Tujuan, Ancaman, Kelemahan dari Keamanan Sistem Informasi

Pada era global seperti sekarang ini, keamanan sistem informasi menjadi suatu keharusan untuk lebih diperhatikan terutama yang berbasis unternet, karena jaringan internet yang sifatnya publik dan global pada dasarnya tidak aman. Pada saat data terkirim dari suatu komputer ke komputer yang lain di dalam internet, data itu akan melewati sejumlah komputer yang lain yang berarti akan memberi kesempatan pada user tersebut untuk mengambil alih satu atau beberapa komputer. Kecuali suatu komputer terkunci di dalam suatu ruangan yang mempunyai akses terbatas dan komputer tersebut tidak terhubung ke luar dari ruangan itu, maka komputer tersebut akan aman.

Definisi dari keamanan informasi menurut G. J. Simons adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Permasalahan pokok sebenarnya dalam hal keamanan sistem informasi terletak pada kelemahan dan ancaman atas sistem informasi yang pada gilirannya masalah tersebut akan berdampak kepada resiko dan pada gilirannya berdampak kepada 7 hal yang utama dalam sistem informasi yaitu :

  • Efektifitas
  • Efisiensi
  • Kerahaasiaan
  • Integritas
  • Keberadaan
  • Kepatuhan
  • Keandalan

Dasar-dasar dari keamanan informasi, meliputi:

  1. Tujuan:
  • Menjaga keamanan sumber-sumber informasi , disebut dengan Manajemen Pengamanan Informasi (information security management-ISM)
  • Memelihara fungsi-fungsi perusahaan setelah terjadi bencana atau pelanggaran keamanan, disebut dengan Manajemen Kelangsungan Bisnis (business continuity management-BCM).

2. CIO (chief information officer) akan menunjuk sekelompok khusus pegawai sebagai bagian keamanan sistem informasi perusahaan. (corporate information systems security officer-CISSO), atau bagian penjamin informasi perusahaan (corporate information assurance officer-CIAO).

 

Adapun tujuan keamanan Informasi menurut Garfinkel, antara lain:

  • Kerahasiaan/privacy
  • Ketersediaan/ availability
  • Integritas/ integrity.
  • Autentikasi/ Authentication .
  • Access Control
  • Non-repudiation

Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi akan terus meningkat dikarenakan beberapa hal:

  • Aplikasi bisnis berbasis teknologi informasi dan jaringan komputer semakin meningkat.
  • Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan lebih banyak operator dan administrator yang handal.
  • Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan.
  • Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti internet..
  • Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan masalah interoperability antar vendor yang lebih sulit ditangani.
  • Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
  • Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan telekomunikasi yang sangat cepat. Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu, karena jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi itu sendiri.

 

KELEMAHAN, ANCAMAN

Cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Kelemahan tersebut dimanfaatkan oleh orang-orang yang tidak bertanggung jawab seperti gangguan /serangan:

  1. Untuk mendapatkan akses (access attacks)
  2. Untuk melakukan modifikasi (modification attacks)
  3. Untuk menghambat penyediaan layanan (denial of service attacks)

 

Beberapa cara dalam melakukan serangan, antara lain:

  • Sniffing
  • Spoofing
  • Man-in-the-middle
  • Menebak password

Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman tersebut berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi perusahaan. Dan pada kenyataannya, ancaman dapat terjadi dari internal, eksternal perusahaan serta terjadi secara sengaja atau tidak sengaja Berdasarkan hasil survey menemukan 49% kejadian yang membahayakan keamanan informasi dilakukan pengguna yang sah dan diperkirakan 81 %

kejahatan komputer dilakukan oleh pegawai perusahaan. Hal ini dikarenakan ancaman dari intern perusahaan memiliki bahaya yang lebih serius dibandingkan yang berasal dari luar perusahaan dan untuk kontrol mengatasinya/ menghadapi ancaman internal dimaksudkan dengan memprediksi gangguan keamanan yang mungkin terjadi. Sementara untuk kontrol ancaman yang besumber dari eksternal perusahaan baru muncul/ mulai bekerja jika serangan terhadap keamanan terdeteksi. Namum demikian tidak semuanya ancaman berasal dari perbuatan yang disengaja, kebanyakan diantaranya karena ketidaksengajaan atau kebetulan, baik yang berasal dari orang di dalam maupun luar perusahaan.

Timbulnya ancaman sistem informasi juga dimungkinkan oleh kemungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :

  1. Ancaman Alam
  2. Ancaman Manusia
  3. Ancaman Lingkungan

 

Aspek ancaman keamanan komputer atau keamanan sistem informasi

Interruption

Informasi dan data yang ada dalam sistem komputer dirusak dan dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.

Interception

Informasi yang ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer dimana informasi tersebut disimpan.

Modifikasi

orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut.

Fabrication

orang yang tidak berhak berhasil meniru suatu informasi yang ada sehingga orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.

 

RESIKO

Dengan mengetahui ancaman dan kelemahan pada sistem informasi terdapat beberapa kriteria yang perlu diperhatikan dalam masalah keamanan sistem informasi yang dikenal dengan 10 domain, yaitu :

  1.  Akses kontrol sistem yang digunakan
  2. Telekomunikasi dan jaringan yang dipakai
  3. Manajemen praktis yang di pakai
  4. Pengembangan sistem aplikasi yang digunakan
  5. Cryptographs yang diterapkan
  6. Arsitektur dari sistem informasi yang diterapkan
  7. Pengoperasian yang ada
  8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
  9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
  10. Tata letak fisik dari sistem yang ada

 

Kesepuluh domain tersebut dimaksudkan sebagai antisipasi resiko keamanan informasi yaitu hasil yang tidak diinginkan akibat terjadinya ancaman dan gangguan terhadap keamanan informasi. Semua risiko mewakili aktivitasaktivitas yang tidak sah atau di luar dari yang diperbolehkan perusahaan.

 

Macam-macam resiko tersebut dapat berupa:

Pengungkapan dan pencurian

Ketika database dan perpustakaan perangkat lunak dapat diakses oleh orang yang tidak berhak.

Penggunaan secara tidak sah

Terjadi ketika sumber daya perusahaan dapat digunakan oleh orang yang tidak berhak menggunakannya, biasa disebut hacker.

Pengrusakan secara tidak sah dan penolakan pelayanan

Penjahat komputer dapat masuk ke dalam jaringan komputer dari komputer yang berada jauh dari lokasi dan menyebabkan kerusakan fisik, seperti kerusakan pada layar monitor, kerusakan pada disket, kemacetan pada printer, dan tidak berfungsinya keyboard.

Modifikasi secara tidak sah

Perubahan dapat dibuat pada data-data perusahaan, informasi, dan perangkat lunak. Beberapa perubahan tidak dapat dikenali sehingga menyebabkan pengguna yang ada di output system menerima informasi yang salah dan membuat keputusan yang salah. Tipe modifikasi yang paling dikhawatirkan

adalah modifikasi disebabkan oleh perangkat lunak yang menyebabkan kerusakan, biasanya dikelompokkan sebagai virus.

 

Sumber :

KEAMANAN SISTEM INFORMASI

Print Friendly, PDF & Email