Lima(5) Komponen Keamanan Komputer dan Komunikasi
-Komponen-Keamanan-Komputer-dan-komunikasi.png "lima-5-komponen-keamanan-komputer-dan-komunikasi") |
| lima-5-komponen-keamanan-komputer-dan-komunikasi |
Dilema yang berkepanjangan pada Era Digital adalah menyeimbangkan antara kenyamanan dan keamanan. Keamanan adalah sistem penjagaan keamanan untuk melindungi teknologi informasi dari kerusakan, kegagalan sistem, dan akses yang tidak berwenang yang bisa mengakibatkan kehancuran atau kerugian. Berikut adalah lima komponen keamanan: • Mencegah kejahatan komputer • Identifikasi dan akses • Enkripsi • Melindungi perangkat lunak dan data • Rencana pemulihan dari bencana.
1. Mencegah kejahatan komputer
Seiring semakin canggihnya kejahatan teknologi informasi, maka orang harus membayar mahal untuk mencegahnya dan menaati hukum yang ada.
a. Memperkuat Hukum Kini administrator kampus tidak mudah lagi melanggar hukum karena mereka bisa digiring ke kantor polisi. Di AS, organisasi industri seperti Software Publishers Association (SPA) segera dibentuk setelah maraknya pembajakan perangkat lunak dalam skala besar maupun kecil. (Pembajakan perangkat lunak komersial merupakan tindak pidana berat, bisa dipenjara maksimal 5 tahun dan denda hingga 250.000 dolar bagi siapa saja yang terbukti mencuri setidaknya 10 salinan dari sebuah program atau perangkat lunak seharga lebih dari 2.500 dolar.) Departemen kepolisian AS memiliki petugas yang mengawasi "gerakan dunia maya" di Medford, Massachussets, dan San Jose, California. Mereka secara teratur menggeledah papan buletin online dan kamar chatting untuk mencari perangkat lunak bajakan, rahasia dagang yang dicuri, pelecehan anak, dan pornografi anak.
a. Memperkuat Hukum Kini administrator kampus tidak mudah lagi melanggar hukum karena mereka bisa digiring ke kantor polisi. Di AS, organisasi industri seperti Software Publishers Association (SPA) segera dibentuk setelah maraknya pembajakan perangkat lunak dalam skala besar maupun kecil. (Pembajakan perangkat lunak komersial merupakan tindak pidana berat, bisa dipenjara maksimal 5 tahun dan denda hingga 250.000 dolar bagi siapa saja yang terbukti mencuri setidaknya 10 salinan dari sebuah program atau perangkat lunak seharga lebih dari 2.500 dolar.) Departemen kepolisian AS memiliki petugas yang mengawasi "gerakan dunia maya" di Medford, Massachussets, dan San Jose, California. Mereka secara teratur menggeledah papan buletin online dan kamar chatting untuk mencari perangkat lunak bajakan, rahasia dagang yang dicuri, pelecehan anak, dan pornografi anak.
b. CERT Pada 1988, setelah internet tersebar luas, Departemen Pertahanan AS membentuk Computer Emergency Response Team (CERT). Meskipun badan ini tidak mempunyai wewenang untuk menahan atau mengadili, CERT menyediakan informasi internasional dan layanan dukungan seputar keamanan bagi para pengguna internet. Kapan saja ia mendapat laporan dari snooper elektronik baik di internet atau sistem e-mail perusahaan, CERT hadir sebagai pendamping mendampingi pihak yang diserang, membantu mengatasi pengganggu, dan mengevaluasi sistem yang telah mengalami serangan untuk melindunginya dari gangguan di masa yang akan datang.
c. ID-SIRTII Di Indonesia, pada tanggal 4 Mei 2007 diterbitkan Peraturan Menteri Nomor 26/PER/M.KOMINFO/5/2007 tentang Pengamanan Pemanfaatan Jaringan Telekomunikasi. Berbasis Protokol Internet. Menteri Komunikasi dan Informatika dalam hal ini menunjuk Indonesia Security Incident Response Team on Internet and Infrastructure/ Coordination Center (ID-SIRTII/ CC) yang bertugas melakukan pengawasan keamanan jaringan telekomunikasi berbasis protokol internet (ID-SIRTII, 2007).
Berikut adalah alat-alat yang digunakan untuk mendeteksi adanya kecurangan:
• Perangkat lunak pendeteksi berbasis aturan: Dalam teknik ini, pengguna, semisal pedagang, membuat "file negatif yang memuat kriteria yang harus dipenuhi oleh setiap transaksi. Kriteria ini meliputi nomor kartu kredit yang dicuri dan juga batas harganya, kecocokan alamat rekening pemegang kartu dan alamat pengiriman, dan peringatan jika satu item dipesan dalam jumlah besar.
• Perangkat lunak model prediktif-statistik: Dalam teknik ini, dilakukan pemeriksanaan pada berton-ton data dari transaksi sebelumnya. Tujuannya untuk membuat deskripsi matematis tentang kecurangan transaksi yang biasa terjadi. Perangkat lunak ini menghitung pesanan yang masuk menurut skala risiko yang didasarkan pada kemiripan profil kecurangan. Semisal, jika beberapa pencuri - yang telah mendapatkan nomor telepon perusahaan Kita dengan cara menyadap pembicaraan - melakukan panggilan ke suatu negara sementara Kita tidak pernah melakukannya, maka perangkat lunak AT&T akan melakukan aktivitas yang tidak biasa lalu memanggil Kita untuk mengetahui apakah Kita yang melakukan panggilan tersebut.
• Perangkat lunak manajemen internet pegawai (EIM): Program yang dibuat oreh Websense, SurfControl, dan SmartFilter yang digunakan untuk memantau berapa banyak waktu yang dihabiskan para pegawai di web dan untuk memblokir akses ke situs judi atau situs porno.
• Perangkat lunak penyaring internet: Beberapa perusahaan menggunakan perangkat lunak penyaring (filter) khusus untuk memblok akses ke pornografi, download musik bajakan, dan situs internet lain yang tidak dikehendaki yang kemungkinan akan diakses pegawai.
• Pengawasan secara elektronik: Perusahaan menggunakan berbagai jenis pengawas elektronik yang menyertakan teknologi pemantauan audio dan visual, membaca e-mail dan blog, dan merekam keystroke. Beberapa perusahaan bahkan mempekerjakan agen rahasia untuk berpura-pura sebagai rekan sekerja.
• Perangkat lunak pendeteksi berbasis aturan: Dalam teknik ini, pengguna, semisal pedagang, membuat "file negatif yang memuat kriteria yang harus dipenuhi oleh setiap transaksi. Kriteria ini meliputi nomor kartu kredit yang dicuri dan juga batas harganya, kecocokan alamat rekening pemegang kartu dan alamat pengiriman, dan peringatan jika satu item dipesan dalam jumlah besar.
• Perangkat lunak model prediktif-statistik: Dalam teknik ini, dilakukan pemeriksanaan pada berton-ton data dari transaksi sebelumnya. Tujuannya untuk membuat deskripsi matematis tentang kecurangan transaksi yang biasa terjadi. Perangkat lunak ini menghitung pesanan yang masuk menurut skala risiko yang didasarkan pada kemiripan profil kecurangan. Semisal, jika beberapa pencuri - yang telah mendapatkan nomor telepon perusahaan Kita dengan cara menyadap pembicaraan - melakukan panggilan ke suatu negara sementara Kita tidak pernah melakukannya, maka perangkat lunak AT&T akan melakukan aktivitas yang tidak biasa lalu memanggil Kita untuk mengetahui apakah Kita yang melakukan panggilan tersebut.
• Perangkat lunak manajemen internet pegawai (EIM): Program yang dibuat oreh Websense, SurfControl, dan SmartFilter yang digunakan untuk memantau berapa banyak waktu yang dihabiskan para pegawai di web dan untuk memblokir akses ke situs judi atau situs porno.
• Perangkat lunak penyaring internet: Beberapa perusahaan menggunakan perangkat lunak penyaring (filter) khusus untuk memblok akses ke pornografi, download musik bajakan, dan situs internet lain yang tidak dikehendaki yang kemungkinan akan diakses pegawai.
• Pengawasan secara elektronik: Perusahaan menggunakan berbagai jenis pengawas elektronik yang menyertakan teknologi pemantauan audio dan visual, membaca e-mail dan blog, dan merekam keystroke. Beberapa perusahaan bahkan mempekerjakan agen rahasia untuk berpura-pura sebagai rekan sekerja.
2. Identifikasi dan Akses
Komputer ingin mengetahui apakah betul Kita orang yang mempunyai akses sah. Ada tiga cara yang dipakai sistem komputer untuk membuktikan bahwa Kita memiliki hak akses yang sah. Beberapa sistem keamanan menggunakan gabungan dari teknik-teknik tersebut. Sistem mencoba mengotentikasi identitas Kita dengan menent ukan (1) apa yang Kita miliki, (2) apa yang Kita ketahui, atau (3) siapa Kita.
a. Apa yang Kita Miliki: Kartu, Kunci, Tanda tangan, dan Kartu Identitas
Kartu kredit, kartu debit, dan kartu mesin tunai semuanya memiliki strip magnetik atau chip komputer bawaan yang mengidentifikasi Kita pada mesin. Banyak mesin yang meminta tanda tangan Kita, selanjutnya tanda tangan ini akan dibandingkan dengan tanda tangan yang Kita tuliskan. Ruang komputer selalu terkunci, yang membutuhkan kunci. Banyak orang juga mengunci komputer pribadi mereka. Ruang komputer juga bisa dijaga oleh petugas keamanan yang meminta tanda tangan atau kartu ID yang sah beserta foto Kita sebelum diizinkan masuk.
Tentu saja kartu kredit, kunci, dan kartu identitas bisa dicuri atau hilang. Tanda tangan pun bisa dipalsu. Dan kartu identitas bisa dimanipulasi.
b. Apa yang Kita Ketahui: Pin dan Password
Untuk mendapatkan akses ke rekening bank Kita melalui sebuah anjungan tunai mandiri atau ATM, Kita harus memasukkan PIN. PIN (personal identification number) adalah nomor keamanan yang hanya Kita yang tahu. Nomor itu diperlukan untuk mengakses sistem. Kartu kredit telepon juga menggunakan PIN. Jika Kita memiliki ATM atau kartu telepon, jangan pernah ada PIN tertulis di secarik kertas dalam dompet Kita.
Seperti dikemukakan sebelumnya, password merupakan kata, kode, atau simbol khusus yang diperlukan untuk mengakses sebuah sistem komputer. Password adalah salah satu link keamanan yang terburuk dan kebanyakan bisa ditebak atau dicuri.
c. Siapa Kita: Ciri-ciri Fisik
Beberapa bentuk identifikasi dengan mudah bisa dikelabuhi—misal ciri-ciri fisik Kita. Biometrik. ilmu yang mengukur karakteristik tubuh manusia, mencoba menggunakan peralatan keamanan tersebut. Peralatan autentikasi biometrik mengautentikasi identitas seseorang dengan memeriksa ciri-ciri fisik atau perilakunya dengan sebuah kode digital yang disimpan pada sebuah sistem komputer.
3. Enkripsi
Enkripsi adalah proses mengubah data yang bisa dibaca ke dalam bentuk yang tidak bisa dibaca untuk mencegah akses dari orang yang tidak berhak, dan inilah yang membuat orang merasa aman untuk berbelanja atau melakukan transaksi bank secara online. Enkripsi sangat berguna bagi beberarapa organisasi, terutama yang berhubungan dengan rahasia dagang, masalah militer, dan data penting lainnya. Belum lama ini banyak organisasi keuangan seperti Bank of America, Time Warner, dan divisi City Financial dari Citigroup, yang terkontaminasi oleh data dari hampir 6 juta orang yang tidak seharusnya, memutuskan untuk meng-enkripsi backup tape informasi pelanggan yang mereka simpan dengan vendor pihak ketiga (Swartz, 2005).
Kebanyakan komputer pribadi telah menggunakan bentuk enkripsi yang sangat canggih, yang tersedia di setiap model browser web terbaru untuk memberikan komunikasi yang aman melalui internet. Masyarakat sendiri menganggap enkripsi bagai pedang bermata dua. Misalnya, serangan pada World Trade Center dan Pentagon pada 2001 memperbesar kemungkinan bahwa teroris saling berkomunikasi dengan menggunakan program enkripsi yang tidak bisa dipecahkan. (Tidak ada bukti mereka melakukannya.) Haruskah pemerintah diperbolehkan membaca e-mail berkode dari teroris di luar negeri, pengedar obat terlarang, dan musuh-musuh lainnya? Bagaimana dengan e-mail dari seluruh warga negara?
Pemerintah AS menyatakan bahwa negara membutuhkan akses untuk mencari data demi keamanan nasional dan penegakan hukum. Sebenarnya, pada 1990-an para
pejabat pemerintah telah meminta perusahaan-perusahaan enkripsi untuk membuat "back door" dalam produk mereka supaya pemerintah dapat melihat pesan-pesan yang telah dipertukarkan oleh penjahat dan teroris. Namun perusahaan dan konsumen menyatakan bahwa mereka tidak akan menggunakan produk seperti itu, demikian juga para penjahat. Suatu pendapat menyatakan bahwa banyak orang dengan pengetahuan dasar matematika mampu menuliskan sistem enkripsi mereka sendiri. Karena itulah gagasan back door pun
gugur.
Insiden teroris pada 2001 memunculkan polemik. Beberapa akademisi yang berseberangan dengan pemerintah dengan bebas menerbitkan penelitian mereka tentang cara membuat kode yang tak terpecahkan. Mereka tidak setuju jika teknik enkripsi dirahasiakan. Enkripsi yang tersedia secara umum membuat orang awam dapat melindungi privasi dan bisnis mereka untuk melindungi data yang mereka punya. Hasilnya pun cukup jelas: ruang gerak untuk memerangi pelanggar hukum dan teroris menjadi terbatas (Kolate,
2001).
4. Melindungi Perangkat Lunak dan Data
Perlu waktu lama bagi organisasi untuk melindungi program dan data mereka. Mereka perlu mendidik pegawai tentang backup data, melindungi data dari virus, dan sebagainya. Mari kita simak prosedur keamanan lainnya yang dijelaskan berikut ini.
a. Kontrol Akses
Akses ke file online dibatasi hanya bagi mereka yang memiliki hak akses yang sah karena mereka memerlukannya untuk mengerjakan tugas mereka. Banyak organisasi memiliki sistem log transaksi untuk merekam semua akses atau usaha untuk mengakses data.
b. Kontrol Audit
Banyak jaringan memiliki kontrol audit untuk melacak program atau server mana yang digunakan, file mana yang dibuka, dan seterusnya. Teknik ini menghasilkan jejak audit (audit trail), suatu rekaman tentang bagaimana sebuah transaksi ditangani mulai dari input, pemrosesan, hingga output.
c. Kontrol Orang
Mengingat orang merupakan ancaman terbesar pada sistem komputer, maka usaha pencegahan dimulai dengan menyaring pelamar kerja. Resume pelamar kerja diperiksa untuk mengetahui apakah ia memberikan informasi yang benar.
Kontrol lain adalah dengan memisahkan fungsi pegawai sehingga mereka tidak boleh berjalan-jalan dengan bebas ke area yang tidak ada kaitannya dengan pekerjaan mereka. Selain itu, digunakan kontrol manual dan otomatis (kontrol input, kontrol proses, dan kontrol output) untuk memeriksa apakah data ditangani secara akurat dan lengkap selama siklus pemrosesan. Print out, pita printer, dan sampah lain yang mungkin berisi password dan rahasia terhadap orang luar harus dimusnahkan dengan mesin.
5. Perencanaan Pemulihan dari Bencana
Perencanaan pemulihan dari bencana adalah metode perbaikan operasi pemrosesan informasi yang terhambat akibat kerusakan atau kecelakaan. "Di antara sekian
banyak pelajaran berharga yang didapat pengguna komputer pada jam, hari. dan minggu setelah bom di World Trade Center (New York 1993), yang paling utama adalah mengenai perencanaan pemulihan dari bencana " ujar seorang reporter. Pelajaran penting kedua adalah: ―Bahkan perencanaan yang telah dilakukan dengan cermat tidak luput dari kelemahan (Holusha, 1993)."
Meskipun serangan kedua (2001) di World Trade Center mengukuhkan pelajaran tersebut, demikian juga dengan badai Katrina di New Orleans empat tahun kemudian. namun masih banyak perusahaan yang meremehkannya. Survei tahun 2005 pada 1.200 bisnis menemukan bahwa sepertiga dari mereka tidak memiliki rencana emergensi. Survei juga menemukan dua per tiga perusahaan menderita karena hilangnya bisnis akibat bencana (Cantrell, 2005). Banyak perusahaan kecil tidak memiliki sistem backup sama sekali karena mereka menganggap menginstal sistem itu mahal dan sulit (Kessler, 2005) . Hasil survey Symantec mencatat selama tahun 2011 organisasi di tingkat global masih meremehkan ancaman bencana terhadap TI mereka, padahal TI merupakan tulang punggung dari bisnis yang beroperasi 24 jam dalam seminggu (Asih, 2011).
Perencanaan pemulihan dari bencana lebih dari sekadar usaha untuk memadamkan kobaran api yang besar. Rencana tersebut meliputi daftar semua fungsi bisnis, perangkat keras, perangkat lunak, data, dan orang-orang yang mendukung fungsi tersebut serta pengaturan untuk lokasi-lokasi alternatif. Rencana itu juga menyertakan cara mem-backup data dan menyimpan program dan data di lokasi lain, serta cara menyiapkan sekaligus melatih personel yang diperlukan.
