Security Management yaitu suatu sistem untuk
memberikan pemahaman yang utuh/ terpadu serta kemampuan dan keterampilan dalam
merencanakan dan mendesain Sistem Pengamanan yang tepat, efektif, dan efisien,
sesuai dengan situasi dan kondisi yang dihadapi, khususnya Ancaman / Gangguan
yang mungkin terjadi serta kemampuan Perusahaan sendiri dan berguna untuk
mencegah sedini mungkin kerugian-kerugian bagi Perusahaan (Loss Prevention).
Ø
Keamanan Informasi memiliki 3
aspek, diantaranya adalah
1.
Confidentiality
Keamanan informasi menjamin bahwa
hanya mereka yang memiliki hak yang boleh mengakses informasi tertentu.
Pengertian lain dari confidentiality merupakan
tindakan pencegahan dari orang atau pihak yang tidak berhak untuk mengakses
informasi.
2.
Integrity
Keamanan informasi menjamin
kelengkapan informasi dan menjaga dari kerusakan atau ancaman lain yang
mengakibatkan berubah informasi dari aslinya. Pengertian lain dari integrity adalah
memastikan bahwa informasi tersebut masih utuh, akurat, dan
belum dimodifikasi oleh pihak yang tidak berhak
3.
Availability
Keamanan informasi menjamin
pengguna dapat mengakses informasi kapanpun tanpa adanya gangguan dan tidak
dalam format yang tidak bisa digunakan. Pengguna dalam hal ini bisa jadi
manusia, atau komputer yang tentunya dalam hal ini memiliki otorisasi untuk
mengakses informasi. Availability meyakinkan
bahwa pengguna mempunyai kesempatan dan akses pada suatu informasi.
Tiga elemen dasar confidentiality, integrity, dan availability(CIA)
merupakan dasar diantara program program keamanan yang dikembangkan. Ketiga
elemen tersebut merupakan mata rantai yang saling berhubungan dalam konsep information protection.
Keamanan
bisa dicapai dengan beberapa cara atau strategi yang biasa dilakukan secara
simultan atau dilakukan dalam kombinasi satu dengan yang lainnya.
Strategi-strategi dari keamanan informasi masing-masing memiliki fokus
dan dibangun tujuan tertentu sesuai kebutuhan. Contoh dari keamanan informasi
antara lain :
1. Physical security adalah keamanan informasi yang
memfokuskan pada strategi untuk mengamankan individu atau anggota organisasi,
aset fisik, dan tempat kerja dari berbagai ancaman yang meliputi bahaya
kebakaran, akses tanpa otorisasi, dan bencana alam.
2. Personal security adalah keamanan informasi yang
berhubungan dengan keamanan personil. Biasanya saling berhubungan dengan ruang
lingkup physical security.
3. Operasional security adalah keamanan informasi yang
membahas bagaimana strategi suatu organisasi untuk mengamankan kemampuan
organisasi tersebut untuk beroperasi tanpa gangguan.
4. Communication security adalah keamanan informasi yang
bertujuan mengamankan media komunikasi, teknologi komunikasi serta apa yang
masih ada didalamnya. Serta kemampuan untuk memanfaatkan media dan teknologi
komunikasi untuk mencapai tujuan organisasi.
5. Network security adalah keamanan informasi yang
memfokuskan pada bagaimana pengamanan peralatan jaringannya, data organisasi,
jaringan dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam
memenuhi fungsi komunikasi data organisasi.
Masing
masing komponen tersebut berkontribusi dalam program keamanan informasi secara
keseluruhan. Jadi keamanan informasi melindungi informasi baik sistem maupun
perangkat yang digunakan untuk menyimpan dan mengirimkannya.
Ø Tujuan Keamanan Informasi:
1. Kerahasiaan
Perusahaan berusaha untuk
melindungi data dan informasinya dari pengungkapan kepada orang-orang yang
tidak berwenang.
2. Ketersediaan
Perusahaan menyediakan data dan
informasi yang tersedia untuk pihak-pihak yang memiliki wewenang untuk
menggunakanannya.
3. Integritas
Semua system informasi harus
memberikan representasi akurat atas system fisik yang direpresentasikannya.
Ø Manajemen Keamanan Informasi
(Information Security Management)
Merupakan
aktivitas untuk menjaga agar sumber daya informasi tetap aman.Manajemen tidak
hanya diharapkan untuk menjaga sumber
daya informasi aman, namun juga diharapkan untuk menjaga perusahaan tersebut
agar tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan.
Tahapannya yaitu:
1. Mengidentifikasi ancaman yang dapat
menyerang sumber daya informasi perusahaan
2. Mendefinisikan risiko yang dapat
disebabkan oleh ancaman-ancaman tersebut.
3. Menentukan kebijakan keamanan
informasi.
4. Mengimplementasikan pengendalian
untuk mengatasi risiko-risiko tersebut
Ø Ancaman
Keamanan Informasi (Information Security Threat)
Merupakan orang, organisasi,
mekanisme, atauperistiwa yang memiliki potensi untuk membahayakansumber daya
informasi perusahaan.
1.
Ancaman
Internal
Ancaman internal bukan hanya
mencakup karyawan perusahaan, tetapi juga pekerja temporer, konsultan,
kontraktor, bahkan mitra bisnis perusahaan tersebut.
2.
Ancaman
Eksternal
Misalnya perusahaan lain yang
memiliki produk yang sama dengan produk perusahaan kita atau disebut juga
pesaing usaha.
Jenis- Jenis
Ancaman:
Malicious
software, atau malware terdiri atas program-program lengkap atau segmen-segmen
kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang tidak
diharapkan oleh pemilik system.
Peranti Lunak yang berbahaya
(Malicious Software-Malware)
|
1. Virus
Adalah program komputer yang
dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan
menempelkan salinan dirinya pada program-program dan boot sector lain
|
2. Worm
Program yang tidak dapat
mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat menyebarkan
salinannya melalui e-mail
|
3. Trojan Horse
Program yang tidak dapat
mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan sebagai
perangkat
|
4. Adware
Program yang memunculkan pesan-pesan
yang mengganggu
|
5. Spyware
Program yang mengumpulkan data
dari mesin pengguna
|
Risiko
Keamanan Informasi (Information Security Risk)
Didefinisikan
sebagai potensi output yang tidak Diharapkan dari pelanggaran keamanan
informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang
tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
· Interuption:ancaman
terhadap availability, yaitu data dan informasi yang berada dalam system
computer yang dirusak dan dibuang sehingga menjadi tidak ada atau menjadi tidak
berguna.
· Interception: merupakan ancaman terhadap secrey,
yaitu orang yang tidak berhak mendapatkan akses informasi dari dalam system
computer
· Modification: merupakan ancaman terhadap integritas,
yaitu orang yang tidak berhak, tidak hanya berhasil mendapatkan akses,
melainkan juga dapat melakukan pengubahan terhadap informasi.
· Fabrication: adanya orang yang tidak berwenang,
meniru atau memalsukan suatu objek ke dalam system.
Manajemen
Risiko (Management Risk)
Manajemen
Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan
risiko atau mengurangi dampaknya.
Tingkat keparahan
dampak dapat diklasifikasikan menjadi:
1. dampak yang parah (severe impact) yang
membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut
untuk berfungsi
2. dampak signifikan (significant impact)
yang menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan
tersebut tetap selamat
3. dampak minor (minor impact) yang
menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional
sehari-hari.
Tabel
Tingkat Dampak dan Kelemahan
Dampak
Parah
|
Dampak
Signifikan
|
Dampak
Minor
|
|
Kelemahan
Tingkat Tinggi
|
Melaksanakan
analisis kelemahan. Harus meningkatkan pengendalian
|
Melaksanakan
analisis kelemahan.
Harus
meningkatkan pengendalian
|
Analisis
kelemahan tidak dibutuhkan
|
Kelemahan
Tingkat Menengah
|
Melaksanakan
analisis kelemahan. Sebaiknya meningkatkan pengendalian.
|
Melaksanakan
analisis kelemahan. Sebaiknya meningkatkan pengendalian.
|
Analisis
kelemahan tidak dibutuhkan
|
Kelemahan
Tingkat Rendah
|
Melaksanakan
analisis kelemahan. Menjaga
Pengendalian tetap ketat.
|
Melaksanakan
analisis kelemahan. Menjaga
Pengendalian tetap ketat.
|
Analisis
kelemahan tidak dibutuhkan
|
Serangan-serangan
dalam Keamanan Informasi
1.
Serangan
untuk mendapatkan akses
Caranya
antara lain: Menebak password, terbagi menjadi 2 cara:
a. Teknik mencoba semua kemungkinan
password
b. Mencoba dengan koleksi kata-kata
yang umum dipakai. Missal: nama anak, tanggal lahir
2.
Serangan
untuk melakukan modifikasi
Setelah melakukan serangan akses
biasanya melakukan sesuatu pengubahan untuk mendapatkan keuntungan. Contoh:
a. Merubah nilai
b. Penghapusan data hutang di bank
3. Serangan untuk menghambat penyediaan layanan
Cara ini berusaha mencegah
pihak-pihak yang memiliki pemakai sah atau pengaruh luas dan kuat untuk
mengakses sebuah informasi
Misal :
a. Mengganggu Aplikasi
b. Mengganggu System
c. Mengganggu Jaringan
Posting Komentar