Monday, June 07, 2010

Prinsip Dasar Keamanan Informasi

Ada tiga prinsip dasar dari keamanan informasi - AIC atau CIA
  1. Avaibility
  2. Integrity
  3. Confidentiality
  1. Availability
    • Availability memastikan ketersediaan sistem manakala dibutuhkan atau menjamin data atau sistem reliabel dan terkini saat diakses oleh individu yang diberi hak akses.
    • Sumber ancaman (threat):
      • Kegagalan dari Hardware (Device) atau Software
      • Isu yang datang dari lingkungan seperti panas, kelembaban, listrik statis yang dapat memberikan dampak bagi kerusakan hardware sistem dan pada akhirnya menggangu ketersediaan sistem
      • Serangan Denial-of-Service (DoS)
    • Countermeasures : Pencegahan
      • Melakukan backup untuk menggantikan kegagalan sistem
      • Melakukan monitor lalulintas jaringan aktifitas host sistem
      • Menggunakan konfigurasi firewall dan router
      • Implementasi program antivirus
  2. Integrity
    • Memastikan integritas data dan konfigurasi sistem atau memastikan data dan konfigurasi sistem tidak dirusak oleh orang yang tidak berhak mengaksesnya dinamakan Integrity.
    • Sumber Ancaman (threat)
      • Serangan virus
      • Logic Bomb : kumpulan intruksi yang dimasukan kedalam program yang didesain untuk dieksekusi ketika suatu kondisi terpenuhi. logic bomb dapat merubah sebuah file. Terkadang skrip program logic bomb dikirim lewat email dan akan mengeksekusi kode program ketika email dibuka.
      • Backdoor : sebuah program yang diletakan di sebuah aplikasi atau komputer server dalam jaringan komputer yang dapat sipembuat program mengakses sistem aplikasi atau server dalam jaringan. Biasanya dilakukan hacker/cracker untuk mencuri login otentifikasi user dan memantau kelemahan port di server yang kemudian dapat dilakukan serangan.
    • Countermeasures : Pencegahan
      • Melakukan kontrol akses sistem dengan ketat
      • Mendeteksi kemungkinan penyusupan / gangguan yang mungkin
      • Melakukan Hashing : salah satunya menerapkan cryptograph pada proses transfer data
  3. Confidentiality :
    • Memastikan bahwa tingkat kerahasiaan perlu diberlakukan pada setiap pintu masuk pengolahan data dan mencegah pengungkapan yang tidak sah. Tingkat kerahasiaan ini harus berlaku saat data berada pada sistem dan dalam jaringan, dan memastikan data yang dikirim sampai ke tujuan tanpa mengalami kebocoran
    • Sumber ancaman (threat)
      • Pemantauan jaringan
      • Pemantauan screen aplikasi
      • Pencurian file password
      • Menggunakan user orang lain untuk login ke sistem
    • Countermeasures : Pencegahan
      • Melakukan enkripsi saat disimpan maupun dikirim
      • Menggunakan network padding
      • Implementasi mekanisme kontrol akses yang ketat dan klasifikasi terhadap data

Saturday, June 05, 2010

Elemen-elemen Keamanan Sistem Informasi

Vulnerability : Kerentanan
  • Sebuah software, hardware atau kelemahan dari prosedur yang menyebabkan penyusup (bisa dikatakan hacker/cracker) dapat membuka celah untuk masuk ke dalam sistem komputer atau jaringan sehingga memiliki kewenangan akses terhadap lingkungan dan sumberdaya yang ada didalamnya.
  • Karakteristik dari Vulnerability adalah ke-alpaan atau kelemahan dari penjagaan sehingga sebuah sistem bisa di exploitasi
  • Sebuah service yang berjalan di server, atau sistem operasi dikatakan memiliki Vulnerability jika aplikasi didalamnya tidak/belum dilakukan patch ( update versi ) secara berkala
  • Terbukanya port pada firewall sebuah server, dan tidak adanya sistem yang mencegah virus masuk (anti virus) pada sebuah komputer dapat dikategorikan sebagai Vulnerability
Threat: Ancaman
  • Semua potensi yang membahayakan sistem informasi
  • Sebuah threat adalah aktifitas dimana kemungkinan dilakukan oleh seseorang yang akan menidentifikasi atau melakukan exploitasi terhadap Vulnerability
  • Entitas yang mengambil keuntungan dari kerentanan disebut sebagai threat-agent. Seorang threat-agent dapat menjadi seseorang (penyusup) yang mengakses jaringan melalui port pada firewall
Exposure
  • Sebuah exposure adalah suatu hal yang diexpose oleh threat-agent (hacker/cracker) dan dimungkinkan dapat dibobol
  • Vulnerability dari exposure pada sebuah organisasi memungkinkan terjadinya kerusakan sistem
  • Contoh dari exposure adalah pada sebuah sistem login dengan user dan password, aplikasi memperbolehkan pembuatan password yang tidak kuat (dimungkinkan password dibuat tanpa kombinasi angka, huruf dan karakter khusus) yang membuat sistem mempunyai celah untuk di susupi oleh hacker/cracker dengan mencoba masuk dengan cara melakukan kombinasi user dan password yang mungkin atau bahkan menangkap informasi dari user yang pernah melakukan login ke sistem
Countermeasure / Safeguard
  • Adalah sebuah aplikasi atau software atau hardware atau prosedur yang meminimalkan risiko
  • Contohnya Countermeasure : Manajemen password yang kuat dari sistem login, penjagaan keamanan (satpam) pada gedung/ruangan server, mekanisme akses kontrol ke sistem operasi, penggunaan password pada BIOS, training security-awareness
Hubungan antara element-element keamanan informasi
  • Sebuah perusahaan memiliki software antivirus tetap tidak melakukan update antivirus, ini tergolong Vulnerability. Perusahaan memiliki Vulnerability dari serangan virus
  • Threat adalah virus yang muncul dalam sebuah sistem komputer/jaringan yang mengakibatkan terganggunya produktifitas kerja
  • Seringnynya muncul virus pada suatu lingkungan / sistem komputer mengakibatkan kerusakan adalah sebuah risiko
  • Jika virus telah menyebar di lingkungan perusahaan, maka Vulnerability telah dimanfaatkan dan perusahaan terkena kerugian
sumber

Pengenalan Keamanan Informasi

Keamanan Informasi berarti melindungi informasi dan sistem informasi dari akses yang tidak berkepentingan, penggunaan, pengungkapan, gangguan, pengubahan atau perusakan.
Manajemen Keamanan Informasi adalah proses untuk mendefinisikan terhadap kontrol keamanan dalam rangka melindungi asset informasi.

Langkah pertama dari program manajemen organisasi/perusahaan dalam melakukan implementasi keamanan informasi adalah memiliki program keamanan informasi.

Tujuan dari program keamanan informasi
1) Melindungi perusahaan dan asset yang dimilikinya
2) Manajemen risiko dengan mengidentifikasi asset, ancaman yang mungkin terjadi dan estimasi risiko
3) Menyediakan arahan langsung untuk aktifitas keamanan dengan merumuskan kebijakan, prosedur-prosedur, standarisasi, pentunjuk-petunjuk dan garis besar dari keamanan informasi
4) Melakukan klasifikasi informasi
5) Melakukan pengorganisasian keamanan informasi dan
6) Melakukan edukasi keamanan informasi

Tanggung jawab dari manajemen keamanan informasi
1) Menentukan tujuan, cakupan, kebijakan, prioritas, standarisasi dan strategi-strategi
2) Menentukan tujuan utama yang diharapkan untuk dicapai dari program keamanan informasi
3) Melakukan evaluasi tujuan bisnis, risiko keamanan, produktifitas pengguna dan fungsionalitas kebutuhan
4) Melakukan langkah pendefinisian untuk memastikan semua hal-hal diatas semua dicatat dan ditangani dengan benar

Pendekatan dalam membangun program keamanan informasi
1) Pendekatan Top-Down
a) Melakukan inisialisasi, dukungan dan arahan dari manajemen tingkat atas melalui manajemen level menengah dan kemudian kepada staff
b) Lakukan pendekatan yang terbaik
c) Pastikan manajemen senior yang paling bertanggung jawab untuk melindungi asset perusahaan dalam menjalankan program ini

2) Pendekatan Bottoum-Up
a) Tim dari level terbawah membuat kontrol keamanan atau program keamanan informasi tanpa dukungan dan arahan dari manajemen
b) Pendekatan ini tidak efektif dan memiliki kecenderungan untuk gagal terlaksana

Klasifikasi dari Pengendalian Keamanan Informasi
1) Administrasi
a) Membuat dan melakukan publikasi kebijakan, standarisasi, prosedur dan petunjuk
b) Melakukan screening kepad personil / staff
c) Melakukan pelatihan kepekaan terhadap keamanan informasi (security-awareness)
d) Melakukan implementasi perubahan terhadap prosedur pengendalian
2) Logika Teknik
a) Melakukan implementasi dan me-maintenance terhadap mekanisme akses pengendalian
b) Manajemen password dan sumber daya
c) Peralatan keamanan
e) Konfigurasi dari infrastruktur

3) Fisik
a) Melakukan pengendalian akses individu kedalam fasilitas gedung atau ruangan
b) Sistem penguncian dan meniadakan perangkat seperti floppy disk, CDROM
c) Memproteksi fasilitas
d) Melakukan monitoring dan intrusi terhadap lingkungan pengendalian

Selanjutnya elemen-elemen keamanan SI/TI

sumber