Keamanan Informasi

Keamanan informasi merupakan perlindungan informasi dari berbagai ancaman agar menjamin kelanjutan proses bisnis, mengurangi risiko bisnis, dan meningkatkan return of investment (ROI) serta peluang bisnis (Chaeikar, etc., 2012)

5 faktor yang menyebabkan kerentanan pada keamanan informasi:

1. Today’s interconnected, interdependent, wirelessly networked business environment

Internet sekarang memungkinkan jutaan komputer dan jaringan komputer untuk berkomunikasi dengan bebas dan mudah satu sama lain. Jaringan menjadi tidak tepercaya dan mudah diretas.

2. Smaller, faster, cheaper computers & storage devices

Komputern modern dan perangkat penyimpanan semakin lama menjadi semakin kecil, lebih cepat, lebih murah, dan lebih portabel, dengan kapasitas penyimpanan yang lebih besar. Karakteristik ini memudahkan untuk mencuri atau kehilangan data komputer atau perangkat penyimpanan yang berisi informasi sensitif dalam jumlah besar.

3. Decreasing skills necessary to be a computer hacker

Internet berisi informasi dan program komputer yang disebut skrip yang dapat diunduh dan digunakan oleh pengguna dengan sedikit keterampilan untuk menyerang sistem informasi apa pun yang terhubung ke Internet. Pakar keamanan juga dapat menggunakan skrip ini untuk tujuan yang sah, seperti menguji keamanan berbagai sistem.

4. International organized crime taking over cybercrime

Cybercrime adalah kegiatan ilegal yang dilakukan melalui jaringan komputer, khususnya internet. Contohnya penggunaan teknologi komputer untuk mencetak ulang software atau informasi lalu mendistribusikan informasi atau software tersebut lewat teknologi komputer.

5. Lack of management support

Faktor kelima ialah kurangnya dukungan manajemen. Manajer harus mengambil kebijakan serius untuk mengatur dan menata prosedur keamanan karena terkadang seorang manajer kurang mengawasi karyawan bawahannya sehingga karyawan tersebut melakukan pelanggaran seperti mencuri, atau memodifikasi data informasi yang menjadi milik oleh perusahaan. Lebih baik bila seluruh perusahaan supaya mengambil kebijakan keamanan dan prosedur serius, manajer senior harus mengatur para manajer bawahannya agar berada dalam kontak dekat dengan karyawan setiap hari sehingga dengan demikian manajer akan berada dalam posisi yang lebih baik untuk mengetahui apakah karyawan mengikuti prosedur yang benar. kebijakan yang bisa dilakukan oleh setiap manajer adalah mememantau aktivitas administrator. Tinjau aktivitas login secara teratur untuk mendeteksi login anomali. ini dilakukan agar dapat mengetahui apabila sistem telah disusupi, atau ketika ada pengguna yang melakukan aktivitas mencurigakan. selain itu, manajer juga dapat melakukan server back-up tiap bulannya.

Ancaman yang tidak disengaja untuk sistem informasi

Kesalahan Manusia (Human Errors)

Kesalahan oleh karyawan menimbulkan masalah besar sebagai akibat dari kemalasan, kecerobohan, atau kurangnya kesadaran tentang keamanan informasi.

Ancaman yang disengaja untuk sistem informasi

Ada banyak jenis ancaman disengaja untuk sistem informasi. ada 10 yaitu :

1. Spionase atau pelanggaran
2. Informasi pemerasan
3. Sabotase atau vandalisme
4. Pencurian equiptment atau informasi
5. Mengidentifikasi pencurian
6. Kompromi untuk kekayaan intelektual
7. Serangan software
8. Software asing
9. Pengawasan kontrol dan akuisisi data (SCADA) attaks
10. Cyberterrorism dan cyberwarface

Cara organisasi melindungi sumber daya informasi

Organisasi menghabiskan banyak waktu dan uang melindungi sumber daya informasi, sebelum melakukannya, mereka melakukan manajemen Risiko.

Risiko adalah kemungkinan bahwa ancaman akan berdampak sumber informasi. Tujuan manajemen risiko adalah untuk mengidentifikasi, mengontrol, dan meminimalkan dampak dari ancaman. terdiri dari 3 proses :

1.Analisis Risiko (Risk Analysis)

Menilai nilai setiap aset dilindungi, memperkirakan probabilitas bahwa setiap aset akan compromissed dan membandingkan biaya kemungkinan aset yang dikompromikan dengan biaya melindungi nilai transaksi itu.

2. Mitigasi risiko (Risk Mitigation)

Menerapkan kontrol untuk mencegah ancaman diidentifikasi dari terjadi, dan mengembangkan sarana pemulihan harus threath yang menjadi kenyataan.

3 strategi mitigasi resiko:

1. Penerimaan risiko (Risk acceptable) : strategi di mana organisasi menerima risiko potensial, terus beroperasi tanpa kontrol, dan menyerap kerugian yang terjadi

2. Batasan risiko (Risk limitation): strategi di mana organisasi membatasi risiko dengan menerapkan kontrol yang meminimalkan dampak ancaman.

3. Transfer Risiko (Risk transferences): strategi di mana organisasi mentransfer risiko dengan menggunakan cara lain untuk mengkompensasi kerugian seperti dengan membeli asuransi.

3. Pengendalian Evaluasi (Controls Evaluation)

Ada 3 jenis Kontrol Keamanan Informasi (Information Security Control), yaitu:

a. Kontrol Fisik (Physical Control) : mencegah orang yang tidak sah dari mendapatkan fasilitas perusahaan. Kontrol fisik umum termasuk tekanan dinding, pintu, pagar, gerbang, kunci, lencana, penjaga, dan sistem alarm.

b. Kontrol Akses (Access Control) : Dalam bidang keamanan fisik dan keamanan informasi, kontrol akses adalah pembatasan selektif akses ke tempat atau bertindak resource.The lain untuk mengakses bisa berarti mengkonsumsi, memasuki, atau menggunakan. Izin untuk mengakses sumber daya disebut otorisasi. Otentikasi untuk mengidentifikasi petugas yang berwenang, organisasi dapat menggunakan satu atau lebih metode berikut: sesuatu yang pengguna adalah, sesuatu yang pengguna memiliki, beberapa hal pengguna tidak, dan atau pengguna mengetahuinya.

c. Kontrol Komunikasi(Communication Control)

Kontrol yang dekat dengan pergerakan data melalui jaringan sehingga dapat mengamankan pergerakan data dan melintasi jaringan.

Kontrol ini terdiri terdiri :

1. firewall : sistem (hardware chiter, software, atau kombinasi keduanya) yang mencegah jenis tertentu informasi dari bergerak antara jaringan yang tidak dipercaya, seperti internet, dan jaringan pribadi.
2. sistem anti-malware: paket (antivirus) atau perangkat lunak yang berusaha menangkap mengidentifikasi dan menghilangkan virus dan worm (malware) dan software berbahaya lainnya.
3. Memperbolehakan Akses (whitelsiting) dan Tidak memperbolehakan Akses (blacklisting)Whitelisting: sebuah proses di mana sebuah perusahaan mengidentifikasi perangkat lunak yang dapat diterima dan memungkinkan untuk berjalan, dan baik mencegah apa pun dari berjalan atau memungkinkan software baru dijalankan dalam lingkungan quarantinrd sampai perusahaan dapat memverifikasi validitasnya.
   Blacklisting: proses di mana sebuah perusahaan mengidentifikasi jenis tertentu dari perangkat lunak yang tidak diperbolehkan untuk dijalankan dalam lingkungan perusahaan.
4. EnkripsiEnkripsi dapat digunakan untuk tujuan keamanan, tetapi teknik lain masih diperlukan untuk membuat komunikasi yang aman, terutama untuk memastikan integritas dan autentikasi dari sebuah pesan. Enkripsi telah digunakan untuk mengamankan komunikasi di berbagai negara, hanya organisasi-organisasi tertentu dan individu yang memiliki kepentingan yang sangat mendesak akan kerahasiaan yang menggunakan enkripsi.enkripsi: proses mengubah suatu massa asli menjadi bentuk yang tidak dapat dibaca oleh siapa pun kecuali berniat penerima. Enkripsi kunci publik (enkripsi asimetris): jenis enkripsi yang menggunakan dua kunci yang berbeda, kunci publik dan sebuah kunci pribadi.
5. Virtual Private Networking (VPN): jaringan pribadi yang menggunakan jaringan publik untuk secara aman menghubungkan pengguna dengan menggunakan enkripsi.
6. Secure Socket Layer (SSL): standar enkripsi yang digunakan untuk transaksi yang aman seperti pembelian kartu kredit dan online.
7. Employee Monitoring System: sistem yang monitoring komputer karyawan, kegiatan email, dan kegiatan surfing internet.

Referensi:

Rainer , R. Kelly, Cegielski, Casey G. (2013). Introduction to Information Systems, 4th edition. John Wiley & Sons,Inc, United States, Chapter 4

Bahan Ajar Keamanan Informasi oleh Ibu Hernawati Susanti Samosir, SST., M.Kom.

Keamanan Informasi

OpenLearn from The Open University