Area Keamanan TI

Keamanan Teknologi Informasi

Keamanan Teknologi Informasi adalah aktivitas perlindungan sistem komputer dari serangan orang yang tidak bertanggungjawab. Termasuk di dalamnya pencegahan dari kerusakan pada hardware, software atau data elektronik, juga dari disrupsi atau misdirection dari layanan teknologi informasi. Keamanan teknologi informasi sering dikenal pula dengan istilah cybersecurity, information technology security (IT Security). Bidang ini tumbuh berkembang dengan pesat karena kebutuhan akan pentingnya ketahanan sistem komputer. Hal ini muncul seiring dengan perkembangan pesat dan kompleks teknologi internet, WIFI, bluetooth, handphone, dan perangkat kecil lainnya memanfaatkan platform IoT.

Tujuan Keamanan Informasi

Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama, yaitu:Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan orang –orang yang tidak berhakKetersediaan: meyakinkan bahwa data dan informasi perusahaan hanya dapatdigunakan oleh orang yang berhak menggunakannya.Integritas: sistem informasi perlu menyediakan representasi yang akurat dari sistemfisik yang direpresentasikan

3 Aspek dalam Keamanan Informasi

Confidentiality

Menurut ISO 27000, confidentiality (kerahasiaan) dideskripsikan sebagai suatu properti bahwa informasi tidak akan tersedia atau diungkapkan kepada individu, entitas, atau proses yang tidak sah. Tidak hanya itu kerahasiaan juga harus dijaga dari kebocoran informasi disebabkan oleh suatu individu/entitas dari dalam maupun dari luar perusahaan/oeganisasi. Oleh karena hal tersebut, kerahasiaan juga memiliki definisi lain yaitu perlindungan dari pengungkapan atau penyalahgunaan informasi yang tidak sah.

Confidentiality (kerahasiaan) memiliki 2 kata kunci penting dalam penerapanya yaitu Authentication (autentifikasi) dan Authorization (otorisasi). Berikut adalah penjelasan dari kata kunci tersebut.

Authentication (Otentikasi) yang mencakup proses yang memungkinkan sistem untuk menentukan suatu identitas pengguna yang akan masuk ke dalam sistem. Otentikasi memuat kata sandi dan teknik lengkap yang tersedia untuk membangun identitas seperti biometrik, token keamanan, kunci kriptografi, dan sejenisnya.

Authorization (Otorisasi) yang bertugas untuk menentukan siapa yang berhak mengakses suatu data atau informasi yang berada di dalam sistem. Sistem akan mengenali pengguna yang memang memiliki suatu tanda pengenal, akan tetapi tidak semua pengguna diperbolehkan untuk mengakses data ataupun fitur tertentu di dalam sistem. Salah satu cara/teknik yang dapat diterapkan oleh perusahaan/organisasi dalam menjaga kerahasiaan mereka adalah dengan membangun suatu mekanisme pembatasan akses informasi dan data. Dengan begitu ketika terdapat pengguna yang akunnya telah diretas atau mungkin memamng pengguna tersebut ingin menyalahgunakan wewenangnya ataupun ada seseorang yang tidak memiliki izin tidak dapat mengakses ataupun mengetahui data sensitif yang ada pada perusahaan/organisasi

Integrity

Menurut ISO 27000, Intergerity (integritas) berhubungan dengan akurasi dan kelengkapan data dan informasi. Data dan informasi yang berada di dalam perusahaan/organisasi harus dijaga dalam keadaan yang benar dan tidak seorang pun boleh memodifikasinya dengan tidak semestinya, baik secara tidak sengaja atau ingin melakukan kejahatan. Integritas yang dirancang bertujuan untuk melindungi data dari penghapusan atau modifikasi dari pihak yang tidak berwenang, dan memastikan bahwa ketika orang yang berwenang membuat perubahan yang seharusnya tidak dilakukan, kerusakan dapat dibalik.

Banyak teknik dan metode yang dapat diterapkan untuk menjaga integritas data seperti penetapan aturan untuk pengaksesan data tertentu yang diberlakukan di sebagian sistem operasi. Teknik lain yang dapat diterapkan untuk menjaga integritas data adalah dengan melakukan pencadangan data yang terjadwal dan cermat.

Pelanggaran pada aspek integritas memang kurang umum atau jelas dibandingkan dengan pelanggaran terhadap dua aspek lainnya. Pelanggaran terhadap integritas juga perlu diperhatikan karena di beberapa kasus ketika suatu pelanggaran aspek integritas muncul dapat mempengaruhi pengambilan keputusan atau peretasan sistem keuangan yang bertujuan untuk ecara singkat meningkatkan nilai saham atau rekening bank dan kemudian menyedot kelebihannya. Contoh serangan yang lebih sederhana dan umum terhadap integritas data adalah serangan defacement, di mana peretas mengubah HTML situs web untuk merusaknya demi kesenangan atau alasan ideologis.

Availability

Menurut ISO 27000, Availability (Ketersediaan) adalah kemudahan akses dan penggunaan yang sesuai dengan permintaan oleh entitas yang berwenang. Maksud dari definisi tersebut adalah pengguna yang memiliki kewenangan dapat mengakses data dan informasi dimanapun dan kapanpun mereka perlu untuk melakukannya. Tidak hanya data dan informasi saja, akan tetapi mekanisme otentikasi, saluran akses, dan sistem operasi semuanya harus berfungsi dengan baik untuk melindungi informasi dan data yang berada di dalamnya dan memastikan ketersediaan data dan informasi tersebut saat dibutuhkan.

Cara terbaik dalam memastikan ketersediaan adalah dengan menjaga semua sistem yang ada dan memastikan bahwa mereka mampu untuk menangani beban jaringan yang diharapkan. Tidak hanya sistem, akan tetapi perangkat keras juga harus dijaga kemutahirannya, pemantauan bandwidth, dan menyediakan kapasitas failover sistem. Manajemen risiko dan perencanaan aturan dan strategi untuk pemulihan bencana juga akan membantu dalam menjaga ketersediaan.

Siklus hidup Keamanan Informasi

Menurut NIST (National Institute of Standards and Technology) Special Publication 80014, “Generally Accepted Principles and Practices for Securing Information Technology Systems.”. Siklus hidup keamanan informasi merupakan tahapan atau fase yang harus dilalui pada pengembangan keamanan computer. Siklus hidup keamanan informasi dibagi menjadi lima fase dasar yaitu inisiasi, pengembangan/akusisi, impelementasi, operasi dan pembuangan.

Inisiasi

Inisiasi merupakan fase awal yang dibutuhkan untuk menetapkan tujuan dari sistem dikembangkan. Di sisi keamanan informasi pada fase ini dilakukan penillaian (asessment) sensitivitas untuk melihat tingkat kesensitifan dari suatu data dan informasi yang diproses dan sistem itu sendiri.

Pengembangan/Akusisi

Pengembangan/Akusisi merupakan fase dimana sistem dirancang, dikembangkan, dibeli, atau dikonstruksikan. Pada fase ini terdapat hal-hal yang perlu dipertimbangkan antara lain sebagai berikut.

Penentuan persyaratan keamanan yang merupakan bagian dari persyaratan sistem yang akan dikembangkan. Persyaratan ini dapat dinyatakan sebagai fitur teknis (misalnya, kontrol akses), jaminan (misalnya, pemeriksaan latar belakang untuk pengembang sistem), atau praktik operasional (misalnya, kesadaran dan pelatihan).

Memasukkan Persyaratan Keamanan Ke dalam Spesifikasi untuk memberitahukan kepada pengguna tentang informasi keamanan yang tersedia saat menggunakan sistem. Informasi ini perlu divalidasi, diperbarui, dan diatur ke dalam persyaratan dan spesifikasi perlindungan keamanan terperinci yang digunakan oleh perancang atau pembeli sistem.

Mendapatkan Sistem dan Aktivitas Keamanan Terkait yang mencakup pengembangan fitur keamanan sistem, pemantauan proses pengembangan itu sendiri untuk masalah keamanan, menanggapi perubahan, dan memantau ancaman. Ancaman atau kerentanan yang mungkin muncul selama fase pengembangan termasuk Trojan Horse, kode yang salah, alat pengembangan yang tidak berfungsi dengan baik, manipulasi kode, dan orang dalam yang ingin berbuat jahat.

Implementasi

Implementasi merupakan fase dimana suatu sistem akan diuji dan diterapkan pada proses operasional bisnis perusahaan/organisasi. Hal-hal seperti berikut harus ikut dipertimbangkan selama fase ini :

Pengaktifan Kontrol yang sering kali diabaikan yang diperoleh ketika sistem yang dilengkapi dengan fitur keamanan yang dinonaktifkan. Hal tersebut perlu diaktifkan dan dikonfigurasi.

Pengujian keamanan yang mencakup pengujian bagian-bagian tertentu dari sistem yang telah dikembangkan atau diperoleh dan pengujian seluruh sistem. Contoh area yang mempengaruhi keamanan seluruh sistem diantaranya Manajemen keamanan, fasilitas fisik, personel, prosedur, penggunaan layanan komersial atau internal (seperti layanan jaringan), dan perencanaan kontinjensi.

Akreditasi keamanan sistem yang merupakan otorisasi formal oleh pejabat akreditasi (manajemen) untuk operasi sistem dan penerimaan risiko secara eksplisit. Biasanya didukung oleh tinjauan sistem, termasuk manajemen, operasional, dan kontrol teknisnya.

Operasi/Pemeliharaan

Operasi/Pemeliharaan merupakan fase dimana sistem akan dipantau dan dipelihara. Tidaka hanya itu sewaktu-waktu sistem akan dimodifikasi untuk memenuhi kebutuhan baru pengguna. Terdapat beberapa hal yang harus dipertimbangkan dalam fase ini :

Operasi dan Administrasi Keamanan. Pengoperasian suatu sistem melibatkan banyak aktivitas keamanan yang dibahas dalam publikasi ini. Melakukan pencadangan, mengadakan kelas pelatihan, mengelola kunci kriptografi, mengikuti administrasi pengguna dan hak akses, dan memperbarui perangkat lunak keamanan adalah beberapa contohnya.

Jaminan Operasional yang memeriksa apakah suatu sistem dioperasikan sesuai dengan persyaratan keamanan saat ini. Ini mencakup tindakan orang yang mengoperasikan atau menggunakan sistem dan berfungsinya kontrol teknis.

Audit dan Pemantauan untuk mempertahankan jaminan operasional, organisasi menggunakan dua metode dasar: audit sistem dan pemantauan. Istilah-istilah ini digunakan secara longgar dalam komunitas keamanan komputer dan sering tumpang tindih. Audit sistem adalah peristiwa satu kali atau berkala untuk mengevaluasi keamanan. Pemantauan mengacu pada aktivitas berkelanjutan yang memeriksa sistem atau pengguna. Secara umum, semakin "real-time" suatu aktivitas, semakin masuk dalam kategori pemantauan.

Pembuangan

Pembuangan merupakan bagian dari siklus hidup sistem dimana akan dilakukan disposisi pada informasi, hardware dan software. Item yang harus dipertimbangkan dalam fase ini adalah sebagai berikut.

Informasi dapat dipindahkan ke sistem lain, diarsipkan, dibuang, atau dihancurkan. Saat mengarsipkan informasi, terdapat metode yang harus dipertimbangkan untuk mengambil informasi yang dibutuhkan di masa mendatang. Tindakan mungkin juga harus diambil untuk penggunaan data yang telah dienkripsi di masa mendatang, seperti mengambil langkah-langkah yang tepat untuk memastikan penyimpanan kunci kriptografik jangka panjang yang aman. Penting untuk mempertimbangkan persyaratan hukum untuk penyimpanan arsip saat membuang sistem TI. Untuk sistem federal, pejabat manajemen sistem harus berkonsultasi dengan kantor agensi mereka yang bertanggung jawab untuk menyimpan dan mengarsipkan catatan federal.

Sanitasi Media. Penghapusan informasi dari media penyimpanan dengan cara menghapus informasi dan menghancurkan informasi sehingga menjadikannya tidak dapat untuk dipulihkan.