Operational Security

Operational Security

IKI-83408T Proteksi dan Teknik Keamanan Sistem Informasi Kelompok 127 Bab 6 UKM – Klinik Kesehatan Sehat Bahagia

Disusun oleh : 7204000446 7204000594 720400056x 7204000543

-

Argabudhy Sasrawiguna Rio Ricardo Nugroho Gito Prasojo Muhamad Rahmadi

UNIVERSITAS INDONESIA MAGISTER TEKNOLOGI INFORMASI FAKULTAS ILMU KOMPUTER 2005

DAFTAR ISI I. PENDAHULUAN............................................................................................................ 3 1.2. Tujuan....................................................................................................................... 4 1.3. Profil Perusahaan...................................................................................................... 5 II. PROTEKSI DAN KEAMANAN SISTEM INFORMASI............................................. 7 2.1. Control and protection.............................................................................................. 7 2.2.1 Preventive Control.............................................................................................. 7 2.2.2 Corrective Control.............................................................................................. 7 2.2.3 Detective Control................................................................................................ 8 2.2.4 Deterrent Control................................................................................................ 8 2.2.5 Application Control............................................................................................ 8 2.2.6 Transaction Control ........................................................................................... 8 2.2.7 Separation and Rotation of Duties...................................................................... 8 2.3. Thread and vulnerabilties.......................................................................................... 9 2.3.1 Accidental Loss...................................................................................................9 2.3.2 Inappropriate Activities.................................................................................... 10 2.3.3. Illegal computer operations..............................................................................11 2.3.4 Maintenance account........................................................................................ 11 2.3.5 Data Scavenging Attacks.................................................................................. 11 2.3.6 IPL/rebooting.................................................................................................... 11 2.3.7 Network Address hijacking...............................................................................12 IV. Kajian UKM Klinik “Sehat bahagia”.......................................................................... 13 4.1. Best practice Operasional security at Banking Industry......................................... 13 4.2. How effective can be implement at UKM ............................................................. 13 4.3. Best solution in implementation at UKM klinik “ sehat bahagia”........................13 Daftar Pustaka.................................................................................................................... 14

I. PENDAHULUAN

1.1 Latar Belakang Setiap hari pelanggan dan bisnis di seluruh dunia mendapatkan keuntungan dari penggunaan komputer, pelayanan dan transaksi melalui web dan itu semua dasarnya adalah data center. Data center membuat proses komputer, penyimpan data dan alat-alat jaringan melakukan tugas lebih cepat mudah dan akurat. Pertumbuhan dari internet telah membuati IT merupakan bagian dari kehidupan kita, dan organisasi terus berusaha untuk meningkatkan data center mereka untuk memenuhi kebutuhan yang terus bertambah. Salah satu data center yang paling harus dijaga dengan optimala adalah trend yang ada dalam dunia banking saat ini , secara konservatif diperkirakan bahwa 60% dari pelanggan sekarang membuat pembayaran tagihan secara otomatis. Bank tidak hanya harus meningkatkan kapasitas komputer untuk menghadapai transaksi, tetapi mereka juga harus mengkuti standard dari pemerintah dalam penggunaan IT. Oleh karena itu dibutuhkan suatu pengukuran juga untuk menjamin kemanan informasi dan kelanjutan bisnis. Sekarang menjadi cukup umum menemukan pintu data center dikontrol tidak hanya dengan badge readers, tetapi juga biometric scanners. Dan single robust data center tidak lagi mencukupi, institusi finansial harus mempunyai redundant coverage, dimana mempunyai pengertian duplikasi “back-up data center” dibangun jauh dari data center yang utama. Banyak organisasi mengarahkan pelayanan data center kepada third-party untuk disaster recovery dan alih daya untuk beberapa proses bisnis. Bila perusahaan ingin menjadi teratas dalam bisnis, berarti harus berada teratas dalam teknokogi informasi juga. Dengan pertambahan kuantitas data dari informasi yang dibuat , diproses , disimpan dan dideliver setiap hari, IT profesional mengetahui bahwa mengupgrade komputer “piece-by-piece” adalah bukan solusi untuk permintaan yang terus berkembang, jadi diambil cara ''© 2005 Kelompok 127 IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini''

bagaimana untuk mengabungkan semua komponen itu bersama beserta semua sistem , yaitu dengan menggunakan data center. Untuk menjalankan operasional security pada data center maka banyak hal yang harus diterapkan untuk menjamin keamanan dari security pada data center antara lain adalah : •

Access door

•

Fire protection

•

Single Entry Door

•

Car Barrier

•

Finger Scan

•

CCTV Camera

•

Uninterrupted Power Supply Control

•

Air Condition Control

•

Console Monitoring, remote KVM

•

Segmentation Area restricted area, docking area, storage area, etc

•

Restricted Lift and Elevator Access

Raise Floor and Ceiling Management

1.2. Tujuan Tujuan dari penulisan makalah ini adalah sebagai berikut: 1. Melakukan kajian untuk operational security apa saja yang bisa diterapkan dalam suatu ukm. 2. Melakukan kajian untuk hal yang tidak bisa diterapkan dan langkah apa yang harus dilakukan untuk dapat mengurangi resiko dan menjamin keamanan sistem. 3. Memberikan alternatif dari sisi teknologi maupun prosedur dalam pelaksanaan operational security dalam ukm kesehatan.

''© 2005 Kelompok 127 IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini''

Usaha Kecil dan Menengah yang diambil berada dalam domain kesehatan, dimana ukm ini bernama Klinik Sehat Bahagia, klinik ini mulai menggunakan komputerisasi dalam bisnis prosesnya dan untuk mengoptimalkan kinerja dan peralatan IT yang sudah dibelim maka mereka membutuhkan juga proteksi untuk sistim informasi yang sudah mereka bangun, sehingga data – data yang ada cukup signifikan dijaga CIA nya ( Confidential, integrity and avaibility) untuk dapat tetap menjalankan bisnis dengan baik dan menjaga investasi teknologi informasi yang sudah dilakukan menjadi optimal.

1.3. Profil Perusahaan Klinik Sehat Bahagia adalah sebuah poliklinik yang memberikan berbagai layanan kesehatan. Klinik ini terdiri dari: •

Klinik Umum

•

Klinik Ibu dan Anak

•

Klinik Gigi

•

Klinik Mata

Penanganan TI di UKM ini dilakukan oleh bagian teknologi dan sistem informasi yang terdiri dari para pengembang dan pengelola operasional TI. Pelaksanaan pengembangan aplikasi baik yang dilakukan sendiri maupun yang dilaksanakan dengan rekanan TI dikelola oleh satu kepala grup dengan empat staf yang masing-masing setiap orangnya menalakukan analis, desain, dan coding. Tim lainnya dalam hal ini sebagai pelaksana operasional TI dipimpin satu kepala grup dan tiga staf yang mana kegiatannya melakukan kegiatan implementasi dan kegiatan operasional TI. Pelaksanaan kebijakan dan prosedur dari teknologi dan sistem informasi hanya berdasarkan keputusan-keputusan yang diambil oleh kepala bagian TI dan kedua kepala grup. Kondisi TI yang telah diimplementasi saat ini adalah ''© 2005 Kelompok 127 IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini''

menggunakan aplikasi yang bersifat centralized dengan setiap user melakukan telnet dari pc masing-masing. Hubungan TI dari UKM ini terhadap pihak luar hanya terjadi apabila ada konsolidasi dari pembayaran-pembayaran transaksi dari pihak bank.


II. PROTEKSI DAN KEAMANAN SISTEM INFORMASI

2.1. Control and protection

Tujuan dari control dan proteksi dalam operational security adalah menjamin terlaksananya C.I.A. Confidentiality : dalam keamanan operasional melakukan kontrol terhadap kegiatan operasional yang berdampak pada informasi yang bersifat rahasia dan sensitif. Integrity : dalam keamanan operasional melihat seberapa baik/bagus control terhadap kegiatan operasional diterapkan secara langsung berdampak pada keakuratan dan keaslian data. Availability : dalam keamanan operasional melihat dampak yang terjadi pada kegiatan control terhadap tingkat organisasi dengan melihat sifat fault tolerance dan kemampuan recovery dari suatu disaster.

2.2.1 Preventive Control Preventive control dirancang untuk menekan tingkat kesalahan dan tingkat kerusakan dari kesalahan-kesalahan yang tidak di sengaja yang masuk kedalam system, juga dilakukan untuk mencegah masuknya intruder (yang tidak berhak) baik dari dalam maupun dari luar untuk menggunakan system.

2.2.2 Corrective Control Corective control digunakan untuk membantu mengurangi dampak yang terjadi dari waktu kejadian kesalahan sampai dengan data prosedur perbaikanya. Kegiatan ini dapat digunakan untuk melakukan pemulihan setelah terjadinya kerusakan. ''© 2005 Kelompok 127 IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini''

2.2.3 Detective Control Detective control digunakan untuk mendeteksi suatu kesalahan pada saat ketika akan terjadi. Detective control dapat menggunakan fakta-fakta yang sudah terjadi untuk melakukan pelacakan terhadap transaksi yang tidak berhak yang dapat digunakan sebagai alat penahanan. Kegiatan ini bertujuan pula untuk menekan dampak dari kesalahan karena dapat mengindetifikasikan suatu kesalahan dengan cepat.

2.2.4 Deterrent Control Deterrent control digunakan untuk merujuk kepada suatu kepatuhan (compliance) dengan peraturan-peraturan external maupun regulasi-regulasi yang ada

2.2.5 Application Control Application control digunakan dalam proses pembuatan aplikasi untuk meminimalkan dan mendeteksi prilaku software yang tidak normal.

2.2.6 Transaction Control Transaction control digunakan dalam melakukan kegiatan control dalam setiap tahap transaksi yang dimulai dari insiasi, dokumentasi, testing dan manajemen perubahan.

2.2.7 Separation and Rotation of Duties Separation and rotation of duties merupakan kegiatan yang membedakan suatu tugas dengan pemisahan orang, sehingga di harapkan tidak ada orang yang ''© 2005 Kelompok 127 IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini''

menguasai system secara keseluruhan. Kegiatan ini berhubungan dengan konsep least privilege . Sedangkan rotasi dilakukan untuk meminimalkan terjadinya KKN dalam pelaksanaan kegiatan operasional.

2.3. Thread and vulnerabilties 2.3.1 Accidental Loss Accidental threats terkait dengan kesalahan dan penghilangan.Kesalahan dan penghilangan yang dilakukan oleh karyawan atau orang dalam adalah penyebab utama dari masalah keamanan informasi. Kesalahan seringkali menjadi ancaman ( contoh: kesalahan programming dapat membuat sistem crash) atau dapat membuat kelemahan( contoh : layar computer yang ditinggal dapat diexploaitasi oleh user yang tidak terotorisasi). Acaman

yang

terutama

pada

umumnya

adalah

kecelelakaan,karena

meningkatkan kelemahan melalui konfigurasi yang tidak benar atau pengaturan keamanan yang tidak dibaharui atau penggunaan software seperti OS dan database tanpa mengupdate “Patches”. Beberapa ancaman mengakibatakan sabotase tetapi kebanyakan adalah kecelakaan dan penghilangan. Ancaman-ancaman ini menghasilkan: •

Keputusan yang dibuat menjadi tidak benar;

•

Gangguan kepada fungsi bisnis;

•

Hilangnya kepercayaan publik;

•

Kehilangan financial;

•

Kewajiban hukum dan breakdown of duty of care;

•

Penambahan biaya yang terjadi.


2.3.2 Inappropriate Activities Inappropriate activity adalah aktivitas dalam pemakaian komputer computer behavior , yang tidak meningkat pada kehajatan tetapi dapat mengakibatkan diberi tindakan atau pemecatan.Penggunaan yang tidak sesuai mencakup aktivitas yang luas . Sebagai contoh adalah pada sisi yang datu karyawan melakukan belanja online pada jam kerja, dan pada sisi lainnya, bisa terjadi aktivitas kriminal seperti menjual rahsaia perusahaan. Satu dari yang paling utama bentuk dari penggunaan yang tidak sesuai adalah melihat, download, atau distribusi dari bahan pornographic.One of the most obvious forms of inappropriate use is the viewing, downloading or distribution of pornographic material. Sejumlah profil tinggi peristiwa sudah membuktikan dapat mempermalukan perusahaan nama rumah tangga, tetapi ini merupakan suatu resiko untuk perusahaan manapun, tanpa tergantung dengan ukuran perusahaannya Penggunaan yang tidak sesuai tidak hanya memalukan, tetapi mempunyai akibat termasuk: •

Hilangnya produktivitas

•

Berkurang atau hilangnya bandwidth network

•

Meningkatnya resiko terinfeksi virus dan other malicious code

•

Meingkatnya resiko dari kewajiban dan tindakan hukum

Untuk meminimalkan resiko dari penggunaan yang tidak sesusi, cukup mendasar untuk menyediakan klarifikasi dari apa yang bisa dan tidak bisa diterima dalam suatu organisasi. Apa yang dianggap/disebutvpenggunaan tidak sesuai akan bermacam-macam dari satu organisasi ke yang lainnya, Kuncinya adalah untuk meyakinkan kebijakan yang jelas yang dibuat oleh perusahaan, dan semua orang dapat memperhatikannya.


2.3.3. Illegal computer operations Aktifitas komputer yang diangap sebagai kesengajaan dan ketidak sahan aktivitas komputer untuk keuntungan keuangan pribadi untuk penghancuran - Eavesdropping - Fraud - Theft - Sabotage - External Attack 2.3.4 Maintenance account Biasanya dalam sistem ada account untuk maintenance seperti administrator atau root, seringkali pengguna sistem lupa untuk mengubah account ini dari default yang ada pertama kali, sehingga dapat mudah sekali ditebak oleh user yang tidak terotorisasi ataupun orang luar sangat memungkinkan sekali masuk dalam sistem.

2.3.5 Data Scavenging Attacks Data scavenging adalah teknik penambahan data infromasi dari bit data yang ditemukan, 2 tipe data scavening attacks adalah keyboard attack dan laboratory attack.

2.3.6 IPL/rebooting Permulaan setiap sistem selalu dapat memberikan kelemahan, pada saat IPL, seorang operator dapat saja menjalankan program, data yang tidak terotorisasi, bahkan mereset sistem.


2.3.7 Network Address hijacking Intruder selalu saja dapat merubah route dari traffic data dari server, jaringan ke personal machine, baik dengan modifikasi alamat perangkat ataupun network address”hijacking”, dengan melakukan ini intruder dapat saja melakukan analysa data ataupun modifikasi atau mencuri password dari server.


IV. Kajian UKM Klinik “Sehat bahagia”

4.1. Best practice Operasional security at Banking Industry •

Preventive control Penggunaan access control dan single entry door.

•

Corrective control Melakukan kegiatan upgrade dan patching.

•

Detective control Melakukan pemasangan intrusion detection system dan audit trail

•

Pemasangan Melakukan pemasangan intrusion detection system dan audit trail

•

Accidental Loss Penerapan prosedur BCP dan DRC

•

Inappropriate Activities Melakukan pemasangan content filtering

•

Illegal computer operations Melakukan pemasangan firewall dan audit log analysis.

•

Maintenance account Melakukan prosedur pembagian password untuk super user suatu sistem.

4.2. How effective can be implement at UKM (Dilengkapi kemudian) 4.3. Best solution in implementation at UKM klinik “ sehat bahagia” (Dilengkapi kemudian)


Daftar Pustaka Krutz, R.L and Russel D. Vines, “The CISSP® Prep Guide: Gold Edition”, John Wiley Publising, Inc., 2003 Bringing Manageability to the Data Center , http:// www.panduit.com/products/WhitePapers/102084.pdf diakses 20 Oktober 2005 Secure Network Design, htpp://www.hill.com/archive/pub/papers/papers.asp?yr=2003&mn=10 diakses 25 Oktober 2005 Five Technologies to Help Ensure Data Security What a Small Business Must Know, http:/oe.quickbooks.com/misc/datasecurity.pdf diakses 27 Oktober 2005 File securityguide.pdf tanggal aksess 16 Oktober 2005 www.doitpunjab.gov.in/IT/securityguide.pdf Government of Punjab. Department of Information Systems and Administrative Reforms File 156764.pdf dan 1366.pdf Tanggal Akses 16 Oktober 2005 http://www.steptoe.com/publications/PI1684.pdf AIMD-96-85R Security Weaknesses at IRS' Cyberfile Data Center File 1103657752.pdf Tanggal akses 16 Oktober 2005 http://www.msiservice.com/uploads/1103657752.pdf RemoteStor Security White Paper File bankfin040820.pdf Tanggal akses 16 Oktober 2005 http://www.cert.org/archive/pdf/bankfin040820.pdf Insider Threat Study: Illicit Cyber Activity in the Banking and Finance Sector File cisg-2003-01.pdf Tanggal Akses 16 Oktober 2005 http://www.cert-in.org.in/knowledgebase/guidelines/cisg-2003-01.pdf ''© 2005 Kelompok 127 IKI-83408T MTI UI. Silakan menggandakan bahan ajar ini, selama tetap mencantumkan nota hak cipta ini''

CERT-In Guideline CISG-2003-01 File eSign_security_policy_V1.4.pdf Tanggal 16 Oktober 2005 http://www.verisign.com.au/repository/security/eSign_security_policy_V1.4.pdf eSign Security Policy File FISSEA.pdf Tanggal akses 16 Oktober 2005 http://www.itsc.state.md.us/security/PDF/FISSEA.pdf Writing an Operational Security Plan E. Jane Powanda. FISSEA 2005 Conference. March 22, 2005. [email protected]

File ITworld_com - Security case study_ Cardinal Health.pdf Tanggal akes 27 Oktober 2005 http://www.itworld.com/Man/3886/CIOwatch/pfindex.html Security case study: Cardinal Health


Operational Security

Recommend Documents