Kerangka Kerja sebuah keamanan sistem informasi

Gambar diatas merupakan sebuah platform serta gambaran lengkap bagaimana suatu keamanan sistem informasi. Kegiatan serta hal hal apa saja yang menjadi kebijakan (policy) dalam sebuah keamanan sistem. Serta sumber IT sebagai pendukung yang juga menjadi dasar berjalannya keamanan sistem informasi, karena tanpa sumber yang jelas maka tidak akan ada hasil (output) yang maksimal.

Sumber referensi : http://www.scribd.com/doc/38458428/72/Gambar-22-Kerangka-kerja-keamanan-informasi

Keamanan Sistem Informasi (Information System Security)

Informasi sekarang ini sudah dianggap sebagai asset yang penting. Karena informasi mendukung jalannya suatu kegiatan bisnis dalam organisasi atau perusaahaan. Dalam era ini, informasi sudah didukung dengan teknologi informasi yang maju sehingga suatu informasi terintegrasi secara sistematis. Maka muncullah suatu istilah sistem informasi yang artinya adalah kombinasi dari teknologi informasi dan aktivitas orang yang menggunakan teknologi itu untuk mendukung operasi dan manajeme. Dalam arti yang sangat luas, istilah sistem informasi yang sering digunakan merujuk kepada interaksi antara orang,proses algoritmik, data, dan teknologi. Karena mendukung banyaknya aspek maka butuh keamanan yang bisa diandalkan untuk mencegah kecurangan (cybercrime). Banyak pihak yang memanfaatkan teknologi informasi untuk melakukan kejahatan seperti pencurian data, manipulasi hingga meng-hack. Dampak yang ditimbulkan tentu saja merugikan jika suatu informasi tidak terjamin keamanannya.

Sistem Informasi menjunjung 3 aspek yang harus dijagikan platform yaitu:
- Menjamin integritas informasi (Intregrity)
- Pengamanan kerahasiaan data (Confidentiality)
- Pemastian kesiagaan informasi (Availbility)

Sistem informasi harus bisa diandalkan dan dipercaya, sehingga sistem keamanannya pun harus dapat diandalkan juga. Keamanan Informasi disajikan untuk mencegah ancaman ancaman yang ada. Timbulnya ancaman dapat dipicu oleh suatu kondisi dari sumber ancaman. Sumber ancaman dapat muncul dari kegiatan pengolahan informasi yang berasal dari 3 hal utama, yaitu (1) Ancaman Alam; (2) Ancaman Manusia, dan (3) Ancaman Lingkungan.

Dampak yang ditimbulkan oleh suatu ancaman maupun kelemahan, dapat dianalisa dengan mewawancarai pihak-pihak yang berkompeten, sehingga didapatkan gambaran kerugian yang mungkin timbul dari kelemahan dan ancaman yang muncul. Adapun dampak kerugian yang mungkin timbul dari suatu resiko dikategorikan dalam 3 (tiga) kemungkinan yang mana dampak tersebut dapat berkonsekuensi atas satu atas kombinasi dari ketiga hal tersebut. Dampak yang timbul dapat mengarah kepada :

§  Dampak atas Kenyamanan, Dampak ini akan berakibat kepada sistem dan kerahasiaan data dimana sumber daya indormasi akan terbuka dan dapat membahayakan keamanan data. Penyingkapan atas kerahasiaan data dapat menghasilkan tingkat kerugian pada menurunnya kepercayaan atas sumber daya informasi dari sisi kualitatif, sedang dari sisi kuantitatif adalah munculnya biaya perbaikan sistem dan waktu yang dibutuhkan untuk melakukan recovery atas data

§  Dampak atas Integritas, Dampak integritas adalah termodifikasikan suatu informasi, dampak kualitatif dari kerugian integrity ini adalah menurunkan tingkat produktifitas kerja karena gangguan atas informasi adapun dampak kuantitatif adalah kebutuhan dana dan waktu merecovery informasi yang berubah.

§  Dampak atas Ketersediaan, Kerugian ini menimbulkan dampak yang cukup signifikan terhadap misi organisasi karena terganggunya fungsionalitas sistem dan berkurangnya efektifitas operasional.

KATEGORI ANCAMAN

§  Disclosure , akses tak-terotorisasi thd suatu informasi

§  Deception, penerimaan suatu data yang salah

§  Disruption, interupsi atau pencegahan thp jalannya operasi yg benar/normal

§  Usurpation, kendali tak-terotorisasi thd seluruh/sebagian sistem

Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi yaitu :

• Efektifitas
• Efisiensi
• Kerahaasiaan
• Integritas
• Keberadaan (availability)
• Kepatuhan (compliance)
• Keandalan (reliability)

Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan dengan baik.  Adapun kriteria yag perlu di perhatikan dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :

1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang di pakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada

Serangan Terhadap Keamanan Sistem Informasi

Berikut saya sajikan beberapa contoh serangan dalam sistem informasi yang sering dijumpai sekarang ini dan memberikan dampak yang buruk. Pengelompokkan serangan dibawah ini bisa menjadikan tolak ukur untuk mencegah maupun mengatasi apabila terjadinya serangan.

Security attack, atau serangan terhadap keamanan sistem informasi, dapat
dilihat dari sudut peranan komputer atau jaringan komputer yang fungsinya
adalah sebagai penyedia informasi. Menurut W. Stallings [40] ada beberapa
kemungkinan serangan (attack):

• Interruption: Perangkat sistem menjadi rusak atau tidak tersedia.
Serangan ditujukan kepada ketersediaan (availability) dari sistem.
Contoh serangan adalah “denial of service attack”.Keamanan Sistem Informasi Berbasis Internet - Budi Rahardjo 19
Electronic commerce: mengapa sistem informasi berbasis Internet

• Interception: Pihak yang tidak berwenang berhasil mengakses aset atau
informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).

• Modification: Pihak yang tidak berwenang tidak saja berhasil
mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari
serangan ini antara lain adalah mengubah isi dari web site dengan pesanpesan yang merugikan pemilik web site.

• Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke
dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesanpesan palsu seperti e-mail palsu ke dalam jaringan komputer.

Contoh Kasus Pelanggaran dalam Sistem Informasi

Pada hari Sabtu, 17 April 2004, Dani Firmansyah, konsultan Teknologi Informasi (TI) PT Danareksa di Jakarta berhasil membobol situs milik Komisi Pemilihan Umum (KPU) di http://tnp.kpu.go.id dan mengubah nama-nama partai di dalamnya menjadi nama-nama "unik", seperti Partai Kolor Ijo, Partai Mbah Jambon, Partai Jambu, dan lain sebagainya. Dani menggunakan teknik SQL Injection(pada dasarnya teknik tersebut adalah dengan cara mengetikkan string atau perintah tertentu di address bar browser) untuk menjebol situs KPU. Kemudian Dani tertangkap pada hari Kamis, 22 April 2004.

Kesimpulan dari kasus diatas :

Sangat fatal dan merugikan sekali bila sebuah situs negara yaitu KPU bisa sampai dibobol oleh hacker. Para hacker bisa dengan mudah membobol, memanipulasi bahkan mengambil data penting apabila dianggap memungkinkan, padahal pentingnya data dan informasi sangatlah dominan. Jika dilihat dari sudut pandang publik, maka situs KPU akan dianggap tipis dan mudah ditembus hacker. Dari kasus inilah butuh banyak pertimbangan dan perkembangan dalam hal melapisi keamanan informasi secara berlapis 

This is my blog. A space to unlimited knowledge in Information Security System. Enjoy :)