JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 6 NO. 2 September 2013
ISSN : 2086 – 4981
MANAJEMEN RISIKO PADA PEMANFAATAN TEKNOLOGI WEB 2.0 Yance Sonatha1 Ruzita Sumiati2
ABSTRACT The development in science and technology is also have an impact on the cyber world. Web 2.0 refers to the second generation of web development and design and it brought significant changes in the internet. There are many sources of threats that exist on the presence of Web 2.0. Because of that, it requireq a risk management to determine the best strategies to be done in addressing and controlling the threat. Keywords: Web 2.0, threat, risk management, improvement strategies INTISARI Perkembangan ilmu pengetahuan dan teknologi juga berdampak pada dunia cyber. Web 2.0 adalah generasi kedua dari pengembangan web dan desain dan membawa perubahan signifikan dalam internet. Ada banyak sumber ancaman yang ada pada kehadiran Web 2.0. Karena itu, requireq manajemen risiko untuk menentukan strategi terbaik yang harus dilakukan dalam menangani dan mengendalikan ancaman. Kata Kunci: Web 2.0, ancaman, risk management, strategi perbaikan
1 2
Dosen Politeknik Negeri Padang Dosen Politeknik Negeri Padang
47
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 6 NO. 2 September 2013 PENDAHULUAN Seiring dengan berkembangnya teknologi informasi yang bergerak sangat cepat dewasa ini, pengembangan unit usaha yang berupaya menerapkan sistem informasi dalam organisasinya telah menjadi kebutuhan dasar dan semakin meningkat dari tahun ke tahun. Akan tetapi pola pembangunan sistem informasi yang mengindahkan faktor resiko telah menyebabkan beberapa organisasi mengalami kegagalan menerapkan teknologi informasi tersebut, atau meningkatnya nilai investasi dari platform yang seharusnya, hal ini juga dapat menghambat proses pencapaian misi organisasi. Web 2.0 mengacu pada generasi kedua dari desain dan pengembangan web dan yang telah membawa perubahan signifikan di internet seperti adanya web-based communities, hosted service dan aplikasi khusus seperti situs jaringan sosial, wiki, blog, situs berbagi video, RSS feed, dan banyak lagi. Web 2.0 memberikan jenis baru web pengalaman yang interaktif, realtime, dan kolaboratif. Meskipun banyak dari komponen teknis yang mendasari Web tetap sama, penggunaan Web sebagai platform untuk membangun aplikasi yang kaya menjadi salah satu modal transformasi informasi. Organisasi juga berinvestasi dalam teknologi Web 2.0 untuk memanfaatkan kekuatan untuk menarik lebih banyak pelanggan.
ISSN : 2086 – 4981
Proses menganalisa serta memperkirakan timbulnya suatu risiko dalam suatu kegiatan disebut sebagai manajemen risiko. Manajemen risiko merupakan serangkaian prosedur dan metodologi yang digunakan untuk mengidentifikasi, mengukur, memantau, mengendalikan risiko yang timbul dari suatu kegiatan tertentu.[Stoneburner et al, 2002] Pola pendekatan manajemen risiko juga perlu mempertimbangkan faktor-faktor pada System development Life Cycle (SDLC) yang terintegrasi, yaitu mengidentifikasikan faktor-faktor risiko yang timbul dan diuraikan disetiap tahap perancangan sistem, yang tersusun sebagai berikut : 1. Tahap 1 : Investigasi 2. Tahap 2 : Pengembangan 3. Tahap 3 : Implementasi 4. Tahap 4 : Pengoperasian dan perawatan 5. Tahap 5 : Penyelesaian dan penyebaran Lingkungan Web 2.0 Perkembangan web 2.0 lebih menekankan pada perubahan cara berpikir dalam menyajikan konten dan tampilan di dalam sebuah website. Sebagian besar cara berpikir tersebut mengadaptasi gabungan dari teknologi web yang telah ada saat ini [1]. Karakteristik web 2.0, adalah [2] : 1. Web sebagai platform utama yang menyediakan seluruh aplikasi dan dapat dijalankan secara langsung melalui internet. 2. Web melibatkan partisipasi pengguna dalam berkolaborasi pengetahuan 3. Data menjadi sebuah trademark aplikasi, sehingga memberikan garansi kepercayaan kepada pengunjungnya 4. Web 2.0 sebagai akhir dari siklus peluncuran produk software, mengilustrasikan setiap produsen
PEMECAHAN PENDEKATAN MASALAH Manajemen Risiko Risiko adalah suatu umpan balik negatif yang timbul dari suatu kegiatan dengan tingkat probabilitas berbeda untuk setiap kegiatan. Pada dasarnya risiko dari suatu kegiatan tidak dapat dihilangkan akan tetapi dapat diperkecil dampaknya terhadap hasil suatu kegiatan.
48
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 6 NO. 2 September 2013 software tidak lagi meluncurkan produknya dalam bentuk fisik. Karena web menjadi platform, pengguna cukup datang ke website untuk menjalankan aplikasi yang ingin mereka gunakan. Hasil dari pengembangan fitur di dalam software dapat langsung dirasakan oleh pengguna. Software tidak lagi dijual sebagai produk namun berupa layanan. 5. Adanya dukungan pada pemrograman yang sederhana dan ide akan web service atau RSS. 6. Keberadaan software tidak lagi terbatas pada perangkat tertentu. 7. Adanya kemajuan inovasi pada antar-muka di sisi pengguna.
Tetapi keberadaan teknologi yang sama juga menghadirkan tingkatan baru dari ancaman dan risiko.Apakah disengaja ataupun tidak, ancaman yang timbul bisa sangat membahayakan baik bagi pengguna maupun bisnis organisasi secara umum. Risiko tersebut apabila dikenali dan dikendalikan dengan cara yang tepat, dapat membawa banyak manfaat bagi organisasi dan masyarakat secara keseluruhan. Pada penulisan paper kali ini akan dikaji jenis-jenis ancaman dari lingkungan pengembangan web 2.0 dan mekanisme pengendaliannya. HASIL DAN PEMBAHASAN Sumber Ancaman pada Web 2.0 Tabel 1 memperlihatkan beberapa contoh dari jenis ancaman yang mungkin timbul pada lingkungan pengembangan web 2.0.
Seperti halnya pergeseran paradigma, teknologi dan proses dapat membawa manusia ke tingkat baru dalam hal penggunaan dan produktivitas sebagai pengguna.
Sumber ancaman Manusia
ISSN : 2086 – 4981
Tabel 1. Sumber ancaman pada web 2.0 Vulnerables area Dampak ancaman
Jaringan / Sistem
Jaringan sosial, blog, instant messenger, email pribadi dll Browser, sistem pengganti, server
Aplikasi terkait
Aplikasi
Kendali yang tidak tepat
Tereksposnya keseluruhan organisasi kepada publik
Implikasi
Hilangnya data-data krusial tanpa atau dengan sepengetahuan
Kehilangan reputasi di mata publik
Malware, spyware, virus, logic bombs yang merujuk pada terbukanya peluang ancaman lain Malware, logic bombs
Kehilangan implikasi legal dan kerugian finansial
Kehilangan data, virus, logic bombs
Strategi penanganan risiko Berikut ini penjelasan mengenaio strategi-strategi yang nantinya bisa diimplementasikan untuk mitigasi
Kehilangan implikasi legal dan kerugian finansial Implikasi legal, reputasi tercemar dan kehilangan kesempatan bisnis
dan pengendalian terhadap ancaman dari beberapa sumber tertentu. Ancaman ini dapat dikurangi melalui proses pertahanan
49
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 6 NO. 2 September 2013 berlapis pengawasan internal, kontrol teknologi, dan proses.
ISSN : 2086 – 4981
kemudian laporannya disimpan. Jika terjadi penyimpangan, harus dilaporkan kepada pihak manajemen dan tindakan harus diambil sesuai dengan hukum lokal dan kebijakan organisasi.
Strategi menghadapi ancaman berupa manusia Manusia merupakan link terlemah sekaligus terkuat dari sebuah organisasi.Linkedln dan MySpace adalah dua jaringan sosial besar dimana para pekerjanya bisa saja membocorkan data sensitif secara disengaja maupun tidak disengaja. Organisasi tidak dapat membatasi keberadaan jaringan sosial karena itu merupakan infrastruktur dasar untuk bisnis dan interaksi personal di masa akan datang. Untuk menggunakan jaringan sosial yang efektif di tempat kerja dan untuk memastikan bahwa data berharga tidak bocor, organisasi harus memastikan langkah-langkah minimal berikut:
3. Lakukan edukasi untuk pengguna Keamanan adalah tanggung jawab semua orang. Mendidik pengguna akhir akan kesadaran pentingnya keamanan di lingkungan web 2.0 harus lebih kritis dibandingkan sebelumnya. Sangat penting mengedukasi user, bukan sejedar dalam hal email, sistem dan keamanan web, tetapi juga apa yang dapat dibahas/diposting didalam lingkungan virtual. Edukasi juga menjelaskan dampak jika terjadinya penyimpangan dan risiko yang mungkin terjadi jika dilakukan pengaksesan data organisasi disembarang tempat. Manual pelatihan dibuat dan didistribusikan kesemua pihak dan selalu dilakukan pembaharuan. Selain itu juga dilakukan program - program pelatihan kesadaran akan keamanan virtual secara reguler.
1. Definisikan kebijakan pada lingkungan virtual Berikan penjelasan pada user jenis dokumen website/kegiatan yang diziinkan di dalam lingkungan virtual. Dengan bantuan seorang konsultan, dokumentasikan tindakan yang akan diberikan terhadap user yang tidak mematuhi kebijakan tersebut.
4. Adakan pelatihan dan pengembangan Untuk menjaga keamanan, sangatlah penting bagi organisasi untuk berinvestasi dalam pendidikan dan pelatihan personil akan adanya ancaman keamanan terbaru serta pelatihan pemanfaatan sumberdaya internal maupun eksternal, dan memastikan bahwa mereka tetap diperbaharui mengikuti tren dan teknologi terbaru. Untuk memperbaharui pengetahuan tentang keamanan sistem dan web, divisi keamanan IT haruslah berlangganan jurnal keamanan yang baik dan memiliki sponsor keanggotaan dalam organisasi profesional seperti ISSA, ISACA,
2. Monitor lingkungan virtual Tempat kerja bukan merupakan satu-satunya tempat kemungkinan terjadinya kebocoran data-data penting,karena itu monitor lingkungan virtual secara teratur. Manajer IT harus memastikan bahwa mereka mengatur tim internal untuk memonitor lingkungan virtual dari adanya komentar yang sifatnya memfitnah, keberadaan data-data sensitif maupun konten-konten tertentu. Hal ini hendaknya dilakukan secara berkala, setidaknya sebulan sekali
50
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 6 NO. 2 September 2013
ISSN : 2086 – 4981
Perlindungan terhadap aset-aset sistem Aset - aset sistem termasuk didalamnya server, desktop, PDA, blackberry, laptop dan aset lainnya yang digunakan untuk mengakses data dalam suatu organisasi. Sejak web 2.0 berjalan pada semua browser web, eksploitasi dapat terjadi baik pada sisi server maupun sisi client. Oleh karena itu sangatlah penting untuk melindungi aset-aset sistem dengan cara sebagai berikut : 1. Sebuah standar dasar seperti NIST dapat digunakan untuk melindungi server, sistem operasi, PDA, desktop dan laptop. 2. Pastikan untuk memperbaharui antivirus yang berjalan pada semua aset sistem dalam organisasi 3. Melaksanakan Host Intrusion Prevention System (HIPS) dengan konfigurasi yang tepat untuk menguji anomali pada server dan host aplikasi web 4. Pastikan menguji semua aset sistem secara teratur untuk menjaga dari timbulnya ancaman.
IEEE dan sebagainya, yang akan memberikan banyak informasi mengenai keamanan dan penelitian yang terkait. 5. Menanamkan etika dan integritas kedalam budaya organisasi Penananam etika dan integritas merupakan senajata yang paling ampuh untuk menciptakan budaya keamanan dalam organisasi, tetapi juga yang paling sulit. Berikut ini beberapa poin yang harus dilakukan untuk membantu menciptakan dan meningkatkan budaya integritas dan etika di dalam organisasi : a. Organisasi harus memiliki kode etik tertulis yang melibatkan semua pimpinan bisnis, sehingga memastikan bahwa setiap karyawan menandatanganinya. Hal ini akan membuat karyawan tersebut memiliki kesadaran akan pentingnya melaporkan jika terjadi kasus pelanggaran. Selain itu diperlukan juga pelatihan reguler akan kesadara etika kerja bagi para karyawan. b. Pemimpin dan manajemen senior harus melatih etika dan integritas dalam menyelesaikan semua urusan mereka. Hal ini nantinya akan menular sebagai budaya dalam organisasi. c. Mengembangkan sistem manajemen kinerja karyawan yang lebih matang, adil dan disiplin. Hal ini nantinya akan memastikan bahwa orang yang tepat tetap dipertahankan, terlatih dan termotivasi. Organisasi harus memiliki insentif yang dikaitkan dengan prilaku dan tindakan etis, mengukur efektivitas dari waktu ke waktu, dan terus berinovasi untuk budaya yang sangat positif.
Perlindungan jaringan sistem Perlindungan jaringan diimplementasikan dengan firewall yang tepat dan terkendali, sehingga memberikan perlindungan pada organisasi dari segala jenis ancaman. Memperkuat jaringan merupakan tingkat pertama pertahanan yang harus dilakukan dengan benar. Beberapa langkah yang perlu dilakukan sebagai solusi teknologi yang perlu dilaksanakan adalah : - Lindungi semua perangkat jaringan menggunakan baseline standar seperti NIST. - Mengelola perubahan secara lebih efektif pada jaringan, jika rute baru harus ditambahkan pada firewall/router, pastikan prosedur manajemen perubahan yang diikuti dan
51
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 6 NO. 2 September 2013 update konfigurasi. 1.
manajemen
ISSN : 2086 – 4981
serangan berbahaya seperti spam dan rekayasa sosial dan kemudian mendeteksi URL atau alamat IP sehingga bisa dilakukan pemblokiran dan pencegahan.
Implementasikan firewall Melakukan penyaringan URL tidaklah cukup. Hal ini hanya mengandalkan pada kategorisasi basisdata yang hanya diperbaharui beberapa kali sehari. Apa yang dibutuhkan adalah reputasi sistem yang memberikan reputasi global untuk URL dan alamat IP serta bekerja berdampingan dengan basisdata yang dikategorikan untuk perlindungan utama. Sistem generasi ketiga yang lebih canggih menyediakan sebuah mekanisme untuk menentukan risiko yang terkait dengan menerima data dari situs web tertentu. Reputasi ini digunakan dalam kaitannya dengan kategori kebijakan keamanan organisasi, yang memungkinakan adanya kemampuan untuk membuat keputusan yang tepat terkait dengan isu keamanan. Penyaringan URL perlu dalam lingkup global untuk menangani situs web dalam bahasa apapun. Hal ini sangatlah penting, karena serangan berbahaya adalah multiprotocol, harus adanya penyaringan terhadap sistem maupun email terhadap kemungkinan ancaman web. Sebuah domain baru tanpa isi tidak dapat dikategorikan, tapi alamat IP nya bisa dikategorisasikan, sehingga bisa diketahui riwayat spam, phishing atau kegiatan berbahaya lainya, sehingga bisa dikategorisasikan langsung dan ditentukan jenis perlindungan keamanan bagi pengguna yang mencoba untuk mengakses situs ini. Organisasi harus menyediakan gateway email yang dapat menghentikan
52
2.
Pastikan semua cache dan proxy sevurityware Objek yang dapat di-cache harus disaring untuk mencagah malware, isu keamanan dan kebijakan penyaringan URL sebelum pengiriman ke browser pengguna. Cache objek harus disertai penyaringan setiap kali objek dikirimkan ke pengguna akhir karena bisa saja terjadi perubahan atau perbedaan kebijakan keamanan antar pengguna.Kebijakan keamanan menyangkut reputasi, kebijakan penyaringan URL atau malware yang mungkin berbeda antar pengguna. Mengadakan cache dan proxy yang tidak dilakukan penyaringan akan mengakibatkan risiko dan ancaman yang membahayakan.
3.
Aktifkan filtering dua arah Memastikan bahwa filtering dua arah dan pengendalian aplikasi diimplementasikan di pintu gerbang semua jenis lalu lintas web. Hal ini akan memindai semua lalu lintas keluar masuk web, yang akan membantu divisi keamanan IT dalam memantau apa yang datang dan keluar dari sistem. Penyaringan dimaksudkan terhadap pelanggaran, tanggapan kejadian dan forensik. Kemudian penyimpanan data ke server syslog dalam interval waktu tertentu.
4.
Implementasi proteksi terhadap konten Ada banyak produk yang tersedia di pasaran saat ini untuk menerapkan perlindungan
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 6 NO. 2 September 2013 terhadap konten web. Tetapi untuk mencapai kesuksesan, organisasi harus memastikan langkah - langkah berikut ini : - Apa kebijakan kebijakan keamanan yang harus dilakukan dan siapa yang melakukannya. - Mendefinisikan data-data yang sifatnya sensitif dan tidak sensitif. Setelah langkah-langkah tersebut diatas, maka perlindungan terhadap konten dilakukan dengan cara : pengklasifikasian informasi sehingga dapat dipastikan tidak akan dikirim melalui ID email pribadi, atau bahkan melalui ID resmi. Proteksi konten juga memberdayakan personil keamanan IT untuk mengendalikan hal-hal yang bisa dilakukan pengguna di dunia maya saat pengaksesan jaringan dan sistem organisasi. Misalnya pengguna dapat diperbolehkan mengakses jaringan sosial tetapi dibatasi akses posting. 5.
ISSN : 2086 – 4981
tersedia pada kerentanan aplikasi yang berhubungan dengan web 2.0, organisasi tetap berfokus pada gambaran secara menyeluruh dan tidak mengeksplotasi garis-garis besar yang diambil dan tidak sekedar teknis. Berikut langkahlangkah sederhana dalam memastikan pada tingkatan mana aplikasi yang aman dibangun : 1. Memiliki / menyewa programmer yang kompeten dan juga cekatan dalam menangani keamanan aplikasi. Mengembangkan budaya pemrograman yang aman didalam tim IT. Memiliki anggota keamanan informasi yang berpartisipasi dalam proses pembangunan. 2. Praktek yang baik pada pengkodean standar menggunakan baseline dan standar lain yang tersedia dari berbagai sumber, dalah satunya Open Web Application Security Project (OWASP) dan pastikan bahwa baseline dan standar ketat diikuti oleh tim pemrograman. 3. Membuat model ancaman dari aplikasi yang melibatkan insiden dikenal dan tidak dikenal serta melakukan pengujian pada aplikasi sebelum dijalankan. Dokumen rekaman pengujian akan berfungsi sebagai titik acuan untuk membangun aplikasi masa depan dan menghemat waktu dan uang. 4. Memiliki penilaian kematangan risiko / proses manajemen ditempat yang memiliki pendekatan holistik dalam pengembangan aplikasi : matriks orang-risiko,, risikoproses, risiko-teknologi. Dengan memiliki proses manajemen risiko yang matang , reproduksi proses akan menghemat waktu ketika aplikasi baru dibangun.
Gunakan akses komprehensif, manajemen dan pelaporan Organisasi/perusahaan harus menyebarkan solusi yang menyediakan lokasi pelaporan status dan kondisi layanan mereka. Organisasi juga memerlukan pelaporan forensik secara real time yang memungkinkan penelusuran permasalahan dan perbaikan pasca kejadian. Menyediakan pelaporan dan diperluas dengan fungsi kepentingan dalam memahami risiko dan memperbaiki kebijakan.
Perlindungan aplikasi Pengembangan aplikasi yang baik dan aman melibatkan berbagai tahapan. Walaupun ada sejumlah besar artikel dan standar yang
53
JURNAL TEKNOLOGI INFORMASI & PENDIDIKAN VOL. 6 NO. 2 September 2013
ISSN : 2086 – 4981
a. Orang –risiko Sering dianggap diluar bidang aplikasi, tetapi tetap harus diteliti sewaktu memproduksi kode-kode aplikasi. b. Proses- risiko Kebijakan perubahan manajemen yang efektif dan prosedur pelepasan penerapan manajemen harus ditetapkan dan dipelihara untuk pengembangan c. Teknologi – risiko Meninjau sejauh mana teknologi terbaik digunakan.
Melakukan penilaian risiko secara teratur pada aplikasi web dengan pendekatan holistik terhadap keamanan dan memeriksa dalam kaitan peninjauan apakah kendali optimal yang diinginkan seperti yang diharapkan oleh unit bisnis dan manajemen eksekutif. 4. Mengikuti benchmark Pada akhirnya, patokan startegi perlindungan organisasi secara berkala disesuaikan dengan standar global dan best practices lainnya. Padukan kebutuhan bisnis organisasi dengan rekanan atau organisasi lainnya.
Mekanisme proses dan kebijakan kendali 1. Kebijakan keamanan di lokasi Adanya sebuah kebijakan keamanan yang efektif di tempat dan memastikan bahwa kebijakan tersebut diikuti semua pihak. Kebjiakan ini sejalan dengan tren perubahan keamanan dan bisnis dan adanya pengukuran efektivitas dalam membangkitkan kesadaran. Peninjauan dilakukan atas pelanggaran penggunaan teknologi, proses dan penguna. Lakukan pencatatan dan perbaikan. 2. Respon terhadap insiden Terlepas dari tersedianya firewall, adanya kebijakan keamanan yang efektif dan audit serta personil yang terbaik, pelanggaran dan ancaman tetap saja terjadi. Jika insiden semacam itu terjadi, pastikan ada respon terencana dan menangani situasi. Lakukan pelatihan terhadap personil tentang prosedur manajemen insiden yang efektif. 3. Melakukan penilaian risiko berkesinambungan
KESIMPULAN Keberadaan web 2.0 merupakan sebuah kemajuan yang jika diterapkan dan dikelola dengan baik oleh organisasi, masyarakat dan negara dapat diperoleh manfaat dari pendekatan partisipatif dari internet kolaboratif. Organisasi dan pemerintah harus dapat berinisiatif dalam membuat peraturan yang baik dan menentukan langkah-langkah dalam menyukseskan tresn terbaru yaitu cybersecurity dan situs web tidak bisa terbatas pada satu negara saja. DAFTAR PUSTAKA [1] Bughin, J dan Manyika, J. 2007. How Business are Using Web 2.0. McKinsey Global Survey [2] Sivasubramanian,V. 2009. Risk Management in the Web 2.0 Environment. ISSA Journal September,45-49 [3] Stoneburner,G et al. 2002. Risk Management Guide for Information Systems, National Institute Standards and Technology (NIST)
54