Pentingnya Manajemen Kontrol Keamanan pada Sistem

Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan hidup  bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting bagi  meningkatkan kesuksusesan yang kompetitif dalam  semua sektor ekonomi.

Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan informasi. Dengan tumbuhnya berbagai  penipuan, spionase, virus, dan hackers sudah mengancam informasi bisnis  manajemen oleh karena meningkatnya keterbukaan informasi dan lebih sedikit kendali/control yang dilakukan melalui teknologi informasi modern. Sebagai konsekuensinya , meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor,dan stakeholders lainnya menuntut adanya manajemen informasi yang efektif untuk memastikan informasi yang menjamin kesinambungan bisnis dan meminimise kerusakan bisnis dengan pencegahan dan memimise dampak peristiwa keamanan.

Mengapa harus mengamankan informasi?

Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan informasi” dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya sangat terkait, namun mengacu pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi” atau IT Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi informasi dari  gangguan-gangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan

Berbeda dengan “keamanan informasi” yang fokusnya justru pada data dan informasi milik perusahaan  Pada konsep ini, usaha-usaha yang dilakukan adalah merencanakan, mengembangkan serta mengawasi semua kegiatan yang terkait dengan bagaimana data dan informasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya serta tidak disalahgunakan atau bahkan dibocorkan ke pihak-pihak yang tidak berkepentingan.

Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:

·         Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.

·         Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode prosesnya untuk menjamin aspek integrity ini.

·         Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang berhubungan bilamana diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, struktur-struktur organisasi dan piranti lunak.

Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai “quality or state of being secure-to be free from danger” [1]. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari tinjauan keamanan informasi adalah:

·         Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.

·         Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi.

·         Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.

·         Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.

·         Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Bagaimana mengamankannya?

Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:

Planning

Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:

1)      strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih,

2)      tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan,

3)      operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada beberapa tipe planning dalam manajemen keamanan informasi, meliputi :

v  Incident Response Planning (IRP)

IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility sumberdaya informasi. Insident Response Planning meliputi incident detection, incident response, dan incident recovery.

v  Disaster Recovery Planning (DRP)

Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan pemulihan.

v  Business Continuity Planning (BCP)

Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan tugas utama business continuity planning. Jika terjadi bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam BCP adalah biaya.

Policy

Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:

1)      Enterprise Information Security Policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.

2)      Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.

3)      System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.

Programs

Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu contohnya adalah program security education training and awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.

Protection

Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.

People

Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.

Standar apa yang digunakan?

1)      ISO/IEC 27001 adalah standar information security yang diterbitkan pada October 2005 oleh International Organization for Standarization dan International Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.

2)      ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara seta mendokumentasikan Information Security Management System dalam konteks resiko bisnis organisasi keseluruhan

3)      ISO/IEC 27001  mendefenisikan keperluan-keperluan untuk sistem manajemen keamanan informasi (ISMS). ISMS yang baik akan membantu memberikan perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi, implementasi ISMS ini akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak lama.

Tugas 3 Pengantar Telematika

Tugas 3 Pengantar Telematika

1. Jelaskan bagaimana cara pengamanan layanan telematika dilihat dari aspek jaringan komputernya baik yang menggunakan kabel maupun tanpa kabel (wireless)! 

Jawab :
Cara pengamanan layanan telematika yang dilihat dari aspek jaringan computer yang menggunakan kabel atau wirelese itu ada 4, diantaranya :

A.  Layanan Informasi
Pengertian layanan informasi adalah penyampaian berbagai informasi kepada sasaran layanan agar individu dapat memanfaatkan informasi tersebut demi kepentingan hidup dan perkembangannya. Informasi dapat disajikan dalam berbagai format seperti: teks, gambar, audio, maupun video.
Beberapa contoh dari layanan informasi adalah :
a. M – Commerce
b. GPS
c. News and weather
d. Telematik Terminal
e. Jasa pelayanan internet
f. Informasi lalu lintas terbaru

B.  Layanan Keamanan
Layanan keamanan adalah suatu yang sangat penting untuk menjaga agar suatu data dalam jaringan tidak mudahterhapus atau hilang. Sistem dari keamanan ini juga membantu untuk mengamankan jaringan tanpa menghalangi penggunaannya dan menempatkan antisipasi ketika jaringan berhasil ditembus. Keamanan jaringan di sini adalah memberikan peningkatan keamanan tertentu untuk jaringan serta untuk memantau dan memberikan informasi jika sesuatu berjalan tidak seharusnya.

Layanan ini dapat mengurangi tingkat pencurian dan kejahatan. Peningkatan keamanan jaringan ini dapat dilakukan terhadap :

a. Rahasia (privacy)
Dengan banyak pemakai yang tidak dikenal pada jaringan menyebabkan penyembunyian data yang sensitive menjadi sulit.

b. Keterpaduan data (data integrity)
Karena banyak node dan pemakai berpotensi untuk mengakses system komputasi, resiko korupsi data adalah lebih tinggi.

c. Keaslian (authenticity)
Hal ini sulit untuk memastikan identitas pemakai pada system remote, akibatnya satu host mungkin tidak mempercayai keaslian seorang pemakai yang dijalankan oleh host lain.

d. Convert Channel
Jaringan menawarkan banyak kemungkinan untuk konstruksi convert channel untuk aliran data, karena begitu banyak data yang sedang ditransmit guna menyembunyikan pesan.

Keamanan dapat didefinisikan sebagai berikut :

a. Integrity
Mensyaratkan bahwa informasi hanya dapat diubah oleh pihak yang memiliki wewenang.

b. Confidentiality
Mensyaratkan bahwa informasi (data) hanya bisa diakses oleh pihak yang memiliki wewenang.

c. Authentication
Mensyaratkan bahwa pengirim suatu informasi dapat diidentifikasi dengan benar dan ada jaminan bahwa identitas yang didapat tidak palsu.

d. Availability
Mensyaratkan bahwa informasi tersedia untuk pihak yang memiliki wewenang ketika dibutuhkan.

e. Nonrepudiation
Mensyaratkan bahwa baik pengirim maupun penerima informasi tidak dapat menyangkal pengiriman dan penerimaan pesan.

C.     Layanan Context - Aware - Event Base
Context Aware atau istilah lainnya context-awareness diperkenalkan oleh Schilit pada tahun 1994, dengan gagasan yang menyatakan bahwa perangkat komputer memiliki kepekaan dan dapat bereaksi terhadap lingkungan sekitarnya berdasarkan informasi dan aturan-aturan tertentu yang tersimpan di dalam perangkat.
Istilah context-awareness mengacu kepada kemampuan layanan network untuk mengetahui berbagai konteks, yaitu kumpulan parameter yang relevan dari pengguna (user) dan penggunaan network itu, serta memberikan layanan yang sesuai dengan parameter-parameter itu. Beberapa konteks yang dapat digunakan antara lain lokasi user, data dasar user, berbagai preferensi user, jenis dan kemampuan terminal yang digunakan user.
Sebagai contoh : ketika seorang user sedang mengadakan rapat, maka context-aware mobile phone yang dimiliki user akan langsung menyimpulkan bahwa user sedang mengadakan rapat dan akan menolak seluruh panggilan telepon yang tidak penting. Dan untuk saat ini, konteks location awareness dan activity recognition yang merupakan bagian dari context-awareness menjadi pembahasan utama di bidang penelitian ilmu komputer.
Tiga hal yang menjadi perhatian sistem context-aware menurut Albrecht Schmidt, yaitu:

a. The acquisition of context
Hal ini berkaitan dengan pemilihan konteks dan bagaimana cara memperoleh konteks yang diinginkan, sebagai contoh : pemilihan konteks lokasi, dengan penggunaan suatu sensor lokasi tertentu (misalnya: GPS) untuk melihat situasi atau posisi suatu lokasi tersebut.

b. The abstraction and understanding of context
Pemahaman terhadap bagaimana cara konteks yang dipilih berhubungan dengan kondisi nyata, bagaimana informasi yang dimiliki suatu konteks dapat membantu meningkatkan kinerja aplikasi, dan bagaimana tanggapan sistem dan cara kerja terhadap inputan dalam suatu konteks.
c. Application behaviour based on the recognized context
Terakhir, dua hal yang paling penting adalah bagaimana pengguna dapat memahami sistem dan tingkah lakunya yang sesuai dengan konteks yang dimilikinya serta bagaimana caranya memberikan kontrol penuh kepada pengguna terhadap sistem.

D.    Layanan Perbaikan Sumber
Layanan perbaikan sumber yang dimaksud adalah layanan perbaikan dalam sumber daya manusia (SDM). SDM telematika adalah orang yang melakukan aktivitas yang berhubungan dengan telekomunikasi, media, dan informatika sebagai pengelola, pengembang, pendidik, dan pengguna di lingkungan pemerintah, dunia usaha, lembaga pendidikan, dan masyarakat pada umunya.
Konsep pengembangan sumber daya manusia di bidang telematika ditujukan untuk meningkatkan kualitas, kuantitas dan pendayagunaan SDM telematika dengan tujuan untuk mengatasi kesenjangan digital, kesenjangan informasi dan meningkatkan kemandirian masyarakat dalam pemanfaatan teknologi informasi dan komunikasi secara efektif dan optimal.
Kebutuan akan SDM dapat dilihat dari bidang ekonomi dan bidang politik, yaitu :

a.  Dilihat dari bidang ekonomi
Pengembangan telematika ditujukan untuk peningkatan kapasitas ekonomi, berupa peningkatan kapasitas industry produk barang dan jasa. 

b. Dilihat dari bidang politik
Bagaimana telematika memberikan kontribusi pada pelayanan public sehingga menghasilkan dukungan politik.
Dari kedua bidang tersebut diatas kebutuhan terhadap telematika akan dilihat dari dua aspek, yaitu:
1. Pengembangan peningkatan kapasitas industry.
2. Pengembangan layanan publik.
Sasaran utama dalam upaya pengembangan SDM telematika yaitu sebagai berikut :
-  Peningkatan kinerja layanan public yang memberikan akses yang luas terhadap peningkatan
   kecerdasan masyarakat, pengembangan demokrasi dan transparasi sebagai katalisator   
   pembangaunan.
-  Literasi masyarakat di bidang teknologi telematika yang terutama ditujukan kepada old generator
   dan today generation sebagai peningkatan, dikemukakan oleh Tapscott.

2. Jelaskan motif-motif gangguan yang terjadi pada layanan telematika!

Jawaban:
1)  Noise adalah suatu sinyal gangguan yang bersifat akustik (suara), elektris, maupun elektronis yang hadir dalam suatu sistem (rangkaian listrik/ elektronika) dalam bentuk gangguan yang bukan merupakan sinyal yang diinginkan.
2)  Flooding adalah teknologi informasi yang mengacu kepada salah satu jenis serangan Denial-of-service yang menggunakan paket-paket SYN. Denial of Service (DoS) merupakan serangan dimana suatu pihak mengekploitasi aspek dari suite Internet Protocol untuk menghalangi akses pihak yang berhak atas informasi atau sistem yang diserang.
3)  Virus adalah sebuah program komputer yang dapat menggandakan dirinya secara sendiri dalam sistem komputer. Sebuah worm dapat menggandakan dirinya dengan memanfaatkan jaringan (LAN/WAN/Internet) tanpa perlu campur tangan dari user itu sendiri.
4)  Sniffer adalah sebuah device penyadapan komunikasi jaringan komputer dengan memanfaatkan mode premicious pada ethernet.

3. Jelaskan satu contoh metode pengamanan terhadap layanan telematika!

Jawab
Sebuah metode browsing jaringan disediakan untuk browsing video atau audio data yang di tembak oleh sebuah IP. Jaringan video atau audio metode browsing sesuai mencangkup langkah-langkah dari:
a. Menjalankan sebuah program splikasi komputetr local untuk mendapatkan kode identifikasi yang disimpan dalam kamera IP.
b. Transmisi untuk mendaftarkan kode identifikasi ke DDNS (Dinamic Domain Name Server) oleh program aplikasi.
c. Mendapatkakn kamera IP pribadi alamat dan alamat server pribadi sehingga pasangan IO kamera dan control kamera IP melalui kamera IP pribadi, dan
d. Kopel ke layanan server melalui alamat server pribadi sehina untuk mendapatkan video atau audio dari yang ditembak oleh kamera IP, dimana server layanan menangkap video atau audio data yang ditembak oleh kamera IP melalui Internet.

Sumber: http://wartawarga.gunadarma.ac.id/2013/01/tugas-3-pengantar-telematika-kelas-4ka20/

            https://coursemean.wordpress.com/2014/01/15/tugas-3-pengantar-telematika/