Minggu, 21 Desember 2014

Makalah Kemanan Data dan Sistem Informasi

MAKALAH DASAR-DASAR KEAMANAN INFORMASI


Disusun oleh:
Eric Christanto (130549810238)



UNIVERSITAS WIDYAMA MALANG
FAKULTAS TEKNIK JURUSAN TEKNIK INFORMATIKA
2014





Alhamdulillahirobbil’alamin, segala puji dan syukur penyusun panjatkan atas kehadirat Ilahi Robbi, yang telah mencurahkan segala nikmat, rahmat, hidayah, dan inayah-Nya kepada penyusun sehingga tugas makalah mata kuliah “ Keamanan Data dan Sistem Informasi” dapat kami selesaikan.
Shalawat serta salam semoga tercurahkan kepada junjungan kita dan teladan seluruh insan, rasulullah SAW.
Tidak lupa penyusun ucapkan terima kasih kepada dosen mata kuliah “ Keamanan Data dan Sistem Informasi” atas bimbingannya, dan kepada semua orang yang terlibat baik langsung maupun tidak langsung sehingga makalah ini dapat terselesaikan.
Adapun isi makalah ini memiliki banyak kekurangan, oleh karena itu, kritik serta saran yang membangun khususnya dari dosen pembimbing sangat penyusun harapkan.


                                                                                                      Malang, 21 November 2014


                                                                                                                   Penyusun










            Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut sehingga harus dilindungi, untuk menjamin kelangsungan perusahaan atau organisasi, meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha. Beragam bentuk informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi meliputi diantaranya : informasi yang tersimpan dalam komputer ( baik desktop komputer maupun mobile komputer ), informasi yang ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim melalui fax, tersimpan dalam disket,cd,atau media penyimpanan lain, informasi yang dilakukan dalam pembicaraan ( termasuk percakapan melalui telepon ), dikirim melalui telex, email, informasi yang tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan untuk menyampaikan informasi dan ide-ide baru organisasi atau perusahaan.





Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum diartikan sebagai ‘quality or state of being secure-to be free from danger’. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya. Contoh dari tinjauan keamanan informasi adalah:
·        Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
·        Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-orang dalam organisasi
·        Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
·        Communications Security yang bertujuan mengamankan media komunikasi, teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan organisasi.
·        Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data organisasi.

Masing-masing komponen di atas berkontribusi dalam program keamanan informasi secara keseluruhan. Keamanan informasi adalah perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya [3]. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha.

Keamanan data/informasi elektronik menjadi hal yang sangat penting bagi perusahaan yang menggunakan fasilitas TI dan menempatkannya sebagai infrastruktur penting. Sebab data/informasi adalah aset bagi perusahaan tersebut.
Keamanan data/informasi secara langsung maupun tidak langsung dapat mempertahankan kelangsungan bisnis, mengurangi resiko, mengoptimalkan return of investment dan bahkan memberikan peluang bisnis semakin besar. Semakin banyak informasi perusahaan yang disimpan, dikelola dan digunakan secara bersama, akan semakin besar pula resiko terjadinya kerusakan, kehilangan atau tereksposnya data/informasi ke pihak lain yang tidak berhak.
Ancaman dan resiko yang ditimbulkan akibat kegiatan pengelolaan dan pemeliharaan data/informasi menjadi alasan disusunnya standar sistem manajemen keamanan informasi yang salah satunya adalah ISO 17799.
Penyusunan standar ini berawal pada tahun 1995, dimana sekelompok perusahaan besar seperti Board of Certification, British Telecom, Marks & Spencer, Midland Bank, Nationwide Building Society, Shell dan Unilever bekerja sama untuk membuat suatu standar yang dinamakan British Standard 7799 (BS 7799). BS 7799 terdiri dari beberapa bagian yaitu : Part 1, The Code of Practice for Information Security Management. Part 2, The Specification for Information Security Management Systems (ISMS).
Pada tahun 2000, International Organization of Standardization (ISO) dan International Electro-Technical Commission (IEC) mengadopsi BS 7799 Part 1 dan menerbitkannya sebagai standar ISO/IEC 17799:2000 yang diakui secara internasional sebagai standar sistem manajemen keamanan informasi.


ISO 17799 meliputi 10 klausula pengendalian (10 control clauses), 36 sasaran pengendalian (36 control objectives) dan 127 pengendalian keamanan (127 controls securiy). Pengendalian adalah cara yang dipilih untuk menyingkirkan atau meminimalkan risiko ke level yang dapat diterima. Berikut adalah penjabaran 10 klausula pengendalian :
1. Kebijakan Pengamanan (Security Policy)
Mengarahkan visi dan misi manajemen agar kelangsungan organisasi dapat dipertahankan dengan mengamankan dan menjaga integritas/keutuhan data/informasi penting yang dimiliki oleh perusahaan.
Kebijakan pengamanan sangat diperlukan mengingat banyaknya masalah-masalah non teknis seperti penggunaan password oleh lebih dari satu orang yang menunjukan tidak adanya kepatuhan dalam menjalankan sistem keamanan informasi. Kebijakan pengamanan ini meliputi aspek infratruktur dan regulasi keamanan informasi.
Hal pertama dalam pembuatan kebijakan keamanan adalah dengan melakukan inventarisasi data-data perusahaan. Selanjutnya dibuat regulasi yang melibatkan semua departemen, sehingga peraturan yang akan dibuat tersebut dapat diterima oleh semua pihak. Setelah itu rancangan peraturan tersebut diajukan ke pihak direksi untuk mendapatkan persetujuan dan dukungan agar dapat diterapkan dengan baik.
2. Pengendalian Akses Sistem (System Access Control)
Mengendalikan/membatasi akses user terhadap informasi-informasi dengan cara mengatur kewenangannya, termasuk pengendalian secara mobile-computing ataupun tele-networking. Mengontrol tata cara akses terhadap informasi dan sumber daya yang ada yang meliputi berbagai aspek seperti :
  1. Persyaratan bisnis untuk kendali akses
  2. Pengelolaan akses user (User Access Management)
  3. Kesadaran keamanan informasi (User Responsibilities)
  4. Kendali akses ke jaringan (Network Access Control)
  5. Kendali akses terhadap sistem operasi (Operating System Access Control)
  6. Pengelolaan akses terhadap aplikasi (Application Access Management)
  7. Pengawasan dan penggunaan akses sistem (Monitoring System Access and Use)
  8. Mobile Computing dan Telenetworking.



3. Pengelolaan Komunikasi dan Kegiatan (Communication and Operations Management)
Menyediakan perlindungan terhadap infrastruktur sistem informasi melalui perawatan dan pemeriksaan berkala, serta memastikan ketersediaan panduan sistem yang terdokumentasi dan dikomunikasikan guna menghindari kesalahan operasional. Pengaturan tentang alur komunikasi dan operasi yang terjadi meliputi berbagai aspek, yaitu :
  1. Prosedur dan tanggung jawab operasional
  2. Perencanaan dan penerimaan sistem
  3. Perlindungan terhadap software jahat (malicious software)
  4. Housekeeping;
  5. Pengelolaan Network;
  6. Pengamanan dan Pemeliharaan Media; dan
  7. Pertukaran informasi dan software.
4. Pengembangan dan Pemeliharaan Sistem (System Development and Maintenance)
Memastikan bahwa sistem operasi maupun aplikasi yang baru diimplementasikan mampu bersinergi melalui verifikasi dan validasi.
Penelitian untuk pengembangan dan pemeliharaan sistem meliputi berbagai aspek, seperti : Persyaratan pengamanan sistem; Pengamanan sistem aplikasi; Penerapan Kriptografi; Pengamanan file sistem; dan Pengamanan pengembangan dan proses pendukungnya.


5. Pengamanan Fisik dan Lingkungan (Physical and Environmental Security)
Mencegah kehilangan dan/atau kerusakan data yang diakibatkan oleh lingkungan secara fisik, termasuk bencana alam dan pencurian data yang tersimpan dalam media penyimpanan atau dalam fasilitas penyimpan informasi yang lain.
Pengamanan fisik dan lingkungan ini meliputi aspek : Pengamanan area tempat informasi disimpan; Pengamanan alat dan peralatan yang berhubungan dengan informasi yang akan dilindungi; dan Pengendalian secara umum terhadap lingkungan dan hardware informasi.
6. Penyesuaian (Compliance)
Memastikan implementasi kebijakan-kebijakan keamanan selaras dengan peraturan dan perundangan yang berlaku, termasuk perjanjian kontrak melalui audit sistem secara berkala. Aspek-aspek yang diperlukan untuk membentuk prosedur dan peraturan, yaitu : Penyesuaian dengan persyaratan legal; Peninjauan kembali kebijakan pengamanan dan penyesuaian secara teknis; serta Pertimbangan dan audit sistem.
7. Keamanan personel/sumber daya manusia (Personnel Security)
Upaya pengurangan resiko dari penyalahgunaan fungsi dan/atau wewenang akibat kesalahan manusia (human error),manipulasi data dalam pengoperasian sistem serta aplikasi oleh user. Kegiatan yang dilakukan diantaranya adalah pelatihan-pelatihan mengenai kesadaran informasi (security awareness) agar setiap user mampu menjaga keamanan data dan informasi dalam lingkup kerja masing-masing. Personnel Security meliputi berbagai aspek, yaitu : Security in Job Definition and Resourcing; Pelatihan-pelatihan dan Responding to Security Incidens and Malfunction.
8. Organisasi Keamanan (Security Organization)
Memelihara keamanan informasi secara global pada suatu organisasi atau instansi, memelihara dan menjaga keutuhan sistem informasi internal terhadap ancaman pihak eksternal, termasuk pengendalian terhadap pengolahan informasi yang dilakukan oleh pihak ketiga (outsourcing). Aspek yang terlingkupi, yaitu : keamanan dan pengendalian akses pihak ketiga dan Outsourcing
9. Klasifikasi dan pengendalian aset (Asset Classification and Control)
Memberikan perlindungan terhadap aset perusahaan yang berupa aset informasi berdasarkan tingkat perlindungan yang telah ditentukan. Perlindungan aset ini meliputi accountability for Asset dan klasifikasi informasi.
10. Pengelolaan Kelangsungan Usaha (Business Continuity Management)
Siaga terhadap resiko yang mungkin timbul didalam aktivitas lingkungan bisnis yang bisa mengakibatkan ”major failure” atau resiko kegagalan sistem utama ataupun ”disaster” atau kejadian buruk yang tak terduga, sehingga diperlukan pengaturan dan pengelolaan untuk kelangsungan proses bisnis, dengan mempertimbangkan semua aspek dari business continuity management.



Gambar 2.4 Struktur dari kesepuluh wilayah standar (10 control clouse)

Membangun dan menjaga keamanan sistem manajemen informasi akan terasa jauh lebih mudah dan sederhana dibandingkan dengan memperbaiki sistem yang telah terdisintegrasi. Penerapan standar ISO 17799 akan memberikan benefit yang lebih nyata bagi organisasi bila didukung oleh kerangka kerja manajemen yang baik dan terstruktur serta pengukuran kinerja sistem keamanan informasi, sehingga sistem informasi akan bekerja lebih efektif dan efisien.

Adapun manfaat  proses keamanan informasi dalam Standard ISO 17799 bagi  perusahaan adalah sebagai  berikut:
Ø  Suatu metodologi tersusun yang dikenali
Ø    Proses yang digambarkan untuk mengevaluasi, menerapkan, memelihara, dan mengatur keamanan informasi
Ø    Satu set kebijakan dikhususkan, standard, prosedur, dan petunjuk
Ø    Sertifikasi mengijinkan organisasi untuk mempertunjukkan status keamanan informasi mereka sendiri
·         Menunjukkan Sertifikasi “ Penelitian”
·         Secara internal keuntungan-keuntungan menerapkan suatu ISO 17799 Sistem Manajemen Keamanan Informasi (ISMS) dapat digunakan sebagai:
  • Suatu pengukuran untuk keamanan perusahaan
  • Satu set kendali
  • Suatu metoda untuk menentukan target dan mengusulkan peningkatan
  • Basis untuk standard keamanan informasi intern perusahaan
            Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk mengukur, mengatur dan mengendalikan  informasi yang penting kepada operasi system mereka. Pada gilirannya ini dapat mendorong kearah kepercayaan pelanggan, yang lebih efisien dan sistem internal efektif serta  suatu tanda kelihatan dari kesanggupan suatu organisasi.



Sertifikasi Pihak ketiga menawarkan suatu pandangan yang tidak memihak dari sistem keamanan perusahaan, Hal ini memudahkan dalam melakukan usaha / bisnis; tentunya akan  mendorong dan memungkinkan organisasi untuk masuk ke hubungan uasaha / bisnis , dengan mempromosikan memungut manajemen keamanan informasi sesuai ke bidang uasaha / bisnis  demi kepentingan bisnis  global secara keseluruhan.
Sertifikasi dari ISMS  seluruhnya sifatnya sukarela/fakultatif. Organisasi yang mana  dengan sukses melengkapi sertifikasi proses itu, mempunyai kepercayaan lebih besar di dalam manajemen keamanan informasi mereka dan akan mampu menggunakan sertifikat itu untuk membantu, meyakinkan bisnis bersekutu dengan siapa yang mereka berbagi informasi. Sertifikat membuat suatu statemen kemampuan publik, dan mengijinkan organisasi untuk menyimpan/pelihara secara detil tentang  sistem keamanan rahasianya .
Dan dibawah ini adalah flowchart dari ISMS :

Dalam sebuah masyarakat berbasis informasi saat ini, Informasi telah menjadi asset yang sangat berharga bagi suatu organisasi, baik itu pemerintah maupun swasta. Karena itu informasi menjadi sangat penting untuk dilindungi dari hal-hal yang tidak diinginkan. Dimana perlindungan informasi ini secara langsung maupun tidak akan menentukan kesuksesan organisasi. Dengan kata lain manipulasi informasi, pencurian informansi dan serangan terhadap informasi akan berpengaruh terhadap prestasi dan kinerja organisasi.
Manajemen keamanan informasi adalah sub bagian dari manajemen keamanan dengan fokus utama adalah pengamanan informasi. Sedangkan manajemen keamanan komputer dan keamanan TI lebih menitik-beratkan pada sarana dan prasarana yang digunakan untuk pengamanan informasi. Walaupun begitu setiap sub bagian manejemen keamanan ini saling mempengaruhi.
Tugas manajemen keamanan informasi adalah merencanakan keamanan informasi, mengaplikasikannya, memonitor dan melakukan evaluasi. Pengamanan informasi adalah melindungi informasi dari segala kemungkinan ancaman terhadap informasi yang akan berpengaruh terhadap kinerja dan prestasi organisasi dengan cara meminimalisir kerugian yang dapat ditimbulkan serta memaksimalkan keuntungan dari investasi dan peluang organisasi tersebut.
Dengan menerapkan keamanan informasi, sebuah organisasi dapat menjaga kerahasiaan, integritas dan ketersediaan informasi secara kontinyu. Integritas informasi disini bermakna bahwa informasi tersebut tetap utuh dan tidak mengalami perubahan oleh pihak lain yang tidak berwenang.
Suatu organisasi/instansi perlu mengklasifikasikan informasi yang dihasilkan dan/atau yang diperoleh untuk mendapatkan perlindungan yang sesuai. Klasifikasi informasi ini ditentukan sendiri oleh organisasi tersebut dengan memperhatikan resiko dan keuntungan yang ditimbulkan dari pengolahan informasi tersebut. Umumnya klasifikasi informasi adalah : umum (bebas), terbatas (dinas) dan rahasia (pribadi).
Ada 3 tehnik melindungi informasi yaitu :
·        secara fisik misalnya menyimpan dalam suatu ruangan khusus yang dikunci, dalam lemari besi dll;
·        secara organisasi misalnya menunjuk personil khusus dengan regulasi yang jelas, melakukan pendidikan dan pelatihan masalah keamanan informasi untuk meningkatkan kesadaran karyawan tentang pentingnya pengamanan informasi yang baik, dll; dan
·        secara logik misalnya dengan menerapkan kriptografi, memasang antivirus dll.
Keamanan informasi sudah seharusnya menjadi perhatian jajaran eksekutif dalam organisasi. Sebab pengguna utama informasi berklasifikasi terbatas dan rahasia adalah para eksekutif tersebut, yang mana keputusan-keputusan strategis organisasi tergantung dari informasi yang berada padanya.


Sistem Manajemen Keamanan Informasi ( ISMS),  rata-rata digunakan para manajer untuk mengukur, memonitor dan mengendalikan keamanan informasi mereka. Manajemen Keamanan Informasi ini memberikan perlindungan informasi dan penghitungan  asset yang ada. Manajemen Keamanan Informasi ini mempunyai tiga komponen kunci dalam  menyediakan jaminan layanan keamanan informasi diantaranya:
·        Kerahasiaan– memastikan bahwa informasi dapat diakses hanya untuk mereka yang authorised untuk mempunyai akses.
·        Integritas– melindungi kelengkapan dan ketelitian informasi  dan memproses metoda.
·        Ketersediaan– memastikan bahwa para pemakai authorised mempunyai akses ke informasi dan berhubungan dengan asset ketika diperlukan.

Dalam mencapai keamanan informasi ini, satu perangkat kendali, bisa digunakan menjadi suatu kebijakan, struktur organisasi, atau perangkat lunak yang berfungsi sebagai prosedur untuk diterapkan. Perangkat kendali ini harus dapat memastikan sasaran hasil keamanan secara spesifik bagi kita dan pelanggan pada umumnya.
Salah satu contoh hasil survey yang dilakukan oleh ISBS, yang menunjukkan mengapa format informasi apapun penting bagi bisnis suatu perusahaan, dan persepsi perusahaan terhadap resiko yang mungkin  melanggar keamanannya.





Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan hidup  bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi penting bagi  meningkatkan kesuksusesan yang kompetitif dalam  semua sektor ekonomi.
Tujuan manajemen informasi adalah untuk
·        melindungi kerahasiaan,
·        integritas
·        ketersediaan informasi.
Keuntungan utama dari BS7799/ISO17799 berhubungan dengan kepercayaan publik. Sama seperti ISO 9000 yang mencerminkan jaminan kualitas.
·        Standar ini merupakan tanda kepercayaan dalam seluruh keamanan perusahaan. 
·        Manajemen kebijakan terpusat dan prosedur.
·        Menjamin layanan informasi yang tepat guna.
·        Mengurangi biaya manajemen,
·        Dokumentasi yang lengkap atas segala perubahan/revisi.
·        Suatu metoda untuk menentukan target dan mengusulkan peningkatan.
·        Basis untuk standard keamanan informasi internal perusahaan
Suatu organisasi yang menerapkan ISO 17799 akan mempunyai suatu alat untuk mengukur, mengatur dan mengendalikan  informasi yang penting bagi operasional sistem mereka. Pada gilirannya ini dapat mendorong kearah kepercayaan pelanggan, efisiensi dan efektifitas.







Hadi Wibowo, Menejemen Keamanan Informasi,