Keamanan Sistem Informasi : Bagian 1
Sebelum memulai pembahasan mengenai cyber security kita membahas semua tentang kemanan informasi dan bagaimana cara mengatasi dan meminimalisir ancaman dan kelemahan dari sebuah sistem informasi.
Seorang IT Security perlu membangun suatu mindset suatu pola pikir bahwa tidak ada sistem yang sangat aman (Completely secure). Sampai saat ini masih banyak orang yang berfikiran dan mengklaim bahwa sistem yang mereka buat sudah sangat aman perlu di ingat selalu ada acara untuk masuk kedalam keamanan sistem tersebut.
Maka dari itu kita perlu mempelajari dan menambah wawasan kita untuk membantu membangun fondasi kemanan yang kuat yang dimana dapat meminimalisir risiko keamanan informasi.
Baca Artikel Menarik lainnya di :
https://sisfo.ittelkom-pwt.ac.id/
3 Aspek Kemanan Informasi
Tujuan dari keamanan sistem informasi yaitu mencegah dan meminimalisir, mendeteksi, dan memperbaiki kerusakan yang terjadi terhadap sistem. Pakar Ahli IT telah membuat suatu prinsip dasar keamanan informasi yaitu : Confidentiality, Integrity, and Availability (CIA). Dengan mengaplikasika Setiap Aspek didalam CIA triad sebuah organisasi dapat mengamankan Softaware, Hardware, dan komunikasinya dengan baik
.
1. Confidentiality (Kerahasiaan)
Dalam keamanan informasi konsep confidentiality (kerahasiaan) adalah upaya untuk mencegah pihak yang tidak berwewenang untuk mengakses informasi (Information Disclosure), kita ambil contoh information disclosure yang sering berada di masyarakat contohnya adalah Nomer Identitas Kependudukan (NIK), Akun Bank, Nomer kartu kredit, Password akun sosial media, dan sebagainya.
Untuk organisasi konsep Confidentiality ini dapat mencangkup berbagai data yang sudah tidak digunakan yang dapat menunjukan suatu data yang rahasia dan tidak terjaga dengan baik, dan untuk menjaga data ini tetap rahasia suatu organisasi harus berupaya agar data dan informasi hanya bisa diakses oleh orang yang berwewenang.
Kesimpulannya konsep confidentiality ini memiliki fungsi yaitu untuk melindungi informasi dari akses penyalahgunaan informasi yang tidak sah.
2. Integrity (Intergritas)
Perlu kita ketahui Integrity atau integritas adalah memastikan data yang di input atau dimasukan oleh user sama dengan apa yang dimasukan kedalam sistem database. Hal ini bertujuan agar data atau informasi tidak dapat dimanipulasi, diubah, diedit oleh pihak yang tidak memiliki wewenang misalnya, seseorang akan menghapus file penting baik itu disengaja atau tidak disengaja, maka dapat disimpulkan Integritas data tersebut telah dilanggar, dan upaya yang seharusnya dilakukan adalah menerapkan Izin (permission) yang mencegah seseorang yang tidak memiliki wewenang untuk tidak menghapus file tersebut.
3. Availability (ketersediaan)
Eitss, Sebelum dilanjut author mau ngasi tau nih ke sobat-sobat pembaca yang setia Institut Teknologi Telkom Purwokerto sedang membuka pendaftaran untuk mahasiswa baru loh tertarik untuk daftar? Yuk klik link dibawah ini.
Penerimaan Mahasiswa baru Institut Teknologi Telkom Purwokerto :
https://pmb.ittelkom-pwt.ac.id/
Konsep ketiga dalam CIA triad adalah Availability atau ketersediaan. Ketersediaan yang berarti informasi disimpan, diakses, dan dilindungi harus bisa memberikan jaminan bahwa sistem dan data dapat diakses oleh user kapanpun informasi tersebut dibutuhkan.
Ketiga aspek dasar ini harus diterapkan ketika berhadapan dengan keamanan hardware, software atau komunikasi dan harus menjadi hal yang paling penting dalam pola pikir mindset seorang administrator keamanan.
Upaya yang dapat kalian lakukan adalah dengan melakukan Pentes (Penetration Testing) yang dimana anda dapat melakukan eksploitasi dan mengidentifikasi apakah ada celah kerentanan dan bisa segera diperbaiki dari ketiga aspek itu.
Metode lain yang dapat digunakan adalah AAA (Authentication, Authorization, and Accounting)
AAA (Authentication, Authorization, and Accounting)
AAA (Authentication, Authorization, and Accounting) merupakan metode yang dimana sebuah model akses informasi yang dipisahkan menjadi tiga macam fungsi kontrol yaitu Authentication, Authorization, and Accounting yang diproses secara independen.
1. Authentication
Proses autentikasi berfungsi untuk membatasi apa saja yang diperbolehkan masuk kedalam suatu informasi misalnya ketika suatu indentitas user bisa terkonfirmasi dan disetujui oleh sistem biasanya membutuhkan identitas digital seperti username atau password, data biometrik (Sidik jari, pengenalan wajah, dll) atau autentikasi lainnya.
2. Authorization
Setelah proses autentikasi berhasil maka masuk ketahap selanjutnya yaitu otorisasi yang berfungsi untuk menentukan apakah pengguna memiliki wewenang untuk mengakses informasi tersebut sederhananya dapat dilakukan dengan beberapa cara yaitu dengan cara memberikan izin (permission), list hak akses (Access Control List) dan sebagainya.
3. Accounting
Akuntansi bertujuan untuk mengukur sumber daya yang dikonsumsi oleh pengguna selama mengakses informasi. Akuntansi dilakukan dengan melakukan pelacakan data, penggunaan komputer, dan sumber daya jaringan yang dimana sering kali disebut dengan melakukan logging, auditing, dan monitoring data.
Akuntansi sangat penting karena mencangkup berbagai bukti yang ada, sebagai IT security kita harus memberikan bukti jika terdapa seseorang yang mengakses informasi tanpa izin.
Kemanan informasi adalah tindakan atau upaya untuk melindungi data dan sistem informasi dari akses yang tidak diizinkan. Berikut adalah tipe dari ancaman yang harus diwaspadai :
1. Malicious Software
Malicious sofware yang biasanya dikenal dengan sebutan malware atau virus komputer yang biasanya berupa Worms, Trojan, Spyware, Adware, Ransomware. Virus virus komputer seperti ini biasanya terdapat pada software bajakan yang memungkinkan peretas menanamkan virus komputer pada software bajakan tersebut.
2. Unauthorized Access
Unauthorized Access adalah upaya peretas mengakses komputer dan data tanpa izin dan mengambil data tanpa izin dengan cara menyadap perangkat atau metode lain yang dapat mengganggu sistem atau komputer.
3. Social Engineering
Metode ini sangat populer belakangan ini Social engineering merupakan metode manipulasi terhadap pengguna. Seorang pelaku social engineering melakukan penyerangan secara langsung ke pengguna baik melalui email, sms, whatsapp, sehingga pengguna memberikan informasi rahasia baik secara sengaja atau tidak disengaja.
Untuk mencegah hal ini terjadi seorang administrator keamanan harus membuat rancangan keamanan proaktif. Seorang IT Profesional biasanya membagi rancangan menjadi 3 kategori yaitu :
· Physical : Dapat berupa Hardware seperti Kamera CCTV, ID Card, Alarm, Finger Print, dan sebagainya.
· Technical : Menambahkan akses kontrol dapat berupa Access control list, Encryption, dan autentikasi jaringan.
· Administrative : Dengan membuat aturan dan prosedur tentang akses biasanya diberikan pada training security awareness. Selain itu juga harus merencanakan segala kemungkinan yang bisa terjadi dan memerlukan proses recovery data (Disaster recovery plans (DRP)).
4. User Awareness
Dapat dilakukan dengan cara melakukan training kepada pegawai tentang pentingnya keamanan data dan membuat kebijakan yang sesuai dengan aturan yang bersangkutan dengan keamanan informasi, mengelola email. Password yang baik dan sebagainya. Hal ini bertujuan karena semakin bijak pengguna semakin kecil pula kemungkinan pelanggaran keamanan terjadi.
5. Anti-Malware Software
Anti malware dapat berupa antivirus dan anti spyware yang berfungsi untuk melindungi komputer dari program yang tidak diinginkan.
6. Backup Data
Backup data sangat penting biasanya digunakan untuk mengembalikan data apabila terdapat kesalahan data yang rusak. Backup Data dapat dilakukan dengan memanfaatkan software untuk backup ataupun dengan memanfaatkan RAID pada disk yang digunakan jika mendukung.
7. Encryption
Enkripsi data dapat digunakan untuk menyembunyikan informasi menggunakan algoritma (Chiper) sehingga tidak dapat dibaca langsung oleh pengguna. Pengguna harus melakukan Decrypt terlebih dahulu jika ingin membuka informasi yang di Encrypt. Contoh penggunaan Enkripsi seperti pada jaringan wireless dapat menggunakan Advanced Encryption Standard (AES), komunikasi web dienkripsi menggunakan protokol HTTPS.
8. Data Removal
Penghapusan data total bukan hanya sekedar menghapus file atau memformat media penyimpanan. Masalah yang akan terjadi jika hanya sekedar menghapus file adalah terdapat sisa jejak data sehingga media tersebut masih dapat di kembalikan lagi dengan tools tertentu. Tools yang bisa digunakan adalah Recuva. Oleh karena itu penghancuran media penyimpanan perlu dilakukan untuk mencegah kebocoran data.
Tertarik belajar Cyber Security Lebih lanjut?
Yuk! Gabung jadi mahasiswa di Institut Teknologi Telkom Purwokerto. Kepoin yuk ada apa aja sih di Telkom purwokerto :
See you di pembahasan bagian 2
Posting Komentar