melakukan kegiatan pengamanan informasi

6. Penyusunan dokumen atau referensi panduan bagi seluruh pemangku kepentingan dan pelaku manajemen keamanan informasi untuk menjamin penerapan yang efektif.

7. Partisipasi aktif dan intensif dari manajemen atau pimpinan puncak organisasi untuk mensosialisasikan dan mengawasi implementasi kebijakan dimaksud

Teknologi Keamanan Informasi yang Diterapkan pada Dinas Komunikasi dan Informatika Kabupaten Pasuruan.

Solusi teknologi keamanan informasi yang diterapkan sebagai berikut :

1. Melakukan inventarisasi aset. Melakukan dokumentasi aset yang dimiliki oleh organisasi

2. Melindungi aset informasi secara fisik. Hal ini memberikan tingkat keamanan informasi yang lebih tinggi.

3. Membuat aturan yang mengatur tentang penggunaan aset teknologi informasi sehingga pengendalian terhadap informasi dapat dikontrol.

4. Melakukan sosialisi berbagai kebijakan keamanan informasi serta melakukan pelatihan internal untuk pengamanan informasi dari organisasi.



3. Privasi Data

Privasi adalah informasi data pribadi yang dikumpulkan dan disimpan (Wikipedia). Data privasi memiliki nilai ekonomis yang sangat tinggi bagi pelaku bisnis di dunia maya. Karena untuk mendapatkan layanan tertentu dari situs maka seseorang akan memberikan informasi jati dirinya untuk melakukan registrasi ataupun login.

Dari proses ini data tentang individu akan disimpan dan “dimiliki” oleh pemilik server tempat database bernaung. Pemanfaatan data pribadi ini yang kemudian memunculkan adanya privasi data secara digital. Perlindungan terhadap privasi data dilakukan agar tidak terjadi penyalahgunaan data serta jaminan keamanan individu pemilik data tersebut.

Selain itu data pribadi dapat digunakan untuk memata-matai aktifitas dari pengguna tersebut di dunia maya. Dengan adanya aturan privasi data maka peluang untuk aktifitas itu tidak bisa dilakukan dan bertentangan secara hukum (beberapa Negara telah mengakui adanya Privacy Data Protection). Sehingga pengunaan data pribadi diatur sedemikian rupa untuk tidak merugikan pemilik data.

Penerapan Privasi Data pada Dinas Komunikasi dan Informatika

Pada saat ini di organisasi belum menerapkan privasi data. Tetapi ada beberapa point yang merupakan proses untuk menerapkan privasi data yaitu :

Tertutupnya akses informasi no telepon personil Dinas Kominfo. Permintaan atas no telpon terpusat pada Kepala Sub Bag. Umum dan Kepegawaian.

Terdapat pelatihan tentang Kunci Publik dan Private untuk keamanan informasi data pribadi sehingga autentifikasi dapat dipertanggungjawabkan.

Dengan adanya UU Keterbukaan Informasi Publik maka secara tidak langsung dapat didefinisikan tentang informasi yang bebas diakses dan informasi yang diatur tentang pendistribusiannya. Namun demkian perlindungan data privasi belum tercantum secara jelas aturannya. Sehingga dapat menimbulkan perdebatan atas penggunaan data privasi. Tetapi pada data/informasi public telah diatur dengan jelas.



Peran dan Kegiatan ID-SIRTII terhadap keamanan informasi Nasional

Pemerintah Kabupaten Pasuruan, melalui Dinas Komunikasi dan Informatika memiliki peranan yang cukup besar untuk menunjang pengembangan kegiatan dari iD-SIRTII karena sebagai organisasi pelayanan public (pemerintahan/Government).

Government atau pemerintahan merupakan salah satu dari elemen ID-SIRTII yaitu pada Sector CERT. Sehingga perlu dibangun atau dibentuk sebuah Respon Team yang menangani kasus sektoral dalam hal ini adalah layanan publik/pemerintahan.

Rancangan Kegiatan CERT E-Gov.

Define E-Gov Incident Respond

Team

Gambaran umum Tim

Sebagai gugus tugas Ad Hoc yang bertugas untuk memberikan pelayanan terhadap Bencana dan Kecelakaan pada sistem Teknologi Informasi pada lingkup Penyelenggaraan Pemerintah Daerah

Tujuan

Memberikan rekomendasi tindakan atas kecelakaan pada sistem teknologi infomasi

Memberikan solusi atas kecelakaan sistem informasi

Mengambil tindakan yang diperlukan untuk kecelakaan pada sistem yang kritis

Membuat SOP yang tepat untuk penanganan dan pencegahan kecelakaan sistem teknologi informasi E-Government.

Perencanaan

Strategi Pencegahan

Creating SOP fpr Avoiding Accident

Creating Tools for preventing Threat

Giving standar for Applications/System Install

Strategi Penanganan KecelakaanNama Strategi

Indeks Strategi

Strategi Penanganan BencanaNama Strategi

Jenis Bencana

Penjadwalan Kegiatan/ Program Kerja

Tata Kerja

Framework yang digunakan

Dokumen template untuk dibagikan

Jadwal Verifikasi

Target Lingkup kerja

Gambaran Umum Ruang Lingkup

Institusi Dinas

Institusi Milik Pemda

Lembaga Pemda Lainnya

Sumber Daya

Hardware Tech

Software Eng.

Network Tech

Finance Officer

Web Designer

Sumber daya lainnya

Humas

Tips:



Daftar Pustaka

1. Dr. Michael E. Withman dan Hebert J. Mattord, Principles of Information Security, Cengage Learning, 2011

2. 10s Issues Information Security Threats, PC Magazine, 20073. Henricus Bambang Triantono, “Kebijakan Keamanan Dengan Standar Bs 7799/ Iso

17799 Pada Sistem Manajemen Keamanan Informasi Organisasi, Seminar Nasional Aplikasi Teknologi Informasi 2007 (SNATI 2007) Jogjakarta

4. Raymond Mc. Leod, Sistem Informasi Manajemen (terjemahan) Edisi 10, Penerbit Salemba, 2010

5. Prof. R.Eko Indrajit, Manajemen Keamanan Informasi dan Internet, ID SIRTII, 20116. UU no 14 tentang Keterbukaan Informasi Publik


tugas uas keamanan informasi_sony

Documents