Professional Documents
Culture Documents
NIM : 1322402172
Personal Assignment 4
tawarkan
kepada
manajemen resiko.
perusahaan
tempat
untuk
mendukung
kebijakan
Jawaban :
Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang
sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi
tersebut sehingga harus dilindungi, untuk menjamin kelangsungan perusahaan atau
organisasi, meminimalisir kerusakan karena kebocoran sistem keamanan informasi,
mempercepat kembalinya investasi dan memperluas peluang usah. Beragam bentuk
informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi meliputi
diantaranya : informasi yang tersimpan dalam komputer ( baik desktop komputer
maupun mobile komputer ), informasi yang ditransmisikan melalui network, informasi
yang dicetak pada kertas, dikirim melalui fax, tersimpan dalam disket,cd,atau media
penyimpanan lain, informasi yang dilakukan dalam pembicaraan ( termasuk percakapan
melalui telepon ), dikirim melalui telex, email, informasi yang tersimpan dalam database,
tersimpan dalam film, dipresentasikan dengan OHP atau media presentasi yang lain,
dan metode-metode lain yang dapat digunakan untuk menyampaikan informasi dan ideide baru organisasi atau perusahaan.
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan,
secara umum diartikan sebagai quality or state of being secure-to be free from danger.
Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan
bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau
digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi
masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya.
Contoh dari tinjauan keamanan informasi adalah:
atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman
meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini
untuk mencapai tujuan organisasi.
usaha,
meminimalisasi
kerusakan
akibat
terjadinya
ancaman,
Confidentiality
Confidentiality: harus bisa menjamin bahwa hanya mereka yang memiliki hak
yang boleh mengakses informasi tertentu.
Integrity
Integrity: harus menjamin kelengkapan informasi dan menjaga dai korupsi,
kerusakan, atau ancaman lain yang menyebabkannya berubah dari aslinya.
Availability
Availability: adalah aspek keamanan informasi yang menjamin pengguna
dapat mengakses informasi tanpa adanya gangguan dan tidak dalam format
yang tak bisa digunakan. Pengguna, dalam hal ini bisa jadi manusia, atau
komputer yang tentunya dalam hal ini memiliki otorisasi untuk mengakses
informasi.
Aspek yang lain disebutkan oleh Dr. Michael E.Whitman dan Herbert J.Mattord dalam
bukunya Management Of Information Security adalah:
Privacy
Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi adalah
dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat
informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik
informasi dari orang lain.
Identification
Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu
pengguna. Identifikasi adalah langkah pertama dalam memperoleh hak akses
ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam
penggunaan user name atau user ID.
Authentication
Autentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna
memang benar-benar orang yang memiliki identitas yang mereka klaim.
Authorization
Setelah identitas pengguna diautentikasi, sebuah proses yang disebut
autorisasi
memberikan
jaminan
bahwa
pengguna
(manusia
ataupun
Accountability
Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua
aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang
melakukan aktifitas itu.
proses untuk mencapai tujuan dengan menggunakan sumberdaya yang ada [3].
Manajer adalah seseorang yang bekerja dengan orang lain dan melalui orang lain
dengan cara mengkoordinasi kerja mereka untuk memenuhi tujuan organisasi. Tugas
manajer adalah untuk memimpin pengelolaan sumberdaya organisasi, melakukan
koordinasi penyelesaian pekerjaan orang-orang dalam organisasi, dan memegang
aturan-aturan yang diperlukan untuk memenuhi tujuan organisasi. Diantara aturanaturan itu adalah:
Manajer
mengelola
sumberdaya
organisasi
meliputi
perencanaan
biaya
berbagai
jenis
ancaman,
daripada
data
yang
tersimpan
secara
manual.Ancaman-ancaman tersebut bisa saja berasal dari faktor teknis, organisasi, dan
lingkungan yang diperparah oleh akibat keputusan manajemen yang buruk.Bagi
perusahaan atau individu di dalam menyimpan data-data penting yang menyangkut
privasi atau kerahasiaan perusahaan, apalagi perusahaan yang menggunakan web,
sangat rentan terhadap penyalahgunaan, karena pada dasarnya web mempunyai akses
yang sangat luas dan dapat diakses oleh semua orang, membuat sistem perusahaan
dengan mudah mendapat serangan yang pada umumnya berasal dari pihak luar,
seperti hacker. seorang hacker adalah seseorang yang ingin mendapatkan akses
secara tidak sah dari suatu sistem komputer, dan biasanya hacker ini memiliki maksud
kriminal dengan tujuan tertentu, seperti karena tujuan keuntungan , kejahatan atau
kesenangan pribadi. Aktivitas hacker tidak hanya terbatas menyusup ke dalam sistem,
tetapi juga mencuri barang dan informasi dalam dan bisa merusak sistem melalui
termasuk
pesan
e-mail,
file
serta
laporan
penting
perusahaan.
Kerusakan sistem informasi juga bisa terjadi karena adanya peranti lunak yang
berbahaya, seperti virus komputer yang menempelkan diri ke program lainnya tanpa
sepengetahuan dan seizin pengguna. Ancaman lainnya yatu worn (cacing) yang
mengakibatkan kehancuran data dan program serta bisa menghentikan kerja jaringan
komputer. Trojan Horse adalah program peranti lunak yang dianggap tidak terlalu
berbahaya, tetapi bisa menjadi jalan bagi virus lainnya untuk masuk ke dalam sistem
komputer, dan spyware adalah peranti lunak berbahaya yang memasang diri secara
sembunyi-sembunyi di komputer untuk memantau kegiatan penelusuran web oleh
pengguna komputer.
Kejahatan dalam sistem informasi juga meliputi pencurian identitas, seperti yang
dilakukan oleh pelaku phishing, yang membuat situs palsu atau mengirim pesan e-mail
yang mirip dengan pesan yang berasal dari perusahaan yang sah. Dengan maksud
untuk meminta pengguna mengisi data pribadi mereka yang sangat rahasia, seperti no
rekening pribadi pengguna.
Selain itu, pengguna akhir dalam sistem informasi juga dapat melakukan
kesalahan. Kita cenderung berpikir bahwa ancaman keamanan data dalam perusahaan
hanyan berasal dari luar, tetapim pada kenyataannya, ada pihak internal perusahaan
yang bisa mengancam keamanan, yaitu karyawan, mereka pada umumnya mempunyai
akses informasi yang istimewa, karena kesalahan memasukkan data dan prosedur
keamanan internal yang buruk dalam perusahaan, mereka dapat menjelajahi sistem
perusahaan tanpa meninggalkan jejak.
A. Nilai Bisnis dari Pengamanan dan Pengendalian
Merancang
Kerangka
Kerja
Organisasional
dalam
Pengamanan
dan
Pengendaliaan
Teknologi bukan hal utama yang harus mendapatkan perhatiaan khusus dalam
pengamanan dan pengendalian, tetapi apabila tidak adanya kebijakan manajemen yang
cerdas, bakan teknologi yang secanggih apapun juga akan dikalahkan dengan mudah.
Adanya kebijakan manajemen yang cerdas dengan menetapkan suatu kerangka
pengorganisasian dan pengelolaan dalam pengamanan dan pengendalian untuk
menggunakan teknologi dengan efektif untuk melindungi sumber informasi perusahaan.
Dalam menentukan kebijakan dalam hal pengamanan, perusahaan harus terlebih
dahulu mengetahui aset-aset mana saja yang membutuhkan perlindungan data dan
sejauh mana akses-akses tersebut terancam.
ke
aset
informasi
untuk
tingkat
pengguna
yang
berbeda
pula.
4.Peranti lunak anti virus dirancang untuk memeriksa adanya virus komputer
dalam sistem dan drive komputer.
5. Ekripsi, pengodean dan pengacauan pesan, merupakan teknologi yang biasa
digunakan untuk pengamanan dalam mengirim data melalui internet dan jaringan Wi-Fi.
6. Tanda tangan digital dan sertifikat digital, digunakan untuk membantu proses
autentikasi
lebih
jauah
lagi
pada
saat
transaksi
elektronik.
atau dengan
Menutup atau menonaktifkan servis-servis yang tidak digunakan
Salah satu hal yang mungkin tidak kita sadari adalah membiarkan keberadaan
servis-servis yang kurang penting dalam kondisi terbuka atau aktif yang dapat menjadi
celah keamanan pada sistem komputer kita. Ada beberapa alasan yang menyebabkan
kita membiarkan servis-servis sistem kita terpasang atau terbuka. Salah satunya adalah
karena kurangnya pengetahuan kita tentang servis-servis yang memang telah aktif
secara default setelah kita menginstal sistem komputer kita. Hal ini menyebabkan
ketakutan kita untuk menonaktifkan servis-servis tersebut, khawatir karena akan ada
kerusakan yang akibat tidak aktifnya servis-servis itu, dan banyak hal lainnya. Bila
perlu, coba perhatikan servis yang ada pada sistem kalian, pasti sangat banyak
ragamnya dan kita juga tidak tau apa fungsi masing-masing servis dan tidak tau servis
mana yang paling penting dan paling kita butuhkan saat ini.
Mengatur Akses Control Access
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah
dengan mengatur akses ke informasi melalui mekanisme authentication dan access
control. Implementasi dari mekanisme ini antara lain dengan menggunakan
password. Paling tidak inilah 1 hal yang paling mudah kita lakukan untuk
mengamankan sistem kita.
Memasang Prokteksi
Untuk
lebih
meningkatkan
keamanan
sistem
informasi,
proteksi
dapat
ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik
adalah firewall. Filter dapat digunakan untuk memfilter e-mail, informasi, akses, atau
bahkan dalam level package tertentu. Penangkal lainnya adalah untuk memproteksi
sistem kita adalah dengan memasang, meng-update terus anti virus kita.
Firewall
Apa itu firewall? nah firewall ini adalah dinding pemabatas atau didinding pelindung kita
dari luar dan dalam sistem kita sendiri. Saya ibaratkan seperti pagar garasi ruamh kita,
atau dinding-dinding kanan kiri depan belakang rumah kita, yang pada umumnya
merupakan cara pengamanan kita dari dalam dan luar rumah kita. Jadi begini, satu PC
atau sistem komputer kita atau disebut dengan istilah host, adalah sebuah rumah untuk
data-data kita. Artinya, sebuah firewall itu akan menjadi pembatas antara data-data
yang akan masuk dan akan keluar dari dan ke sistem kita.
Pemantau adanya seranga
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya tamu
tak diundang (intruder) atau adanya serangan (attacking). Nama lain dari sistem ini
adalah intruder detection system (IDS). Sistem ini dapat memberitahu administrator
melalui e-mail maupun melalui mekanisme lainnya.
Backup secara rutin
Backup merupakan salah satu tindakan yang bertujuan untuk menyimpan suatu
data pada media lain, sehingga suatu-waktu data yang tersimpan itu dapat diambil dan
dipergunakan kembali untuk kepentingan fungsionalitas yang sama. Seringkali tamu tak
diundang (intruder) masuk ke dalam sistem dan merusak sistem dengan menghapus
berkas-berkas yang dapat ditemui. Jika intruder ini berhasil menjebol sistem dan masuk
sebagai super user (administrator), maka ada kemungkinan dia dapat menghapus
seluruh berkas. Kondisi ketika intruder menjadi super user dan menyerang sistem
disebut dengan istilah Replay Attacking.
Sistem informasi adalah hal yang berharga bagi kebanyakan organisasi sekarang
ini. Bagaimanapun, banyak organisasi yang menjalankan strategi keamanan dengan
memfokuskan diri pada kelemahan infrastruktur, mereka gagal menetapkan akibat
terhadap aset informasi yang paling penting milik mereka. Hal ini menimbulkan
kesenjangan antara operasional organisasi dengan persyaratan teknologi informasi
sehingga menempatkan aset dalam resiko. Banyak pendekatan manajemen resiko
keamanan informasi yang tidak lengkap, sehingga gagal mencakup seluruh komponen
resiko ( aset, ancaman, dan vulnerability )Banyak organisasi kemudian menyewa
konsultan untuk mengevaluasi resiko keamanan informasi dalam organisasinya.
Hasilnya mungkin tidak sesuai dengan perspektif organisasi tersebut. Risk assessment
yang dilakukan sendiri oleh organisasi yang bersengkutan memberikan pengetahuan
untuk memahami resiko dan membuat keputusan yang tepat.
Langkah pertama untuk mengelola resiko keamanan informasi adalah mengenali
apakah resiko organisasi yang menerapkannya. Setelah resiko diidentifikasi, organisasi
dapat membuat rencana penanggulangan dan reduksi resiko terhadap masing-masing
resiko yang telah diketahui. Metode OCTAVE (The Operationally Critical Threat, Asset,
and Vulnerability Evaluation) memungkinkan organisasi melakukan hal di atas.
OCTAVE adalah sebuah pendekatan terhadap evaluasi resiko keamanan informasi
yang komprehensif, sistematik, terarah, dan dilakukan sendiri. Pendekatannya disusun
dalam satu set kriteria yang mendefinisikan elemen esensial dari evaluasi resiko
keamanan informasi
Kriteria OCTAVE memerlukan eveluasi yang harus dilakukan oleh sebuah tim
(interdisipliner) yang terdiri dari personil teknologi informasi dan bisnis organisasi.
Anggota tim bekerjasama untuk membuat keputusan berdasarkan resiko terhadap aset
informasi kritis organisasi. Pada akhirnya, kriteria OCTAVE memerlukan katalog
informasi untuk mengukur praktek organisasi, menganalisa ancaman, dan membangun
strategi proteksi. Katalog ini meliputi:
setiap proses memiliki satu atau lebuh lokakarya yang dipimpin oleh tim analisis.
Beberapa aktifitas persiapan juga diperlukan untuk menetapkan dasar yang baik untuk
suksesnya evaluasi secara keseluruhan.
Persiapan
Mempersiapkan OCTAVE membuat dasar evaluasi yang berhasil. Beberapa
kunci untuk keberhasilan evaluasi adalah:
yang
dibutuhkan,
persetujuan
untuk
meninjau
hasil
dan
memutuskan langkah yang tepat yang harus diambil dengan adanya hasil
evaluasi yang telah dilakukan.
Memilih tim analisis. Anggota tim analisis harus memiliki kemampuan dan
keahlian yang mencukupi untuk memimpin evaluasi. Mereka juga harus
mengatahui bagaimana menambah pengetahuan dan kemampuan mereka di
luar tim.
Secara umum,
tim analisis terdiri dari tiga sampai lima orang dalam kelompok inti yang
merepresentasikan
bisnis
dan
perspektif
teknologi
informasi,
memiliki
OCTAVE;
berkoordinasi
dengan
manajer
senior
atau
manajer
umum,
tim
inti
analisis
harus
memiliki
kemampuan
berikut:
terkini
menginterpretasikan
terhadap
hasil
vulnerability,
evaluasi
vulnerability
mengetahui
oleh
bagaimana
perangkat
lunak,
melengkapi
survey
berdasarkan
catalog
of
practices.
Mereka
melengkapi
survey
berdasarkan
catalog
of
practices.
Mereka
Prework:
menjalankan
peralatan
evaluasi
vulnerability
pada
komponen
tinggi,
menengah, atau rendah. Semua informasi mengenai hal ini dicatat dalam Asset
Profile Workbook.
Proses 8 melibatkan pengembangan, pengkajian, dan penerimaan strategi
proteksi organisasi secara menyeluruh, rencana mitigasi untuk resiko terhadap aset
kritis. Proses ini melibatkan dua lokakarya. Pada lokakarya pertama (disebut sebagai
lokakarya A), tim analisis menyusun proposal strategi dan perencanaan. Pada
lokakarya ke dua (disebut lokakarya B), manajer senior mengkaji proposal, membuat
perubahan yang diinginkan, dan menetapkan langkah selanjutnya untuk menerapkan
strategi dan perencanaan. Lokakarya A meliputi aktifitas:
Prework: Mengkompilasi hasil survey hasil ini diperoleh dari kompilasi survey
pada proses 1 sampai proses 3. Hasilnya digunakan untuk melihat praktek mana
yang telah dianggap baik oleh sebagian besar responden dan mana yang
dianggap buruk oleh sebagian besar responden
Membuat strategi proteksi strategi ini meliputi setiap praktek yang dianggap
harus dilaksanakan atau ditingkatkan, termasuk praktek mana yang sudah
dilaksanakan dengan baik.Membuat rencana mitigasi untuk setiap aset,
rencana mitigasi dibuat untuk melakukan pencegahan, pengenalan, dan
pemulihan dari setiap resiko dan menjelaskan bagaimana mengukur efektifitas
dari kegiatan mitigasi.
Membuat daftar aktifitas sebuah daftar aktifitas yang segera dilaksanakan, biasanya
meliputi vulnerability yang memerlukan perbaikan dengan segera.
Lokakarya B meliputi aktifitas:
Mengkaji ulang dan memperbaiki strategi proteksi, rencanan mitigasi dan daftar
aktifitas yang disebutkan dalam lokakarya A. Manajer senior dapat meminta
perubahan, penambahan, atau pengurangan.