Persandian dan Pemetaan SDM Lulusan STSN Dalam Rangka Identifikasi Kebutuhan STSN
Di era informasi saat ini, pengamanan informasi menjadi kebutuhan yang sangat vital mengingat informasi telah menjadi sumber daya dan aset penting perusahaan maupun institusi yang harus dijamin keamanannya. Seiring dengan perkembangan teknologi informasi, komputer dan telekomunikasi yang sudah terintegrasi menyebabkan sentralisasi sumber data/informasi yang terdistribusi melalui jaringan terbuka (internet/ekstranet/intranet/LAN) menjadi rentan terhadap akses oleh pihak-pihak yang tidak memiliki otorisasi.
Dengan demikian diperlukan suatu mekanisme untuk mengamankan informasi baik yang tersimpan maupun yang ditransmisikan dalam berbagai aplikasi seperti pada sistem komputer, sistem database, jaringan komputer, transaksi elektronik, sistem telekomunikasi (seluler dan wired), e-bussines, dan aplikasi lainnya. Sesuai dengan definisinya, pengamanan informasi berarti mengamankan informasi dan sistem informasi dari akses, penggunaan, pengungkapan, gangguan/kekacauan, pengubahan maupun perusakan oleh pihak-pihak yang tidak berwenang[1].
Adapun sasaran dari pengamanan informasi adalah tercapainya keamanan informasi yang diukur dengan terpenuhinya tiga porsi kualitas keamanan informasi meliputi kerahasiaan (Confidentiality), Keutuhan (Iintegrity) dan Ketersediaan (Avalaibility) sering disebut sebagai triangle model atau CIA model (lihat gambar 1.) Pada model ini sistem informasi terdiri dari 3 komponen utama mencakup perangkat keras, perangkat lunak dan komunikasi yang bertujuan untuk menerapkan standard pengamanan informasi seperti mekanisme perlindungan dan pencegahan dalam tiga lapisan yaitu lapisan fisik, personil dan organisasi. Dan yang lebih penting lagi kebijakan dan prosedur (aturan) diimplementasikan untuk memberi panduan kepada personil (administrator, pengguna dan operator) bagaimana menerapkan mekanisme pengamanan tersebut agar sasaran keamanan yang telah ditetapkan tercapai.
Pada model ini sasaran keamanan (CIA) tersebut dapat dipenuhi dengan menerapkan teknik kriptografik, sebagai contoh untuk mencapai layanan kerahasiaan maka perlu diterapkan teknik enkripsi atau penyandian dengan menggunakan sistem kripto (sistem sandi) simetrik maupun asimetrik. Kemudian untuk mencapai layanan keutuhan informasi atau data maka perlu adanya mekanisme di mana jika terjadi perubahan/modifikasi terhadap data akan segera terdeteksi. Hal ini dapat dicapai dengan menerapkan fungsi hash. Kemudian untuk menjamin ketersediaan data maka harus ada mekanisme yang menjamin bahwa data tersebut selalu dapat diakses oleh hanya orang yang berwenang tanpa adanya gangguan atau interupsi. Salah satunya adalah dengan adanya mekanisme pengendalian akses (access control) yang penerapannya dapat menggunakan weak authentication atau strong authentication. Pada weak authentication, aplikasinya cukup dengan perbandingan input PIN oleh user dan daftar PIN pada server, di mana PIN dimasukkan dan dikirimkan secara terbuka oleh user ke server. Sementara pada strong authentication diterapkan protocol yang lebih kompleks dengan memanfaatkan protocol kriptografi seperti challenge-response, zero knowledge protocol, one-time password, dan lainnya, dalam aplikasinya biasanya berbasis pada sistem kripto simetrik, asimetrik maupun fungsi hash.
Gambar 1. CIA Model [2]
Sementara menurut Dr. Michael E.Whitman dan Herbert J. Mattord dalam bukunya Management Of Information Security sasaran keamanan informasi diperluas menjadi :
•Privacy : Informasi yang dikumpulkan, digunakan, dan disimpan oleh organisasi dan dipergunakan hanya untuk tujuan tertentu, khusus bagi pemilik data saat dimana informasi ini dikumpulkan. Privacy menjamin keamanan data bagi pemilik.
•Identification: Sistem informasi memiliki karakteristik identifikasi jika bisa mengenali individu pengguna. Identifikasi adalah langkah pertama dalam memperoleh hak akses ke informasi yang diamankan. Identifikasi secara umum dilakukan dalam penggunaan user name atau user ID.
•Authentication : Otentikasi terjadi pada saat sistem dapat membuktikan bahwa pengguna memang benar-benar orang yang memiliki identitas yang mereka klaim.
•Authorization : Setelah identitas pengguna diotentikasi, sebuah proses yang disebut otorisasi memberikan jaminan bahwa pengguna (manusia ataupun komputer) telah mendapatkan wewenang secara spesifik dan jelas untuk mengakses, mengubah, atau menghapus isi dari aset informasi.
•Accountability : Karakteristik ini dipenuhi jika sebuah sistem dapat menyajikan data semua aktifitas terhadap aset informasi yang telah dilakukan, dan siapa yang melakukan aktifitas itu.
Pada prinsipnya konsep dari Whitman dan Mattord sama, dimana Privacy identik dengan confidentiality, sementara identification dan authentication ditujukan untuk memenuhi sasaran ketersediaan dimana sistem dapat dengan segera mendeteksi pengguna yang memiliki otorisasi. Kemudian pada layanan keamanan otentikasi juga dapat dijamin keotentikan pengguna dengan menerapkan tanda tangan dijital (digital signature) yang menggunakan teknik kriptografi kunci publik (asimetrik). Protokol tanda tangan dijital juga menjamin layanan akuntabilitas. Pada otentikasi data menggunakan fungsi hash akan dijamin layanan integritas data sesuai yang ada pada model CIA.
Konsep ini diperkuat oleh Bruce Schneier dalam bukunya Applied Cyrptography yang menyatakan bahwa sasaran kriptografi adalah terpenuhinya hal-hal yang berkaitan dengan kerahasiaan, otentikasi, integritas dan anti penyangkalan data/informasi.
Dari uraian diatas dapat dilihat bahwa peran kriptografi sebagai inti persandian sangat penting dalam sebuah sistem pengamanan informasi. Mengingat saat ini semua proses bisnis dari semua instansi maupun perusahaan telah mengarah pada digitalisasi dan otomatisasi, maka peran pengamanan informasi menjadi kebutuhan yang pokok. Untuk lebih jelasnya peran persandian dapat dilihat pada ilustrasi berikut ini :
[1] 44 U.S.C. & 3542(b)(1)
[2] http://en.wikipedia.org/wiki/file:CIAJMK129.png
Tidak ada komentar:
Posting Komentar