Keamanan

Martin Suhartana

1. Keamanan Sistem2. Pendahuluan3. Manusia dan Etika 4. Kebijaksanaan Pengamanan5. Keamanan Fisik 6. Keamanan Perangkat Lunak 7. Keamanan Jaringan8. Kriptografi9. Operasional10. BCP/DRP11. Proses Audit.

Manusia Dan Etika

1. Passive intruder • Intruder yang hanya ingin membaca file yang

tidak boleh mereka baca. 2. Active intruder • Lebih berbahaya dari passive intruder.

Mereka ingin membuat perubahan yang tidak diijinkan (unauthorized) pada data.

Manusia Dan Etika (cont.)1. Keingintahuan seseorang tentang hal-hal pribadi orang lain. Banyak orang mempunyai PC yang terhubung ke suatu jaringan dan beberapa orang dalam jaringan tersebut akan dapat membaca e-mail dan file-file orang lain jika tidak ada 'penghalang’ yang ditempatkan. Sebagai contoh, sebagian besar sistem UNIX mempunyai default bahwa semua file yang baru diciptakan dapat dibaca oleh orang lain. 2. Penyusupan oleh orang-orang dalam Pelajar, system programmer, operator, dan teknisi menganggap bahwa mematahkan sistem keamanan komputer lokal adalah suatu tantangan. Mereka biasanya sangat ahli dan bersedia mengorbankan banyak waktu untuk usaha tersebut. 3. Keinginan untuk mendapatkan uang. Beberapa programmer bank mencoba mencuri uang dari bank tempat mereka bekerja dengan cara-cara seperti mengubah software untuk memotong bunga daripada membulatkannya, menyimpan uang kecil untuk mereka sendiri, menarik uang dari account yang sudah tidak digunakan selama bertahun-tahun, untuk memeras ("Bayar saya, atau saya aka menghancurkan semua record bank anda").4. Espionase komersial atau militer. Espionase adalah usaha serius yang diberi dana besar oleh saingan atau negara lain untuk mencuri program, rahasia dagang, ide-ide paten, teknologi, rencana bisnis, dan sebagainya. Seringkali usaha ini melibatkan wiretaping atau antena yang diarahkan pada suatu komputeruntuk menangkap radiasi elektromagnetisnya.

Kebijaksanaan Pengamanan (CIA)

• siapa sajakah yang memiliki akses ke sistem,• siapa sajakah yang diizinkan untuk

menginstall program ke dalam sistem, • siapa sajakah memiliki data-data tertentu,

perbaikan terhadap kerusakan yang mungkin terjadi,

• dan penggunaan yang wajar dari sistem.

Keamanan Fisik

1. Siapa saja yang memiliki akses langsung ke dalam sistem? 2. Apakah mereka memang berhak? 3. Dapatkah sistem terlindung dari maksud dan tujuan mereka? 4. Apakah hal tersebut perlu dilakukan?

Keamanan Perangkat Lunak• Contoh dari keamanan BIOS dapat dilihat pada LINUX,

dimana banyak PC BIOS mengizinkan untuk mengeset password boot.

• Namun, hal ini tidak banyak memberikan keamanan karena BIOS dapat direset, atau dihapus jika seseorang dapat masuk ke case.

• Namun, mungkin BIOS dapat sedikit berguna. Karena jika ada yang ingin menyerang sistem, untuk dapat masuk ke case dan mereset ataupun menghapus BIOS akan memerlukan waktu yang cukup lama dan akan meninggalkan bekas.

• Hal ini akan memperlambat tindakan seseorang yang mencoba menyerang sistem.

Keamanan Jaringan

• Sebagai contoh, ketika membeli suatu produk melalui internet, pengguna (user) memasukkan nomor kartu kredit ke dalam jaringan. Hal ini berbahaya karena orang lain dapat dengan mudah menyadap dan membaca data tsb pada jaringan.

• Oleh karena itu, user biasanya ingin mengenkripsi (encrypt) pesan yang mereka kirim, dengan tujuan mencegah orang-orang yang tidak diizinkan membaca pesan tersebut.

Kriptografi

• Kriptografi digunakan untuk mencegah orang yang tidak berhak untuk memasuki komunikasi,

• sehingga kerahasiaan data dapat dilindungi. Secara garis besar, kriptografi digunakan untuk mengirim dan menerima pesan.

• Kriptografi pada dasarnya berpatokan pada key yang secara selektif telah disebar pada komputer-komputer yang berada dalam satu jaringan dan digunakan untuk memproses suatu pesan.

Keamanan Operasional• Operations security• Manajemen Administratif (Administrative Management)

1. Separation of Duties (pemisahan kewajiban) 2. Least Privilege (hak akses minimum) 3. Need to Know (keingintahuan)

• Kategori utama dari kontrol keamanan operasional1. Preventative Control (kontrol pencegahan) 2. Detective Control (kontrol pendeteksian) 3. Corrective/Recovery Control (kontrol perbaikan)

• Other1. Deterrent Control : Untuk menganjurkan pemenuhan (compliance) dengan kontrol eksternal. 2. Application Control (kontrol aplikasi) :Untuk memperkecil dan mendeteksi operasi-operasi perangkat lunak yang tidak biasa. 3. Transaction Control (kontrol transaksi) : Untuk menyediakan kontrol di berbagai tahap transaksi (dari inisiasi sampai output, melalui kontrol testing dan kontrol perubahan).

BCP (Business Continuity Plan )DRP (Disaster Recovery Plan)

• Aspek yang terkandung di dalam suatu rencana bisnis yang berkesinambungan yaitu rencana pemulihan dari kemungkinan kerusakan-kerusakan yang terjadi.

• Dengan kata lain, DRP terkandung di dalam BCP. • Konsep dasar pemulihan dari kemungkinan kerusakan-

kerusakan yang terjadi yaitu harus dapat diterapkan pada semua perusahaan, baik perusahaan kecil maupun perusahaan besar.

• Hal ini tergantung dari ukuran atau jenis prosesnya, baik yang menggunakan proses manual, proses dengan menggunakan komputer, atau kombinasi dari keduanya.

Proses Audit (Step-Step)1. Implementasikan sebuah strategi audit berbasis risk

management serta control practice yang dapat disepakati semua pihak.

2. Tetapkan langkah-langkah audit yang rinci. 3. Gunakan fakta/bahan bukti yang cukup, handal, relevan,

serta bermanfaat. 4. Buatlah laporan beserta kesimpulannya berdasarkan fakta

yang dikumpulkan. 5. Telaah apakah tujuan audit tercapai. 6. Sampaikan laporan kepada pihak yang berkepentingan. 7. Pastikan bahwa organisasi mengimplementasikan risk

management serta control practice.

Ref

• Internet : Keyword= Keamanan Jaringan Sistem Operasi

• Martin Suhartana