Untuk mengamankan suatu Sistem Informasi
menurut anda apa saja yang perlu dilindungi?
1. Aset Fisik,
meliputi :
a. Personnel
b. Hardware
(termasuk media penyimpanan, dan
periperalnya)
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika
a. Data / Informasi
dan
b. Sofware (Sistem
dan Aplikasi)
Aset Sistem Informasi harus dilindungi
melalui sistem keamanan yang baik. Sebut dan jelaskan langkah-langkah utama
pelaksanaan program keamanan tsb.
-Prepare project plan
Persiapan Rencana
Pekerjaan (Preparation of a Project Plan)
Perencanaan proyek
untuk tinjaun kemanan mengikuti item sbb :
a. Tujuan Review
b. Ruang Lingkup (Scope) Review
c. Tugas yang harus dipenuhi
d. Organisasi dari Tim Proyek
e. Sumber Anggaran (Pendanaan) dan
f. Jadwal untuk Menyelesaikan Tugas
-Identify Assets
Identifikasi
Kekayaan (Identification of asset)
Katagori asset :
a. Personnel (end users, analyst, programmers,
operators, clerks, Guards)
b. Hardware
(Mainfarme, minicomputer, microcomputer, disk,
printer,
communication lines, concentrator, terminal)
c. Fasilitas (Furniture, office space, computer
rrom, tape storage rack)
d. Dokumentasi
(System and program
doc.,database doc.,standards plans,
insurance policies, contracts)
e. Persediaan (Negotiable instrument, preprinted
forms, paper, tapes, cassettes)
f. Data/Informasi (Master files, transaction
files, archival files)
g. Software Aplikasi (Debtors, creditors,
payroll, bill-of-materials, sales, inventory)
h. Sistem Software (Compilers, utilities, DBMS,
OS, Communication Software,
Spreadsheets)
-Value Assets
Penilaian Kekayaan
(Valuation of asset)
Langkah ke
tiga adalah penilaian
kekayaan, yang merupakan
langkah paling sulit.
Parker
(1981) menggambarkan
ketergantungan penilaian pada
siapa yang ditanya
untuk
memberikan penilaian,
cara penilaian atas
kekayaan yang hilang
(lost), waktu periode
untuk perhitungan
atas hilangnya kekayaan, dan umur
asset
-Identify Threats
Sumber ancaman
External :
1. Nature / Acts of God
2. H/W Suppliers
3. S/W Suppliers
4. Contractors
5. Other Resource Suppliers
6. Competitors
(sabotage, espionage, lawsuits,
financial distress through
fair or
unfair competition)
7. Debt and Equity Holders
8. Unions (strikes, sabotage,harassment)
9. Governmnets
10. Environmentalist (Harassment (gangguan),
unfavorable publicity)
11. Criminals/hackers (theft, sabotage,
espionage, extortion)
Sumber ancaman
Internal :
1. Management,
contoh kesalahan dalam
penyediaan sumber daya,
perencanaan
dan control yang tidak cukup.
2. Employee,
contoh Errors, Theft (pencurian),
Fraud (penipuan), sabotase,
extortion
(pemerasan), improper use of service
(penggunaan layanan yg tidak
sah)
3. Unreliable system, contoh Kesalahan H/W,
kesalahan S/W, kesalahan fasilitas.
-Assessing Likelihood Or Threats
Penilaian
Kemungkinan Ancaman (Threats LikeIihood Assessment)
Contoh, perusahaan
asuransi dapat menyediakan
informasi tentang kemungkinan
terjadinya
kebakaran api dalam satu waktu periode tertentu.
-Analyze Exposures
Analisis Ekspose
(Exposures analysis)
Tahap analisis
ekspose terdiri dari 4 tugas yaitu :
1. Identification
of the controls in place
2. Assessment of
the reliability of the controls in place
3. Evaluation of
the likelihood that a threat incident will be successful
4. Assess the
resulting loss if the threat is successful
Menurut anda bagaimana cara untuk
mengontrol bahwa Sistem Informasi sudah terlindungi dengan baik.
1. KONTROL
ADMINISTRATIF
untuk menjamin
bahwa seluruh kerangka control dilaksanakan sepenuhnya.
Mencakup hal-hal
berikut:
– Mempublikasikan
kebijakan control.
– Prosedur yang bersifat
formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas.
– Perekrutan
pegawai dengan orientasi pembinaan, dan pelatihan yang diperlukan.
2. PEMBATASAN AKSES
TERHADAP DATA
Akses terhadap
ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang yang telah
ditentukan.
3. KONTROL TERHADAP
PERSONEL PENGOPERASI
Dokumen yang berisi
prosedur-prosedur harus disediakan dan berisi pesoman-pedoman untuk melakukan
suatu pekerjaan. Pedoman-pedoman ini harus dijalankan dengan tegas.
4. KONTROL TERHADAP
PERALATAN
Kontrol terhadap
peralatan-peralatan perlu dilakukan secara berkala dengan tujuan agar kegagalan
peralatan dapat diminimumkan.
5. KONTROL TERHADAP
PENYIMPANAN ARSIP
Kontrol ini untuk
memastikan bahwa setiap pita magnetic yang digunakan untuk pengarsipan telah
diberi label dengan benar dan disimpan dengan tata cara yang sesuai.
6. KONTROL TERHADAP
AKSES INFORMASI
Ada kemungkinan
bahwa seseorang yang tak berhak terhadap suatu informasi berhasil membaca
informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer).
Untuk
mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi
tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi
tentang cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca
oleh orang lain dikenal dengan istilah kriptografi.
Adapun sistemnya
disebut sistem kripto. Secara lebih khusus, proses untuk mengubah teks asli
(cleartext atau plaintext) menjadi teks yang telah dilacak (cliphertext)
dinamakan enskripsi, sedangkan proses kebalikannya, dari chiphertext menjadi
cleratext, disebut dekrpisi. Dua teknik yang popular untuk melakukan enskripsi
yaitu DES dan public-key encryption.
7. Kontrol Terhadap
Perlidungan Terakhir
Kontrol terhadap
perlindungan terakhir dapat berupa:
– Rencana pemulihan
terhadap bencana.
– Asuransi.
Asuransi merupakan
upaya untuk mengurangi kerugian sekiranya terjadi bencana.
8. KONTROL APLIKASI
Kontrol aplikasi
adalah kontrol yang diwujudkan secara sesifik dalam suatu aplikasi sistem
informasi. Wilayah yang dicakup oleh kontrol ini meliputi:
– KONTROL MASUKAN
(Input)
Kontrol masukan
digunakan untuk menjamin keakurasian data, kelengkapan masukan (inputan), dan
validasi terhadap masukan (inputan).
– KONTROL
PEMROSESAN
Kesalahan salam
pemrosesan bisa terjadi sekalipun program dibuat dengan hati-hati agar bebas
dari kesalahan. Kesalahan juga bisa terjadi karena gangguan pada
komponen-komponen pemrosesan. Oleh karena itu, pemeriksaan terhadap kebenaran
hasil pemrosesan kadang-kadang perlu dilakukan sehingga kala terjadi hal-hal
yang tidak benar segera bisa diketahui.
Kontrol proses
antara lain dilakukan dengan mencantumkan total kontrol, berupa nilai total
semua transaksi. Ada pula yang mencantumkan jumlah rekaman dengan maksud untuk
dicocokkan dengan jumlah transaksi.
– KONTROL KELUARAN
(Output)
Kontrol keluaran
dilakukan secara manual untuk memastikan bahwa hasil pemrosesan memang sesuai
dengan yang diharapkan. Hal ini dilakukan dengan melaksanakan pengamatan
terhadap dokumen-dokumen dan laporan-laporan yang dihasilkan oleh komputer
didasarkan pada kebenaran informasi, otorisasi, dan kerahasiaan informasi.
– KONTROL BASIS
DATA
Kontrol terhadap
basis data antara lain dengan cara:
---Penerapan
kebijakan backup dan recovery.
---Penanganan
transaksi melalui mekanisme rollback dan commit. (rollback adalah kemampuan
basis data yang memungkinkan pengembalian ke keadaan sebelum sebuah transaksi
dimulai jika suatu transaksi tidak berjalan dengan sempurna, sedangkan commit
digunakan untuk memastikan bahwa data benar-benar teah dimutakhirkan pada basis
data sekiranya sebuah transaksi berlangsung dengan sempurna.
---Otorisasi akses,
yang mengatur orang tertentu hanya bisa melakukan tindakan tertentu pada berkas
tertentu.
– KONTROL
TELEKOMUNIKASI
Telekmunikasi
merupakan komponen yang paling lemah dalam sistem informasi. Penyadapan
informasi dapat dilakukan melalui sarana ini dengan cara menyergap gelombang
radio dalam sistem tanpa kabel (wireless) atau dengan cara menyadap jalur fisik
dalam jaringan.
Untuk
mengantisipasi keadaan seperti ini, kontrol terhadap telekomunikasi dapat
dilakukan dengan cara mengenkripsi informasi sehingga penyadap tidak dapat
membaca informasi yang sesungguhnya. Teknik checksum juga bisa diterapkan pada
data yang vital untuk mendeteksi apakah telah terjadi perubahan pada data atau
tidak.
Tidak ada komentar:
Posting Komentar