Prinsip dasar keamanan computer
Prinsip dasar keamanan computer
Dia memaparkan tiga prinsip keamanan jaringan yang
utama, yaitu kerahasiaan (confidentiality), keutuhan (integrity), dan
ketersediaan (availability).
Contoh Keamanan Komputer
Biasanya ditempatkan di antara internal pribadi
organisasi jaringan dan jaringan eksternal
yang tidak dipercaya, seperti Internet, meskipun firewall juga dapat digunakan
untuk melindungi satu bagian dari jaringan perusahaan dari
sisa jaringan.
Keamanan Komputer Sangat Penting dan
Populer??
•
Aplikasi bisnis berbasis TI dan jaringan komputer meningkat seperti online
banking, e-commerce bahkan e-bisnis,dan EDI.
•
Desentralisasi dan distributed server, sehingga menjadi banyaknya sistem yang
harus ditangani.
•
Transisi dari single vendor ke multi vendor yang biasanya akan memunculkan
interoperability antar vendor.
• Meningkatnya kemampuan pemakai (user) dari
yang memiliki skill khusus sampai yang suka coba-coba J.
•
Mudahnya diperoleh tools untuk menyerang jaringan komputer, seperti; Metasploit,Wireshark,
SATAN, Cain&Abel, NMAP, Backtrack dst.
•
Semakin kompleksnya sistem komputer, seperti; besarnya source code yang
mengakibatkan besarnya probabilitas security hole, seperti error, bugs dll.
• Sulitnya penegak hukum dan belum adanya
ketentuan aturan yang cukup jelas.
•
Kebutuhan akan koneksi internet yg semakin besar, misal SI berbasis web, dsb.
Keamanan Pada Manajemen Perusahaan
•
Perusahaan umumnya mementingkan “reducing cost” dan “improving competitiveness”
meskipun perbaikan sistem informasi setelah dirusak justru dapat menelan biaya
yang lebih banyak
•
Keamanan komputer harus direncanakan. Contoh; jika membangun sebuah rumah, maka
pintu rumah harus dilengkapi dengan kunci pintu, jika terlupa memasukkan kunci
pintu pada budget perencanaan rumah, maka pemilik akan dikagetkan bahwa
ternyata harus keluar dana untuk menjaga keamanan., seperti; firewall,
Intrusion Detection System, anti virus, Dissaster Recovery Center, dan
seterusnya.
•
Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur
dengan uang (intangible), keamanan sebuah sistem informasi sebetulnya dapat
diukur dengan besaran yang dapat diukur dengan uang (tangible). Dengan adanya
ukuran yang terlihat, diharapkan pihak management dapat mengerti pentingnya
investasi di bidang keamanan.
Beberapa Ilustrasi Jika Sistem Keamanan
Crash
•
Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1 jam,
selama 1 hari, 1 minggu, dan 1 bulan. (Sebagai perbandingkan, bayangkan jika
server Amazon.com atau bhinneka.com tidak dapat diakses selama beberapa hari.
Setiap harinya dia dapat menderita kerugian beberapa juta dolar)
• Hitung kerugian apabila ada kesalahan
informasi (data) pada sistem informasi anda. Misalnya website anda mengumumkan
harga sebuah barang yang berbeda dengan harga yang ada di toko anda.
•
Hitung kerugian apabila ada data yang hilang, misalnya berapa kerugian yang
diderita apabila daftar pelanggan dan invoice hilang dari sistem anda. Berapa
biaya yang dibutuhkan untuk rekonstruksi data.?
• Apakah nama baik perusahaan anda merupakan
sebuah hal yang harus dilindungi? Bayangkan bila sebuah bank terkenal dengan
rentannya pengamanan data-datanya, bolak-balik terjadi security incidents.
Tentunya banyak nasabah yang pindah ke bank lain karena takut akan keamanan
uangnya.
Risk Contribution
• Pengelolaan terhadap keamanan komputer dapat
dilihat dari sisi pengelolaan resiko(risk management).
• Lawrie Brown dalam bukunya, menyarankan
menggunakan “Risk Management Model” untuk menghadapi ancaman (managing
threats).
•
Ada tiga komponen yang memberikan kontribusi kepada Risk, yaitu Asset,
Vulnerabilities, dan Threats.
Konstribusi
Terhadap Risk
GAMBAR
Cara
Menanggulangi Resiko (Risk)
• Untuk menanggulangi resiko (Risk) tersebut
dilakukan apa yang disebut “countermeasures” yang dapat berupa: – usaha untuk
mengurangi Threat – usaha untuk mengurangi Vulnerability – usaha untuk
mengurangi impak (impact) – mendeteksi kejadian yang tidak bersahabat (hostile
event) – kembali (recover) dari kejadian.
Aspek Dasar Keamanan Komputer
1. Privacy
/Confidentiality
2. Integrity
3. Availability
4. Authenthication
5. Acces Control
6. Non-Repudiation
1.
Privacy /Confidentiality
•
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi
dari orang yang tidak berhak mengakses.
•
Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality
biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan
tertentu dan hanya diperbolehkan untuk keperluan tertentu tersebut.
• Contoh; hal yang berhubungan dengan privacy
adalah e-mail seorang pemakai (user) tidak boleh dibaca oleh administrator.
• Contoh; confidential information adalah
data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social
security number, agama, status perkawinan, penyakit yang pernah diderita, nomor
kartu kredit, dan sebagainya) merupakan data yang ingin diproteksi penggunaan
dan penyebarannya.
2.
Integrity
•
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik
informasi.
• Adanya virus, trojan horse, atau pemakai
lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus
dihadapi.
•
Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya
(modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain,
integritas dari informasi sudah tidak terjaga.
• Penggunaan enkripsi dan digital signature,
dimungkinkan dapat mengatasi masalah ini.
3.
Availability
•
Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi
ketika dibutuhkan.
• Sistem informasi yang diserang atau dijebol
dapat menghambat atau meniadakan akses ke informasi.
•
Contoh hambatan adalah serangan yang sering disebut dengan “denial of service
attack” (DoS attack), dimana server dikirimi permintaan (biasanya palsu) diluar
perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai
down, hang, crash.
• Contoh lain adalah adanya mailbomb, dimana
seorang pemakai dikirimi e-mail ukuran yang besar sehingga sang pemakai tidak
dapat membuka e-mailnya. Bayangkan apabila anda dikirimi 5000 email dan anda
harus mengambil (download) email tersebut melalui telepon dari rumah.
4.
Authenthication
•
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi
betul-betul asli, orang yang mengakses atau memberikan informasi adalah
betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul
server yang asli.
•
Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan teknologi
watermarking dan digital signature.
•
Watermarking juga dapat digunakan untuk menjaga “intelectual property”, yaitu
dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat.
5.
Acces Control
•
Aspek ini berhubungan dengan cara pengaturan akses kepada informasi.
•
Hal ini biasanya berhubungan dengan klasifikasi data (public, private,
confidential, top secret) & user (guest, admin, top manager, dsb.).
•
Access control seringkali dilakukan dengan menggunakan kombinasi
userid/password atau dengan menggunakan mekanisme lain (seperti kartu,
biometrics).
6.
Non-Repudiation
•
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah
transaksi.
• Sebagai contoh, seseorang yang mengirimkan
email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan
email tersebut.
• Aspek ini sangat penting dalam hal
electronic commerce. Penggunaan digital signature, certicates, dan teknologi
kriptografi secara umum dapat menjaga aspek ini.
Kesimpulan
•
Ada banyak aspek yang terkait dengan perkembangan jaringan komputer dan
internet, yang mengakibatkan aspek keamanan komputer menjadi sangat penting dan
terus diminati dan dikembangkan. • Pada konteks perusahaan aspek keamanan masih
belum menjadi perioritas utama, karna masalah biaya,,,tetapi beberapa tahun
belakangan paradigmanya sudah mulai berubah. • Pentingnya pengelolaan Risk
Management Model. • Keenam properties pada aspek keamanan komputer telah
menjadi pondasi dasar untuk membangun atau mengelola sistem komputer yang aman
(secure)
https://id.wikipedia.org/wiki/Keamanan_komputer
https://www.republika.co.id/berita/qudwl4328/prinsip-keamanan-jaringan-tak-diterapkan-di-indonesia
Komentar
Posting Komentar