1.      Compliance to Government Laws and Regulations
Dalam rangka menimbulkan kesadaraan akan pentingnya keamanan informasi, di samping upaya-upaya seperti pendidikan, pelatihan, dan sosialisasi yang bersifat sos iologis, pendekatan normatif atau legal formal harus juga ditempuh. Pendekatan normatif yang diwujudkan dalam
pengaturan hukum terhadap keamanan informasi diperlukan untuk memberikan rasa kepastian hukum dalam hal keamanan informasi bagi masyarakat. Sebagaimana sifat hakikat pendekatan normatif sosiologis yang bertujuan merekayasa perilaku masyarakat melalui norma hukum, tujuan utama dari pengaturan hukum terhadap keamanan informasi ini adalah mendorong dan membiasakan masyarakat untuk bertindak dan berperilaku sebagaimana yang dikehendaki dalam peraturan hukum. ' Pendekatan ini sejauh mengenai penerapannya di Indonesia terbilang cukup efektif untuk membentuk suatu perilaku sosial tertentu dalam kaitannya dengan penerapan teknologi, metode. atau gagasan baru terutama bila didukung dengan penegakan hukum yang konsisten dan konsekuen. Banyak perusahaan
menerapkan standar-standar pengamanan informasi tidak karena kesadaran
tetapi lebih karena adanya regulasi yang mengharuskan hal lersebut
dilakukan. Banyak negara sudah lama memberlakukan peraturan hukum ditin gkat legislasi di bidang informasi elektronik yang lazim di kenai sebagai cyber law, karena kaitannya yang sangat erat dengan perkembangan penerapan teknologi Internet. Produk legis las i ini biasanya mengatur hal-hal umum yang berkaitan dengan keamanan informasi termasuk kejahatan yang terkait dengan komputer dan Internet. Disamping cyber law yang berlaku umum, banyak juga diterapkan regulasi yang bersifat sektoral dalam bidang-bidang tertentu. Di Amerika Serikat, salah satu regulasi sektoral yang mengatur tentang keamanan infonnasi misalnya Health Insurance Portability and Accountability Act ya ng sering disingkat HIPAA. HIPAA terutama bertujuan untuk mendorong pelaku bisnis asuransi meningkatkan layanan asuransi kesehatan darisegi efisiensi, sekaligus menjaga keamanan dan
kerahasiaan data pribadi peserta asuransi kesehatan. Undang- undang ini mengharuskan semua pihak yang terlibat dalam pengelolaan data asuransi kesehatan menerapkan standar-standar keamanan informasi teltentu. (Moctar Kusumaatmadja. "Konsep-konscp Hukum dalam Pembangunan".  (Bandung: Pusat Studi Wawasan Nusantara, Hukum. dan Pembangunan & Penerbit Alumni. 2002). Hal  v-vi.)




2.      Increased number of network-based applications
Banyak aplikasi berbasis jaringan semakin lama semakin meningkat, hal ini karena memanfaat kan sebuah jaringan sebagai mempermudah pekerjaan sehari-hari. Tetapi diluar itu aplikasi yang menerapkan berbasis jaringan tidak luput dengan kejahatan. Untuk menangani hal itu yang perlu dilakukan antara lain :
1)      Membatasi Akses ke Jaringan

A.      Membuat tingkatan akses :
Pembatasan-pembatasan dapat dilakukan sehingga memperkecil peluang penembusan oleh pemakai yang tak diotorisasi, misalnya :
• Pembatasan login. Login hanya diperbolehkan :
• Pada terminal tertentu.
• Hanya ada waktu dan hari tertentu.
• Pembatasan dengan call-back (Login dapat dilakukan siapapun. Bila telah sukses login, sistem segera memutuskan koneksi dan memanggil nomor telepon yang telah disepakati, Penyusup tidak dapat menghubungi lewat sembarang saluran telepon, tapi hanya pada saluran telepon tertentu).
• Pembatasan jumlah usaha login.
• Login dibatasi sampai tiga kali dan segera dikunci dan diberitahu ke administrator. • Semua login direkam dan sistem operasi melaporkan informasi-informasi berikut :
Ø  Waktu, yaitu waktu pemakai login.
Ø  Terminal, yaitu terminal dimana pemakai login.
• Tingkat akses yang diizinkan ( read / write / execute / all )

B.      Mekanisme kendali akses :
Masalah identifikasi pemakai ketika login disebut otentifikasi pemakai (user authentication). Kebanyakan metode otentifikasi didasarkan pada tiga cara, yaitu :
1)      Sesuatu yang diketahui pemakai, misalnya :
• Password.
• Kombinasi kunci.
• Nama kecil ibu mertua.
• Dan sebagainya.



2)      Sesuatu yang dimiliki pemakai, misalnya :
• Badge.
• Kartu identitas.
• Kunci.
• Dan sebagainya.

3)      Sesuatu mengenai (ciri) pemakai, misalnya :
• Sidik jari.
• Sidik suara.
• Foto.
• Tanda tangan

C.      Waspada terhadap Rekayasa sosial :
1. Mengaku sebagi eksekutif yang tidak berhasil mengakses, menghubungi administrator via telepon/fax.
2. Mengaku sebagai administrator yang perlu mendiagnosa masalah network, menghubungi end user via email/fax/surat.
3. Mengaku sebagai petugas keamanan e-commerce, menghubungi customer yang telah bertransaksi untuk mengulang kembali transaksinya di form yang disediakan olehnya.
4. pencurian surat, password.
5. penyuapan, kekerasan

D.    Membedakan Sumber daya internal dan Eksternal :
Memanfaatkan teknologi firewall yang memisahkan network internal dengan network eksternal dengan rule tertentu.

E.     Sistem Otentikasi User :

Def : adalah proses penentuan identitas dari seseorang yang sebenarnya, hal ini diperlukan untuk menjaga keutuhan ( integrity ) dan keamanan ( security ) data, pada proses ini seseorang harus dibuktikan siapa dirinya sebelum menggunakan layanan akses.

2)      Melindungi Aset Organisasi
A.Secara Adminsistratif / fisik
• Rencana kemungkinan terhadap bencana
• Program penyaringan calon pegawai system informasi
• Program pelatihan user
• Kebijakan akses network
B. Secara Teknis
·         Penerapan Firewall
Firewall merupakan fokus dari segala keputusan sekuritas. Hal ini disebabkan karena
Firewall merupakan satu titik tempat keluar masuknya trafik internet pada suatu jaringan. Firewall dapat menerapkan suatu kebijaksanaan sekuritas. Banyak sekali service-service
yang digunakan di Internet. Tidak semua service tersebut aman digunakan, oleh
karenanya Firewall dapat berfungsi sebagai penjaga untuk mengawasi service-service
mana yang dapat digunakan untuk menuju dan meninggalkan suatu network.
Firewall dapat mencatat segala aktivitas yang berkaitan dengan alur data secara efisien.
Semua trafik yang melalui Firewall dapat diamati dan dicatat segala aktivitas yang
berkenaan dengan alur data tersebut. Dengan demikian Network Administrator dapat
segera mengetahui jika terdapat aktivitas-aktivitas yang berusaha untuk menyerang
internal network mereka.

·         Penerapan Virtual Privat Network (VPN)
Virtual Private Network atau Jaringan Pribadi Maya sesungguhnya sama dengan Jaringan
Pribadi (Private Network/PN) pada umumnya, di mana satu jaringan komputer suatu lembaga atau perusahaan di suatu daerah atau negara terhubung dengan jaringan komputer dari satu
grup perusahaan yang sama di daerah atau negara lain. Perbedaannya hanyalah pada media penghubung antar jaringan. Kalau pada PN, media penghubungnya masih merupakan milik perusahaan/grup itu sendiri, dalam VPN, media penghubungnya adalah jaringan publik seperti Internet.

3)      Mengamankan saluran terbuka
Protokol TCP/IP merupakan protocol dalam set standar yang terbuka dalam pengiriman data,
untuk itulah perlu dilakukan enkripsi dalam rangka penanganan keamanan data yang
diterapkan pada protocol tersebut, yang meliputi :

A.     Keamanan Pada lapisan Aplikasi
• SET (Secure Electronics Transaction)
o Menentukan bagaimana transaksi mengalir antara pemakai, pedagang dan
bank.
o Menentukan fungsi keamanan : digital signature, hash dan enkripsi.
o Produk dari Mastercard dan VISA International.
• Secure HTTP
o Produk dari workgroup IETF, diimplementasikan pada webserver mulai
1995.
o Menentukan mekanisme kriptografi standar untuk mengenkripsikan
pengiriman data http
• Pretty Good Privacy (PGP)
o Standarisasi RFC 1991
o Membuat dan memastikan digital signature, mengenkripsi – deskripsi dan
mengkompresi data.
Secure MIME (S/MIME)
o Standarisasi RFC 1521
o MIME (Multipurpose Internet Mail Extension)
o Menentukan cara menempelkan file untuk dikirim ke internet dengan menggunakan metode hirarki dalm pendefenisian user remi dan sertfikat digitalnya.
Cybercash
o Standarisasi RFC 1898
o Memproses kartu kredit di internet dengan mengenkripsi dan menandatangani transaksi secara digital.

B.       Keamanan dalam Lapisan Transport
SSL (Secure Socket Layer)
o Produk Netscape
o Protocol yang menegoisasikan hubungan yang aman antara client dan server,
dengan menggunakan kunci enkripsi 40-bit.

C.       Keamanan dalam Lapisan Network
IP security Protocol : melindungi protocol client IP pada network layer.
IP Authentication header
IP Encapsulating Security protocol
Simple-key management for Internet protocol (SKIP)
Internet security Association and key management protocol (ISAKMP)
Internet key management protocol (IKMP)




3.       Direct impact of security breach on corporate asset base and goodwill
Ancaman pelanggaran keamanan TI adalah ketakutan terus-menerus di lingkungan TI saat ini. Pelanggaran keamanan publik baru-baru ini telah menyoroti tidak hanya kerentanan sebagian besar organisasi, tetapi juga kerusakan parah yang dapat mereka timbulkan.
Pelanggaran Wikileaks sudah sangat dikenal. Dalam hal ini, seorang pengguna yang memiliki akses yang sah ke sejumlah besar dokumen militer yang sensitif memberikannya kepada seseorang yang mempostingnya di situs Wikileaks. Keterbatasan akan menyarankan bahwa orang ini seharusnya tidak memiliki akses ke begitu banyak dokumen sensitif, tetapi pada saat itu terjadi, ini hanya pelanggaran kebijakan penggunaan informasi, bukan kebijakan akses. Kasus ini menggambarkan dua masalah yang jelas: kurangnya tata kelola akses pengguna yang memadai, dan tidak ada kontrol atas penggunaan data. Kasus ini masih berlangsung, tetapi kerusakan politik sudah signifikan.


Share To:

EDISON MEDIA

Post A Comment:

0 comments so far,add yours