KEAMANAN INFORMASI
Tujuan Dari Manajement Keamanan InformasiKeamanan sebuah informasi merupakan suatu mutlak diperlukan, karena jika sebuah informasi dapat diakses oleh orang yang tidak berhak atu tidak bertanggung jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi informasi yang menyesatkan.Manajement keamanan informasi harus membuat dan menjalankan inisiatif keamanan informasi yang memastikan tiga hal utama yaitu, confidentiality (kerahasiaan), integrity (integritas), availability (ketersediaan) system informasi perusahaan.
A. Confidentiality (Kerahasiaan)
Dapat diartikan sebagai perlindungan terhadap data dalam system informasi perusahaan, sehingga tidak dapat diakses oleh orang yang tidak berhak. Kerahasiaan harus terdefinisi dengan baik, dan prosedur untuk menjaga kerahasiaan harus diterapkan secara hati-hati, khususnya untuk computer yang bersifat standalone atau tidak terhububg ke jaringan. Aspek penting dari kerahasiaan adalah pengidentifikasian dan authentication terhadap user.
Ancaman terhadap kerahasiaan
1. Hacker
Orang yang membobol pengendalian akses dari sebuah system, dengan
Memanfaatkan kelemahan system tersebut. Segala aktifitas hacker merupakan
Ancaman yang sangan serius terhadap kerahasiaan informasi dalam sebuah system
Informasi.
2. Masquerader
Seorang yang berhak mengakses system, tetapi telah memiliki password dari user
Lain, sehingga dapat mengakses file yang tersedia untuk user lain tersebut.
3. Aktifitas user yang tidak terotorisasi
Tipe aktifitas ini terjadi saat user yang berhak mengakses secara system memiliki
Kemampuan mengakses file yang sebenarnya tidak berhak untuk mereka akses.
4. Download file tanpa terproteksi
Melakukan download dapat mengancam kerahasiaan informasi apabila dalam
Prosesnya dari dipindahkan dari tempat yang aman (dari server) ke personal
Computer yang tidak terlindungi dengan baik, dalam rangka pemrosesan secara
Local. Saat berada di personal computer tersebut, apabila tidak dijaga dengan baik
Maka informasi yang bersifat rahasia bias diakses oleh orang yang tidak berhak.
5. Local Area Network (LAN)
Khususnya untk tipe LAN yang masih menggunakan topologi bus (masih
Menggunakan hub) maka ancaman terhadap kerahasiaan disebabkan oleh aliran
Data yang dapat dilihat oleh setiap node dalam jaringan tersebut tanpa
Mempedulikan apakah data dialamatkan ke node tersebut atau tidak.
6. Trojan Horse
Program jahat ini dibuat agar menyalin file-file rahasia ke tempat yang tidak aman.
Tanpa diketahui oleh user yang berhak mengakses file tersebut.
Model-model kerahasiaan.
Model-model kerahasiaan sering digunakan untuk menjelaskan langkah apa saja yang perlu diambil untuk memastikan kerahasiaan informasi. Model yang sering digunakan adalah model Bell-LaPadula. Model ini mendefinisikan antara obyek (contohnya:file dan program untuk menampung kerahasiaan informasi) dan subyek (contohnya: orang, proses, atau alat yang melakukan perpindahan informasi antar obyek). Subyek dapat megakses untuk baca, tulis informasi. Subyek mempunyai hak tulis terhadap obyek yang berada di tingkat yang sama atau lebih tinggi dari subyek. Model ini disebut juga dengan flow model, karena memastikan bahwa informasi dalam tingkat keamanan tertentu hanya mengalir ke tingkat yang sama atau lebih tinggi. Tipe model yang lain adalah Model access control dimana mengorganisir sebuah system ke dalam obyek (contohnya : resource yang ditangani), subyek (contohnya : orang atau program yang melakukan aksi), dan operasi (contohnya : proses dari interaksi yang terjadi).
Penerapan model kerahasiaan
Trusted system criteria yang dikembangkan oleh National Computer Security Center dan dipublikasikan di dalam Department of Defense Trusted Computer System Evaluation Criteria (dikenal dengan Orange Book), merupakan panduan terbaik dalam menerapkan model kerahasiaan.
B. Integritas
Adalah perlindungan terhadap data dalam system dari perubahan yang tidak terotorisasi, baik secara sengaja atau tidak.
Melindungi dari ancaman terhadap integritas
Tiga prinsip dasar yang digunakan untuk menerapkan pengendalian integritas :
1. Memberikan akses dalam rangka need-to-know-basis. Akses berdasarkan kerangka
need-to-know-basis ini harus memungkinkan terjadinya control maksimal dengan pembatasan seminimal mungkin terhadap user.
2. Pemisahan tugas (Separation of duties). Untuk memastikan bahwa tidak ada satu orang karyawan pun yang mengendalikan sebuah transaksi dari awal sampai akhir, dua atau lebih orang harus bertanggung jawab untuk melakukanya.
3. Rotasi Tugas. Penugasan suatu pekerjaan harus diubah secara periodic sehingga mempersulit user dalam berkolaborasi untuk mengendalikan sepenuhnya sebuah transaksi dan mengalihkanya untuk tujuan terlarang.
Model Integritas
Digunakan untuk menjelaskan apa yang perlu dilakukan untuk menerapkan kebijaksanaan integritas informasi dalam suatu organisasi.
Sasaran integritas :
1. mencegah user yang tidak berhak melakukan perubahan data atau program
2. mencegah user yang berhak melakukan perubahan yang tidak benar atau tidak terotorisasi
3. menjaga konsistensi data dan program secara internal dan eksternal.
C. Availability (Ketersediaan)
Sebagai kepastian bahwa sebuah system informasi dapat diakses oleh user yang berhak kapan saja system informasi tersebut dibutuhkan.
Ada dua pengganggu ketersediaan :
1. Denial off service
Istilah ini biasanya dihubungkan dengan sebuah perbuatan yang mengunci layanan dari sebuah system informasi sehingga tidak bias digunakan oleh user yang berhak.
2. Hilangnya pemrosesan data karena bencana alam atau perbuatan manusia.
Dapat ditanggulangi dengan menggunakan contingency plan yang dapat mengurangi waktu yang dibutuhkan untuk memulihkan kemampuan perosesan data saat terjadi bencana.
Banyak usaha yang sudah didesikasikan untuk mengatasi berbagai aspek dari masalah ketersediaan. Sebagai contoh : banyak riset yang dilakukan untuk mengembangkan teknologi yang kebih fault tolerance (contohnya : redundansi hardware, disk mirroring dan application check point restart).