Transcript MANAJEMEN KEAMANAN KOMPUTER

MANAJEMEN KEAMANAN KOMPUTER
26 Agustus 2010
Pendahuluan
Didalam era teknologi yang makin
canggih, penggunaan komputer sebagai
salah satu sarana informasi, hampir
merambah keseluruh aspek kehidupan
manusia, baik didalam kegiatan
perusahaan, organisasi, ataupun
pemerintahan.
Pendahuluan
Informasi adalah salah satu aset bagi sebuah
perusahaan atau organisasi, yang sebagaimana
aset lainnya memiliki nilai tertentu bagi
perusahaan atau organisasi tersebut sehingga
harus dilindungi, untuk menjamin kelangsungan
perusahaan atau organisasi, meminimalisir
kerusakan karena kebocoran sistem keamanan
informasi, mempercepat kembalinya investasi dan
memperluas peluang usaha.
Pendahuluan
Beragam bentuk informasi yang mungkin dimiliki
oleh sebuah perusahaan atau organisasi meliputi
diantaranya : informasi yang tersimpan dalam
komputer ( baik desktop komputer maupun
mobile komputer ), informasi yang ditransmisikan
melalui network, informasi yang dicetak pada
kertas, dikirim melalui fax, tersimpan dalam
disket,cd,atau media penyimpanan lain, informasi
yang dilakukan dalam pembicaraan ( termasuk
percakapan melalui telepon
Pendahuluan
dikirim melalui telex, email, informasi yang
tersimpan dalam database, tersimpan dalam film,
dipresentasikan dengan OHP atau media
presentasi yang lain, dan metode-metode lain
yang dapat digunakan untuk menyampaikan
informasi dan ide-ide baru organisasi atau
perusahaan
Karakteristik khusus
dalam Manajemen Keamanan
Informasi (6P)
1. Planning
Planning dalam manajemen keamanan informasi
meliputi proses perancangan, pembuatan, dan
implementasi strategi untuk mencapai tujuan. Ada
tiga tahapannya yaitu: (1)strategic planning yang
dilakukan oleh tingkatan tertinggi dalam organisasi
untuk periode yang lama, biasanya lima tahunan
atau lebih, (2)tactical planning memfokuskan diri
pada pembuatan perencanaan dan mengintegrasi
sumberdaya organisasi pada tingkat yang lebih
rendah dalam periode yang lebih singkat,
1. Planning
misalnya satu atau dua tahunan,
(3)operational planning memfokuskan diri
pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen
keamanan informasi adalah aktifitas yang
dibutuhkan untuk mendukung perancangan,
pembuatan, dan implementasi strategi
keamanan informasi supaya diterapkan dalam
lingkungan teknologi informasi.
2. Policy (Kebijakan)
Dalam keamanan informasi, ada tiga kategori umum dari
kebijakan yaitu:
1. Enterprise information security policy (EISP) menentukan
kebijakan departemen keamanan informasi dan
menciptakan kondisi keamanan informasi di setiap bagian
organisasi.
2. Issue-spesific security policy (ISSP) adalah sebuah
peraturan yang menjelaskan perilaku yang dapat diterima
dan tidak dapat diterima dari segi keamanan informasi pada
setiap teknologi yang digunakan, misalnya e-mail atau
penggunaan internet.
3. System-spesific Policy (SSPs) pengendali konfigurasi
penggunaan perangkat atau teknologi secara teknis atau
manajerial.
3. Programs
Adalah operasi-operasi dalam keamanan
informasi yang secara khusus diatur dalam
beberapa bagian. Salah satu contohnya adalah
program security education training and
awareness. Program ini bertujuan untuk
memberikan pengetahuan kepada pekerja
mengenai keamanan informasi dan
meningkatkan pemahaman keamanan
informasi pekerja sehingga dicapai
peningkatan keamanan informasi organisasi.
4. Protection (Proteksi)
Fungsi proteksi dilaksanakan melalui
serangkaian aktifitas manajemen resiko,
meliputi perkiraan resiko (risk assessment) dan
pengendali, termasuk mekanisme proteksi,
teknologi proteksi dan perangkat proteksi baik
perangkat keras maupun perangkat keras.
Setiap mekanisme merupakan aplikasi dari
aspek-aspek dalam rencana keamanan
informasi.
5. People
Manusia adalah penghubung utama dalam
program keamanan informasi. Penting sekali
mengenali aturan krusial yang dilakukan oleh
pekerja dalam program keamanan informasi.
Aspek ini meliputi personil keamanan dan
keamanan personil dalam organisasi.
6. Project Management
Komponen terakhir adalah penerapan
kedisiplinan manajemen dalam setiap elemen
kemanan informasi. Hal ini melibatkan
identifikasi dan pengendalian sumberdaya
yang dikerahkan untuk keamanan informasi,
misalnya pengukuran pencapaian keamanan
informasi dan peningkatannya dalam
mencapai tujuan keamanan informasi.
Soal akurasi dan kecepatan jadi alasan
kenapa komputer dipilih jadi alat bantu
bekerja. Sayangnya, tak sedikit hal-hal
buruk terjadi di komputer sebagai media
Informasi. Kemampuan komputer pun
banyak dimanfaatkan untuk hal-hal
negatif, seperti penyebaran virus, trojan,
DoS, Web deface, bahkan sampai
pencurian identitas dan dana segar.
Hal tersebut memunculkan suatu
kebutuhan akan keamanan komputer.
Dengan membangun sistem
keamanan, data di komputer sebagai
media Informasi bisa terlindungi dan
terselamatkan. Informasi yang
merupakan aset harus dilindungi
keamanannya.
Perusahaan di Indonesia disebut belum
terlalu memperhatikan keamanan
komputer mereka. Padahal hal ini akan
sangat diperlukan bila ingin menjalankan
bisnis internasional.Hal serupa kita jumpai
pula saat kita menginginkan komputer
atau sistem kita aman dari virus, spam,
atau serangan hacker. Seringkali kita
harus rela sedikit repot menginstal
antivirus dan menyaring semua data yang
lalu lalang di sistem.
Dengan makin pintarnya para pembuat
virus dan makin cerdasnya para pembobol
sistem, maka cara mengamankan sistem
pun makin ditingkatkan, bahkan telah
mengubah paradigma di bidang ini.
Dahulu orang biasa membuka semua
akses, membiarkan semua lewat, baru
kemudian menutup beberapa pintu yang
dianggap rawan serangan. Artinya,
setelah semua “penjahat” berada di
dalam, mereka baru diseleksi.
Cara ini memang membuat kita lebih
leluasa menjelajah atau menerima
kiriman dari luar. Namun di lain pihak,
kita menjadi tidak sadar bila ada kode
jahat yang menyamar menjadi file
baik-baik. Akhirnya sistem kita
dibobol.
Kini pandangan itu berubah. Menurut
mahaguru di bidang keamanan, Steve
Riley, sekarang orang lebih baik
memblokir semua pintu dahulu, baru
kemudian mengijinkan mereka yang
berkepentingan masuk. Untuk bisa
masuk, file harus dikenali.
Persis seperti bila kita akan memasuki
hotel atau perkantoran. Akibatnya,
kita memang akan berulang kali
ditanya sistem, apakah file A bisa
masuk, apakah si B boleh lewat dan
sebagainya. Sering kali, karena tidak
dikenali, beberapa file juga akan
terblokir, dan bagi sebagian orang hal
ini tidak nyaman.
Memang keamanan tidak berjalan
bersama kenyamanan, Bila ingin aman,
maka kita harus mengorbankan
kenyamanan. Demikian juga sebaliknya.
Tak heran jika beberapa orang masih
malas menginstal produk SP2 dari
Microsoft. SP2 ini dianggap akan
membatasi lalu lintas karena sifatnya
yang “protect everything”, sehingga
semua pintu masuk hanya bisa dilewati
setelah ada ijin.
Belum lagi, pengguna disarankan
untuk membaca manual, yang sama
artinya dengan belajar lagi. Padahal,
sistem keamanan SP2 ini sulit
ditembus. Secara teknologi, masalah
keamanan sudah bagus. Yang menjadi
tantangan justru dari segi pengguna.
Sistem ini makin sulit diserang, dan di
masa depan yang menjadi kelemahan
sistem adalah manusianya,
Bagaimana menyadarkan pentingnya
keamanan sehingga orang bersedia
sedikit repot menginstal dan selalu
meng-update sistem keamanannya.
Ancaman terhadap keamanan sistem
informasi memiliki dampak hilangnya
data dan informasi, terganggunya
komunikasi jaringan komputer
misalnya dengan habisnya bandwidth
yang terpakai oleh worm untuk
menggandakan dirinya atau
lumpuhnya sistem e-mail.
Atas ancaman keamanan sistem
informasi, dari beberapa data yang ada,
usaha kecil menengah atau UKM,
terutama di Indonesia, memiliki sikap:
Tidak memperdulikan keamanan sistem
informasi misalnya menghubungkan
komputer dengan LAN yang memiliki
akses membagi data dari mobile disk
atau internet tanpa dilengkapi software
security seperti firewall atau antivirus,
atau Memiliki keamanan minimal
misalnya bersikap reaktif terhadap
masalah keamanan sistem informasi
yang muncul. Sikap-sikap seperti ini
justru memicu semakin maraknya
masalah-masalah keamanan sistem
informasi mulai dari virus hingga
penyusupan sistem. Situasi kesadaran
pentingnya keamanan sistem informasi.
Keamanan komputer dan keamanan
sistem informasi merupakan bidang
yang kompleks bermulai dari
manajemen keamanan sistem informasi
dan berakhir pada algoritma matematika
enskripsi data yang rumit didukung
pengetahuan keamanan komputer
hingga penggunaan perangkat lunak
keamanan khusus.
Jadi dapat saja seseorang memiliki
pertanyaan-pertanyaan tentang
keamanan sistem informasi dan tidak
memahami beberapa hal tentang
keamanan sistem informasi. Pertanyaan
mendasar perlunya keamanan bagi
sistem informasi usaha kecil dan
menengah dicoba dijawab dengan
mempelajari manfaat sistem informasi
bagi pebisnis
Sistem informasi yang diterapkan
kegiatan pebisnis layak dilindungi.
Sistem informasi yang dikembangkan
pebisnis merupakan model bagi bisnis
usaha. Banyak proses bisnis dibantu
bahkan dijalankan dengan teknologi
informasi yang dimiliki.