1.
Compliance to Government Laws and
Regulations
Dalam rangka menimbulkan
kesadaraan akan pentingnya keamanan informasi, di samping upaya-upaya seperti
pendidikan, pelatihan, dan sosialisasi yang bersifat sos iologis, pendekatan
normatif atau legal formal harus juga ditempuh. Pendekatan normatif yang
diwujudkan dalam
pengaturan hukum terhadap keamanan informasi diperlukan untuk memberikan rasa kepastian hukum dalam hal keamanan informasi bagi masyarakat. Sebagaimana sifat hakikat pendekatan normatif sosiologis yang bertujuan merekayasa perilaku masyarakat melalui norma hukum, tujuan utama dari pengaturan hukum terhadap keamanan informasi ini adalah mendorong dan membiasakan masyarakat untuk bertindak dan berperilaku sebagaimana yang dikehendaki dalam peraturan hukum. ' Pendekatan ini sejauh mengenai penerapannya di Indonesia terbilang cukup efektif untuk membentuk suatu perilaku sosial tertentu dalam kaitannya dengan penerapan teknologi, metode. atau gagasan baru terutama bila didukung dengan penegakan hukum yang konsisten dan konsekuen. Banyak perusahaan
menerapkan standar-standar pengamanan informasi tidak karena kesadaran
tetapi lebih karena adanya regulasi yang mengharuskan hal lersebut
dilakukan. Banyak negara sudah lama memberlakukan peraturan hukum ditin gkat legislasi di bidang informasi elektronik yang lazim di kenai sebagai cyber law, karena kaitannya yang sangat erat dengan perkembangan penerapan teknologi Internet. Produk legis las i ini biasanya mengatur hal-hal umum yang berkaitan dengan keamanan informasi termasuk kejahatan yang terkait dengan komputer dan Internet. Disamping cyber law yang berlaku umum, banyak juga diterapkan regulasi yang bersifat sektoral dalam bidang-bidang tertentu. Di Amerika Serikat, salah satu regulasi sektoral yang mengatur tentang keamanan infonnasi misalnya Health Insurance Portability and Accountability Act ya ng sering disingkat HIPAA. HIPAA terutama bertujuan untuk mendorong pelaku bisnis asuransi meningkatkan layanan asuransi kesehatan darisegi efisiensi, sekaligus menjaga keamanan dan
kerahasiaan data pribadi peserta asuransi kesehatan. Undang- undang ini mengharuskan semua pihak yang terlibat dalam pengelolaan data asuransi kesehatan menerapkan standar-standar keamanan informasi teltentu. (Moctar Kusumaatmadja. "Konsep-konscp Hukum dalam Pembangunan". (Bandung: Pusat Studi Wawasan Nusantara, Hukum. dan Pembangunan & Penerbit Alumni. 2002). Hal v-vi.)
pengaturan hukum terhadap keamanan informasi diperlukan untuk memberikan rasa kepastian hukum dalam hal keamanan informasi bagi masyarakat. Sebagaimana sifat hakikat pendekatan normatif sosiologis yang bertujuan merekayasa perilaku masyarakat melalui norma hukum, tujuan utama dari pengaturan hukum terhadap keamanan informasi ini adalah mendorong dan membiasakan masyarakat untuk bertindak dan berperilaku sebagaimana yang dikehendaki dalam peraturan hukum. ' Pendekatan ini sejauh mengenai penerapannya di Indonesia terbilang cukup efektif untuk membentuk suatu perilaku sosial tertentu dalam kaitannya dengan penerapan teknologi, metode. atau gagasan baru terutama bila didukung dengan penegakan hukum yang konsisten dan konsekuen. Banyak perusahaan
menerapkan standar-standar pengamanan informasi tidak karena kesadaran
tetapi lebih karena adanya regulasi yang mengharuskan hal lersebut
dilakukan. Banyak negara sudah lama memberlakukan peraturan hukum ditin gkat legislasi di bidang informasi elektronik yang lazim di kenai sebagai cyber law, karena kaitannya yang sangat erat dengan perkembangan penerapan teknologi Internet. Produk legis las i ini biasanya mengatur hal-hal umum yang berkaitan dengan keamanan informasi termasuk kejahatan yang terkait dengan komputer dan Internet. Disamping cyber law yang berlaku umum, banyak juga diterapkan regulasi yang bersifat sektoral dalam bidang-bidang tertentu. Di Amerika Serikat, salah satu regulasi sektoral yang mengatur tentang keamanan infonnasi misalnya Health Insurance Portability and Accountability Act ya ng sering disingkat HIPAA. HIPAA terutama bertujuan untuk mendorong pelaku bisnis asuransi meningkatkan layanan asuransi kesehatan darisegi efisiensi, sekaligus menjaga keamanan dan
kerahasiaan data pribadi peserta asuransi kesehatan. Undang- undang ini mengharuskan semua pihak yang terlibat dalam pengelolaan data asuransi kesehatan menerapkan standar-standar keamanan informasi teltentu. (Moctar Kusumaatmadja. "Konsep-konscp Hukum dalam Pembangunan". (Bandung: Pusat Studi Wawasan Nusantara, Hukum. dan Pembangunan & Penerbit Alumni. 2002). Hal v-vi.)
2. Increased number of network-based
applications
Banyak aplikasi berbasis
jaringan semakin lama semakin meningkat, hal ini karena memanfaat kan sebuah
jaringan sebagai mempermudah pekerjaan sehari-hari. Tetapi diluar itu aplikasi
yang menerapkan berbasis jaringan tidak luput dengan kejahatan. Untuk menangani
hal itu yang perlu dilakukan antara lain :
1)
Membatasi
Akses ke Jaringan
A.
Membuat
tingkatan akses :
Pembatasan-pembatasan
dapat dilakukan sehingga memperkecil peluang penembusan oleh pemakai yang tak
diotorisasi, misalnya :
• Pembatasan
login. Login hanya diperbolehkan :
• Pada terminal tertentu.
• Hanya ada waktu dan hari tertentu.
• Pembatasan
dengan call-back (Login dapat dilakukan siapapun. Bila telah sukses login,
sistem segera memutuskan koneksi dan memanggil nomor telepon yang telah
disepakati, Penyusup tidak dapat menghubungi lewat sembarang saluran telepon,
tapi hanya pada saluran telepon tertentu).
• Pembatasan
jumlah usaha login.
• Login
dibatasi sampai tiga kali dan segera dikunci dan diberitahu ke administrator. •
Semua login direkam dan sistem operasi melaporkan informasi-informasi berikut :
Ø
Waktu, yaitu waktu pemakai login.
Ø
Terminal, yaitu terminal dimana pemakai login.
• Tingkat
akses yang diizinkan ( read / write / execute / all )
B.
Mekanisme
kendali akses :
Masalah identifikasi pemakai ketika login disebut
otentifikasi pemakai (user authentication). Kebanyakan metode otentifikasi didasarkan
pada tiga cara, yaitu :
1)
Sesuatu yang diketahui pemakai, misalnya :
• Password.
• Kombinasi kunci.
• Nama kecil ibu mertua.
• Dan sebagainya.
2)
Sesuatu yang dimiliki pemakai, misalnya :
• Badge.
• Kartu identitas.
• Kunci.
• Dan sebagainya.
3)
Sesuatu mengenai (ciri) pemakai, misalnya :
• Sidik jari.
• Sidik suara.
• Foto.
• Tanda tangan
C.
Waspada
terhadap Rekayasa sosial :
1.
Mengaku sebagi eksekutif yang tidak berhasil mengakses, menghubungi
administrator via telepon/fax.
2.
Mengaku sebagai administrator yang perlu mendiagnosa masalah network,
menghubungi end user via email/fax/surat.
3.
Mengaku sebagai petugas keamanan e-commerce, menghubungi customer yang telah
bertransaksi untuk mengulang kembali transaksinya di form yang disediakan
olehnya.
4.
pencurian surat, password.
5.
penyuapan, kekerasan
D.
Membedakan
Sumber daya internal dan Eksternal :
Memanfaatkan teknologi firewall yang
memisahkan network internal dengan network eksternal dengan rule tertentu.
E.
Sistem
Otentikasi User :
Def : adalah proses penentuan identitas
dari seseorang yang sebenarnya, hal ini diperlukan untuk menjaga keutuhan (
integrity ) dan keamanan ( security ) data, pada proses ini seseorang harus
dibuktikan siapa dirinya sebelum menggunakan layanan akses.
2) Melindungi Aset Organisasi
A.Secara
Adminsistratif / fisik
• Rencana kemungkinan terhadap bencana
• Program penyaringan calon pegawai system informasi
• Program pelatihan user
•
Kebijakan akses network
B. Secara Teknis
·
Penerapan Firewall
Firewall merupakan fokus dari segala keputusan sekuritas. Hal ini
disebabkan karena
Firewall merupakan satu titik tempat keluar masuknya trafik internet pada suatu jaringan. Firewall dapat menerapkan suatu kebijaksanaan sekuritas. Banyak sekali service-service
yang digunakan di Internet. Tidak semua service tersebut aman digunakan, oleh
karenanya Firewall dapat berfungsi sebagai penjaga untuk mengawasi service-service
mana yang dapat digunakan untuk menuju dan meninggalkan suatu network.
Firewall merupakan satu titik tempat keluar masuknya trafik internet pada suatu jaringan. Firewall dapat menerapkan suatu kebijaksanaan sekuritas. Banyak sekali service-service
yang digunakan di Internet. Tidak semua service tersebut aman digunakan, oleh
karenanya Firewall dapat berfungsi sebagai penjaga untuk mengawasi service-service
mana yang dapat digunakan untuk menuju dan meninggalkan suatu network.
Firewall dapat mencatat segala aktivitas yang berkaitan dengan
alur data secara efisien.
Semua trafik yang melalui Firewall dapat diamati dan dicatat segala aktivitas yang
berkenaan dengan alur data tersebut. Dengan demikian Network Administrator dapat
segera mengetahui jika terdapat aktivitas-aktivitas yang berusaha untuk menyerang
internal network mereka.
Semua trafik yang melalui Firewall dapat diamati dan dicatat segala aktivitas yang
berkenaan dengan alur data tersebut. Dengan demikian Network Administrator dapat
segera mengetahui jika terdapat aktivitas-aktivitas yang berusaha untuk menyerang
internal network mereka.
·
Penerapan Virtual Privat Network (VPN)
Virtual Private Network atau Jaringan Pribadi Maya sesungguhnya
sama dengan Jaringan
Pribadi (Private Network/PN) pada umumnya, di mana satu jaringan komputer suatu lembaga atau perusahaan di suatu daerah atau negara terhubung dengan jaringan komputer dari satu
grup perusahaan yang sama di daerah atau negara lain. Perbedaannya hanyalah pada media penghubung antar jaringan. Kalau pada PN, media penghubungnya masih merupakan milik perusahaan/grup itu sendiri, dalam VPN, media penghubungnya adalah jaringan publik seperti Internet.
Pribadi (Private Network/PN) pada umumnya, di mana satu jaringan komputer suatu lembaga atau perusahaan di suatu daerah atau negara terhubung dengan jaringan komputer dari satu
grup perusahaan yang sama di daerah atau negara lain. Perbedaannya hanyalah pada media penghubung antar jaringan. Kalau pada PN, media penghubungnya masih merupakan milik perusahaan/grup itu sendiri, dalam VPN, media penghubungnya adalah jaringan publik seperti Internet.
3) Mengamankan saluran terbuka
Protokol TCP/IP merupakan protocol dalam
set standar yang terbuka dalam pengiriman data,
untuk itulah perlu dilakukan enkripsi dalam rangka penanganan keamanan data yang
diterapkan pada protocol tersebut, yang meliputi :
untuk itulah perlu dilakukan enkripsi dalam rangka penanganan keamanan data yang
diterapkan pada protocol tersebut, yang meliputi :
A.
Keamanan Pada lapisan Aplikasi
• SET (Secure Electronics
Transaction)
o Menentukan bagaimana transaksi mengalir antara pemakai,
pedagang dan
bank.
o Menentukan fungsi keamanan : digital signature, hash dan enkripsi.
o Produk dari Mastercard dan VISA International.
bank.
o Menentukan fungsi keamanan : digital signature, hash dan enkripsi.
o Produk dari Mastercard dan VISA International.
• Secure HTTP
o Produk dari workgroup IETF, diimplementasikan pada webserver mulai
1995.
o Menentukan mekanisme kriptografi standar untuk mengenkripsikan
pengiriman data http
o Produk dari workgroup IETF, diimplementasikan pada webserver mulai
1995.
o Menentukan mekanisme kriptografi standar untuk mengenkripsikan
pengiriman data http
• Pretty Good Privacy (PGP)
o Standarisasi RFC 1991
o Membuat dan memastikan digital signature, mengenkripsi – deskripsi dan
mengkompresi data.
o Membuat dan memastikan digital signature, mengenkripsi – deskripsi dan
mengkompresi data.
• Secure MIME (S/MIME)
o Standarisasi RFC 1521
o MIME (Multipurpose Internet Mail Extension)
o Menentukan cara menempelkan file untuk dikirim ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan sertfikat digitalnya.
o Standarisasi RFC 1521
o MIME (Multipurpose Internet Mail Extension)
o Menentukan cara menempelkan file untuk dikirim ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan sertfikat digitalnya.
• Cybercash
o Standarisasi RFC 1898
o Memproses kartu kredit di internet dengan mengenkripsi dan menandatangani transaksi secara digital.
o Standarisasi RFC 1898
o Memproses kartu kredit di internet dengan mengenkripsi dan menandatangani transaksi secara digital.
B.
Keamanan dalam Lapisan Transport
• SSL (Secure Socket Layer)
o Produk Netscape
o Protocol yang menegoisasikan hubungan yang aman antara client dan server,
dengan menggunakan kunci enkripsi 40-bit.
• SSL (Secure Socket Layer)
o Produk Netscape
o Protocol yang menegoisasikan hubungan yang aman antara client dan server,
dengan menggunakan kunci enkripsi 40-bit.
C.
Keamanan dalam Lapisan Network
• IP security Protocol : melindungi protocol client IP pada network layer.
• IP Authentication header
• IP Encapsulating Security protocol
• IP Authentication header
• IP Encapsulating Security protocol
• Simple-key management for
Internet protocol (SKIP)
• Internet security Association and key management protocol (ISAKMP)
• Internet key management protocol (IKMP)
• Internet security Association and key management protocol (ISAKMP)
• Internet key management protocol (IKMP)
3.
Direct
impact of security breach on corporate asset base and goodwill
Ancaman
pelanggaran keamanan TI adalah ketakutan terus-menerus di lingkungan TI saat
ini. Pelanggaran keamanan publik baru-baru ini telah menyoroti tidak hanya
kerentanan sebagian besar organisasi, tetapi juga kerusakan parah yang dapat
mereka timbulkan.
Pelanggaran
Wikileaks sudah sangat dikenal. Dalam hal ini, seorang pengguna yang memiliki
akses yang sah ke sejumlah besar dokumen militer yang sensitif memberikannya
kepada seseorang yang mempostingnya di situs Wikileaks. Keterbatasan akan
menyarankan bahwa orang ini seharusnya tidak memiliki akses ke begitu banyak
dokumen sensitif, tetapi pada saat itu terjadi, ini hanya pelanggaran kebijakan
penggunaan informasi, bukan kebijakan akses. Kasus ini menggambarkan dua
masalah yang jelas: kurangnya tata kelola akses pengguna yang memadai, dan
tidak ada kontrol atas penggunaan data. Kasus ini masih berlangsung, tetapi
kerusakan politik sudah signifikan.
Post A Comment:
0 comments so far,add yours