Pengantar Keamanan Sistem Informasi Hasdiana, S.Kom, M.Kom
Konsep Dasar Sistem Informasi
Konsep Dasar Sistem Sistem dapat didefenisikan melalui dua kelompok pendekatan
yaitu : 1. Pendekatan Prosedur 2. Pendekatan Komponen
Pendekatan Prosedur
Konsep Dasar Sistem Prosedur
adalah suatu instruksi atau serangkaian
instruksi, yang diikuti oleh users untuk menyelesaikan kegiatan. Defenisi sistem dalam pendekatan Prosedur:
“Suatu jaringan kerja dari prosedur-prosedur yang saling berhubungan,
berkumpul
bersama-sama
untuk
melakukan kegiatan atau untuk menyelesaikan suatu sasaran yang tertentu” (FitzGerald, 1981:5).
Pendekatan Komponen
Konsep Dasar Sistem 2.Defenisi sistem dalam pendekatan Komponen: “Sistem adalah kumpulan dari elemen-elemen yang berinteraksi untuk mencapai suatu tujuan tertentu” (Hartono, 2005:2).
Informasi
Konsep Dasar Informasi Pengertian Informasi: Informasi adalah data yang telah diolah menjadi bentuk
yang lebih berarti bagi penerimanya dan digunakan untuk pengambilan keputusan. Sedangkan
data
adalah
aliran
fakta
yang
merepresentasikan kejadian yang terjadi ke dalam bentuk yang dapat dimengerti oleh manusia.
Sistem Informasi
Konsep Dasar Sistem Informasi Pengertian Sistem Informasi: Suatu
sistem
di dalam
suatu
organisasi
yang
mempertemukan kebutuhan pengelolaan transaksi harian, mendukung operasi, bersifat manajerial, kegiatan
strategi
dari
suatu
organisasi
dan
menyediakan pihak luar tertentu dengan laporanlaporan yang dibutuhkan (Leitch, 1983:6).
Konsep Dasar Sistem Informasi Pengertian Sistem Informasi: Sistem
Informasi diartikan secara teknis adalah
serangkaian komponen yang saling terkait yang mengumpulkan,
memproses,
mendistribusikan
informasi
menyimpan guna
dan
mendukung
pengambilan keputusan dan kontrol di dalam suatu organisasi
Sistem Informasi pada Perusahaan
Sistem Informasi pada Perusahaan Sistem
Informasi
dapat
berupa
serangkaian
hardware, software, data, manusia, dan prosedur yang bekerja bersama untuk memproduksi informasi. Sistem informasi terintegrasi dan digunakan oleh
hampir seluruh bagian dan memfasilitasi berbagi informasi (information Sharing) dan komunikasi dalam perusahaan.
Sistem Informasi pada Perusahaan Sistem informasi diharapkan memiliki kemampuan
untuk mendukung tujuan perusahaan, mulai dari Peningkatan
produktifitas,
Pengurangan
biaya,
Peningkatan pengambilan keputusan, Peningkatan layanan
ke
pelanggan
hingga
aplikasi-aplikasi strategis yang baru.
Pengembangan
Sistem Informasi & Teknologi Informasi
Sistem Informasi & Teknologi Informasi Perkembangan
SI/TI dan telekomunikasi begitu pesat
sehingga penyebaran informasi menjadi semakin cepat, murah, dan berkualitas baik. Sistem informasi dan teknologi informasi berperan penting
dalam mendukung proses bisnis perusahaan.
Keamanan Informasi
Keamanan Informasi Informasi adalah asset perusahaan, seperti halnya asset
business perusahaan lainnya, informasi memerlukan suatu perlindungan yang memadai. Menurut
G. J. Simons, keamanan informasi adalah
bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi.
Keamanan Informasi Standard keamanan informasi adalah melindungi informasi
dari segala threats/ancaman agar kesinambungan business tetap terjamin dan meminimalkan kerusakan business.
Mengapa Kejahatan Komputer Meningkat?
Penyebab Meningkatnya Kejahatan Komputer Maraknya kejahatan computer hingga saat ini terus
mengalami peningkatan disebabkan oleh beberapa hal, yaitu: 1.Aplikasi bisnis yang mengunakan teknologi informasi dan jaringan computer semakin meningkat. Sebagai contoh saat ini mulai bermunculan aplikasi bisnis seperti perbankan; online banking.
Penyebab Meningkatnya Kejahatan Komputer 2.Server terdesentralisasi atau terdistribusi menyebabkan lebih banyak system yang harus ditangani, hal ini membutuhkan lebih banyak operator dan administrator andal. 3.Transisi dari vendor tunggal ke multivendor sehingga lebih banyak system atau perangkat yang harus dimengerti.
Penyebab Meningkatnya Kejahatan Komputer 4.Mulai banyaknya masalah keamanan informasi : Virus, worm, trojan horse, spam Hacking & cracking Spyware, keylogger Fraud (orang dalam), penipuan, pencurian kartu kredit
Masalah security dianggap sebagai penghambat penerimaan
penggunaan infrastruktur teknologi informasi.
Statistik Kejahatan
Statistik Kejahatan 1988.
Sendmail dieksploitasi oleh R.T. Morris sehingga
melumpuhkan Internet. Diperkirakan kerugian mencapai $100 juta. Morris dihukum denda $10.000. 10 Maret 1997. Seorang hacker dari Massachusetts berhasil
mematikan sistem telekomunikasi sebuah airport lokal (Worcester, Mass.) sehingga memutuskan komunikasi di control tower dan menghalau pesawat yang hendal mendarat.
Statistik Kejahatan 1999 Computer Security Institute (CSI) / FBI Computer
Crime Survey menunjukkan beberapa statistik yang menarik,
seperti
misalnya
ditunjukkan
bahwa
“disgruntled worker” merupakan potensi attack / abuse. Http://www.gocsi.com
Statistik Kejahatan 7 Februari 2000 s/d 9 Februari 2000. Distributed Denial
of Service (Ddos) attack terhadap Yahoo, eBay, CNN, Amazon, ZDNet, E-Trade. 2001. Virus SirCam mengirimkan file dari harddisk korban.
File rahasia bisa tersebar. Worm Code Red menyerang sistem kemudian melakukan port scanning dan menyusup ke sistem yang ditemukannya.
Statistik Kejahatan 2004. Kejahatan “phising” (menipu orang melalui email
yang seolah-olah datang dari perusahaan resmi [bank misalnya] untuk mendapatkan data-data pribadi seperti nomor PIN internet banking) mulai marak.
Contoh Kejahatan Kartu Kredit Berdasarkan laporan terakhir (2004), Indonesia: Nomor #1 dalam persentase (yaitu perbandingan antara
transaksi yang baik dan palsu) Nomor #3 dalam volume
Akibatnya kartu kredit dan transaksi yang (nomor IP-nya)
berasal dari Indonesia secara resmi diblokir di beberapa tempat di Amerika
Klasifikasi Kejahatan Komputer
Klasifikasi Kejahatan Komputer Kejahatan komputer dapat digolongkan kepada yang sangat
berbahaya sampai ke yang hanya mengesalkan (annoying). Menurut David Icove, berdasarkan lubang keamanan, keamanan
dapat diklasifikasikan menjadi empat, yaitu: 1.Keamanan yang bersifat fisik (physical security) 2.Keamanan yang berhubungan dengan orang (personel) 3.Keamanan dari data dan media serta teknik komunikasi 4.Keamanan dalam operasi.
Klasifikasi Kejahatan Komputer 1.Keamanan yang bersifat fisik (physical security) Termasuk akses orang ke gedung, peralatan, dan media yang
digunakan. Beberapa bekas penjahat komputer (crackers) mengatakan bahwa
mereka sering pergi ke tempat sampah untuk mencari berkasberkas yang mungkin memiliki informasi tentang keamanan.
Klasifikasi Kejahatan Komputer Denial of service dapat dimasukkan dalam kelompok ini. yaitu
jenis kejahatan yang mengakibatkan servis tidak dapat diterima oleh pemakai. Denial of service dapat dilakukan misalnya dengan mematikan
peralatan atau membanjiri saluran komunikasi dengan pesanpesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan).
Klasifikasi Kejahatan Komputer 2. Keamanan yang berhubungan dengan orang (personel) Termasuk identifikasi, dan profil resiko dari orang yang
mempunyai akses (pekerja). Seringkali kelemahan keamanan sistem informasi bergantung
kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan istilah “social engineering”
yang sering digunakan oleh kriminal untuk berpura-pura sebagai orang yang berhak mengakses informasi.
Klasifikasi Kejahatan Komputer 3.Keamanan
dari
data
dan
media
serta
teknik
komunikasi (communications). Yang termasuk di dalam kelas ini adalah kelemahan dalam
software yang digunakan untuk mengelola data. Seorang kriminal dapat memasang virus atau trojan horse sehingga
dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak diakses.
Klasifikasi Kejahatan Komputer 4.Keamanan dalam operasi Termasuk prosedur yang digunakan untuk mengatur dan
mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).
Aspek - Aspek Keamanan
Aspek - Aspek Keamanan A computer is secure if you can depend on it and its software to behave as
you expect. (Garfinkel and Spafford). Garfinkel mengemukakan bahwa keamanan komputer (computer
security) melingkupi empat aspek, yaitu privacy, integrity, authentication, dan availability. Selain keempat hal di atas, masih ada dua aspek lain yang juga
sering dibahas dalam kaitannya dengan electronic commerce, yaitu access control dan nonrepudiation.
Aspek - Aspek Keamanan 1.Privacy / Confidentiality Kerahasiaan data. Data hanya boleh diakses oleh orang yang berwenang: Data-data pribadi Data-data bisnis; daftar gaji, data nasabah
Sangat sensitif dalam e-commerce dan healthcare
Aspek - Aspek Keamanan Serangan: Penyadapan (teknis dengan sniffer / logger, man in
the middle attack; non-teknis dengan social engineering) Proteksi: Enkripsi Serangan terhadap aspek privacy misalnya adalah usaha untuk
melakukan penyadapan (dengan program sniffer). Usaha-usaha yang dapat dilakukan untuk meningkatkan
privacy dan confidentiality adalah dengan menggunakan teknologi kriptografi.
Aspek - Aspek Keamanan 2. Integrity Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin
pemilik informasi. Serangan: Pengubahan data oleh orang yang tidak berhak, spoofing Virus yang mengubah berkas
Proteksi: Message Authentication Code (MAC), digital signature / certificate, hash
functions, logging
Aspek - Aspek Keamanan 3.Authentication Aspek ini berhubungan dengan metoda untuk menyatakan bahwa
informasi betul-betul asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Meyakinkan keaslian data, sumber data, orang yang mengakses
data, server yang digunakan. What you have (identity card)? What you know (password, PIN)? What you are (biometric identity). Serangan: identitas palsu, terminal palsu, situs gadungan
Aspek - Aspek Keamanan 4.Availability Aspek availability atau ketersediaan berhubungan dengan
ketersediaan informasi ketika dibutuhkan. Informasi harus tersedia ketika dibutuhkan Serangan: Meniadakan layanan (Denial of Service / DoS attack) atau
menghambat layanan (server dibuat lambat)
Aspek - Aspek Keamanan Mailbomb: Dimana seorang pemakai dikirimi e-mail
bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka emailnya atau kesulitan mengakses e-mailnya (apalagi jika akses dilakukan melalui saluran telepon). Proteksi : Backup, redundancy, firewall
Aspek - Aspek Keamanan 5.Access Control Aspek ini berhubungan dengan cara pengaturan akses kepada
informasi. Hal ini biasanya berhubungan dengan masalah authentication dan
juga privacy. Access control seringkali dilakukan dengan menggunakan
kombinasi
userid/password
mekanisme lain.
atau
dengan
menggunakan
Aspek / Servis dari Keamanan 6. Non-repudiation Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan
sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan
barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce. Penggunaan
digital signature dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital signature itu jelas legal.
Serangan Terhadap Keamanan Sistem Informasi
Serangan Terhadap Keamanan Sistem Informasi Security attack / serangan terhadap keamanan sistem informasi,
dapat dilihat dari sudut peranan komputer / jaringan komputer yang fungsinya adalah sebagai penyedia informasi. Ada beberapa kemungkinan serangan (attack):
1. Interruption Perangkat sistem menjadi rusak / tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah: DoS attack, network flooding
Serangan Terhadap Keamanan Sistem Informasi 2. Interception Pihak yang tidak berwenang berhasil mengakses aset / informasi. Contoh dari serangan ini adalah: Penyadapan (wiretapping) Password Sniffing.
Serangan Terhadap Keamanan Sistem Informasi 3. Modification Pihak yang tidak berwenang tidak saja berhasil mengakses, akan
tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web
site dengan pesan-pesan yang merugikan pemilik web site, virus, trojan horse.
Serangan Terhadap Keamanan Sistem Informasi 4. Fabrication Pihak yang tidak berwenang menyisipkan objek palsu ke dalam
sistem. Contoh dari serangan jenis ini adalah: Memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam
jaringan komputer.
Sekian