Selasa, 16 November 2010

Pengamanan Sistem Informasi (Bagian 2)

Metode Pengamanan Sistem Informasi

1.Incident Handling
Policy/Kebijakan harus mencakup segala tahapan praktis yang dibutuhkan sebuah organisasi, saat insiden keamanan terjadi. Tugas utama penanganan insiden adalah mengamankan aset informasi – dan meminimalkan kerusakan – secepat mungkin. Di luar penanganan awal setelah kejadian, proteksi on-the-scene, penulisan dan pelaporan incident-handling akan memperkuat pembelajaran organisasi dan dapat membantu professional security lain untuk mengusut penyebabnya. Merupakan sebuah ide yang bagus untuk melakukan pPelatihan incident-handling dan perbaharuan pembaharuan prosedur harus berkesinambungan agar saat dibutuhkan pada waktunya dapat dibuktikan dan diandalkan.


2.Backup and Recovery
Backup and Recovery recovery (pencadangan dan pemulihan) adalah suatu hal yang mutlak dilakukan, baik terhadap sistem, aplikasi dan isi dari sistem tersebut. Prosedur penjadwalan backup perlu dilakukan dan disesuaikan dengan analisaanalisis keadaan yang mencakup statistik data (lalu-lintas data, lokasi server, lokasi client, penggunaan bandwith dan lain-lain), penggunaan aplikasi dan perhitungan terhadap reliabilitas sistem. Akan lebih baik jika sistem backup memiliki tingkat pengamanan yang lebih dibanding dengan sistem itu sendiri. Manajemen backup perlu dilakukan agar tidak terlalu banyak “junk” dalam media backup. Proses recovery dari sistem backup memerlukan suatu perencanaan dan kehati-hatian yang tinggi, terutama terhadap data-data sensitif strategis. Terutama proses recovery yang dilakukan setelah terjadi kerusakan sistem maupun atau data. karena Karena adanya suatu insiden baik penyerangan maupun kejadian alam atau bahkan hal lain yang tidak terasumsikandiramalkan pada saat perencanaan yang menimbulkan kepanikan. Selain backup secara keseluruhan pada server, perlu juga dilakukan backup di masing-masing workstation terhadap datanya sendiri, sehingga dapat meringankan kerja sistem mainframe/server. Tentunya hal ini berkaitan dengan spesifikasi jaringan yang digunakan (misal; fat/thin client, topologi dan lain-lain).


3.Proprietary Information
Setiap organisasi baik swasta maupun pemerintahan memiliki informasi sensitif konfidensial/terbatas berdasarkan kerawanan dan ancaman yang akan timbul, sekiranya informasi tersebut diketahui oleh pihak lain yang tidak berkepentingan. Misalnya desain produk, rencana promosi, strategi sumber daya manusia, analisaanalisis finansial, data kesehatan pegawai dan lain-lain. Pembuat policykebijakan harus melakukan labeling terhadap setiap informasi berdasarkan klasifikasi tingkat kerahasiaannya, serta petunjuk dan prosedur pengamanan yang bertingkat pula untuk tiap tingkatan kerahasiaan tersebut.
Kebijakan yang bagus selalu dituliskan dalam bahasa yang jelas, ringkas, spesifik dan realistis. Sebagai unsur pokok proses manajemen keamanan cybersiber, kebijakan juga memerlukan evaluasi berkelanjutan untuk memastikan bahwa ia tetap sesuai dengan perubahan dalam lingkungan informasi global, dan dengan perubahan dalam organisasinya sendiri. Sekali lagi, kebijakan mendukung pencapaian untuk melindungi kerahasiaan, ketersediaan dan integritas dari suatu informasi berharga sebuah organisasi.

4.Manajemen Resiko
Suatu model arsitektur harus dirancang dengan perspektif yang luas, untuk membantu memastikan bahwa semua segi isu keamanan informasi telah dipahami benar, dari mainframe sampai sistem terkecil, paket software, dan perangkat keras serta semua sistem komunikasi dan titik-titik keterhubungan.
Akhirnya, salah satu model arsitektur manajemen resiko menyediakan suatu kerangka yang konsisten dan mempersatukan pendekatan untuk membantu organisasi di dalam penilaian dan uji coba infrastruktur keamanan informasinya, mengembangkan suatu pendekatan untuk menerapkan peningkatan, dan akhirnya, menyebarkan peningkatan yang direkomendasikan itu. Model arsitektur keamanan tidak dirancang untuk meninggalkan suatu perusahaan organisasi dengan hanya merencanakan suatu implementasi atau suatu solusi keamanan yang mudah, melainkan untuk menempatkan organisasi melalui keseluruhan proses pengembangan dan implementasi yang lengkap, mencakup perencanaan dan persiapan, desain yang terperinci, konfigurasi, pengintegrasian, pengujian, dan akhirnya produksi.
Adalah penting, untuk memahami bahwa teknologi itu hanya mengerjakan sedikit bagian untuk mencapai sasaran. Sebagian besar target akan tercapai dengan adanya sinergi dan keterpaduan dari teknologi, perencanaan dan kebijakan yang menjadikan perlindungan aset informasi berjalan optimal.

5.Pengendalian akses (Access Control)
Pada prinsipnya akses adalah kemampuan atau kewenangan sebuah subyjek (seseorang atau suatu proses yang sedang berjalan dalam suatu sistem komputer) untuk berinteraksi dengan sebuah obyjek. Access control adalah perangkat dan metode yang digunakan untuk membatasi subjek subyek yang mana yang bisa berinteraksi dengan objek obyek tertentu. Berdasarkan definisi tersebut, access control diterapkan dalam rangka menjamin bahwa suatu sistem bekerja sesuai dengan konfigurasinya atau untuk mencegah terjadinya penyimpangan operasional terhadap suatu sistem.

Pada sistem pengendalian akses ini (access control system), diatur akses setiap subjek subyek yang berkepentingan untuk berinteraksi dengan objekobyek-objek obyek yang ada sesuai batas kewenangannya. Misal, seorang manajer marketing pada perusahaan PT ABC akan diberi akses untuk semua informasi yang berkenaan dengan bidang marketing, tetapi tidak dapat mengakses semua informasi tentang keuangan yang bukan kewenangannya. Atau seorang operator sistem komunikasi, hanya dapat mengirimkan atau menerima pesan tanpa dapat melakukan modifikasi terhadap pesan yang dikirim/diterima atau terhadap konfigurasi “setting” pada mesin tersebut.

6.Identifikasi (Otentifikasi)
Secara prinsip, penerapan sistem access control ini diberlakukan setelah proses otentikasi terhadap identitas pengguna (otentifikasi) telah diproses. Untuk membantu mengerti perbedaan antara access control dengan otentifikasi, sebagai contoh seseorang berusaha untuk login ke dalam sistem komputer atau jaringan. Metode yang umum digunakan untuk hal ini adalah dengan menggunakan user id dan password. Setelah masuk ke dalam sistem, baru pengguna akan berhadapan pada sistem pengendalian akses, apakah ia dapat masuk ke semua aplikasi atau hanya aplikasi tertentu. Untuk teknik indentifikasi lainnya di antaranya adalah penggunaan PIN pada ATM atau passed-key dengan smart-card. Bahkan saat ini berkembang proses identifikasi dengan sistem biometric secara digital dijital seperti pemindai sidik jari (finger-print), pemindai suara (voice print), pemindai retina (retinal scan) atau pemindai geometri telapak tangan (hand geometry) dan lain-lain. Alat-alat tersebut bekerja berdasarkan asumsi bahwa setiap organ manusia yang dipindai tersebut adalah unik.

Teknik identifikasi dengan password merupakan protokol identifikasi yang lemah dan tidak dapat memberikan jaminan keamanan yang tinggi. Karena keamanan hanya terletak pada jumlah kombinasi yang mungkin dibuat (pada password atau PIN) atau rekaman data digital dijital dari sistem biometric dan selama terjadi pengiriman data password/PIN ke sistem, ada kemungkinan terjadi penyadapan oleh pihak lawan. Aplikasi password dapat diterapkan secara orisinil, atau menggunakan sistem kriptografi seperti fungsi enkripsi atau fungsi hashPada aplikasi password menggunakan fungsi hash, pihak verifier harus memiliki data nilai hash pada databasenya. Pada saat verifikasi, password yang diterima dari claimer akan di-hash dengan fungsi hash yang sama, kemudian membandingkan nilai hash tersebut dengan nilai hash yang ada di databasenya, jika sama maka otentikasi valid.

Pada aplikasi dengan fungsi enkripsi, manajemennya lebih kompleks karena melibatkan kunci. Jika menggunakan sistem kripto simetrik, maka di sisi claimmer sendiri harus ada fungsi enkripsi public key untuk menyandi kunci rahasia yang digunakan untuk mengenkripsi password, menggunakan kunci publik verifier. Karena kunci rahasia tersebut harus dikirim kepada verifier dalam bentuk tersandi. Dan pihak verifier akan mendekripsi kunci tersebut menggunakan kunci pribadinya untuk bisa membuka password-nya. Setelah password dibuka, kemudian dibandingkan apakah password tersebutdengan yang terdapat dalam databasenya.

Sementara password berbasis sistem kripto asimetrik cenderung lebih sederhana dibandingkan menggunakan fungsi enkripsi simetrik. Pada teknik ini claimer hanya membutuhkan kunci publik verifier. Dengan kunci tersebut ia mengenkripsi passwordnya, dan mengirim kepada verifier. Verifier selanjutnya akan mendekripsi password tersandi yang ia terima dengan kunci pribadinya. Kemudian ia akan mengecek apakah password hasil dekripsi tersebut terdaftar dalam databasenya. Jika ada, valid. Karena aplikasi fungsi enkripsi simetrik lebih kompleks, disarankan menggunakan sistem public key jika ingin menerapkan teknik enkripsi pada password.

Kelemahan Ppada aplikasi password adalah, kelemahannya pihak claimer harus tetap mengungkapkan kerahasiaan identitasnya. Dan hal ini sangat riskan, karena memungkinkan pihak lawan mendeteksi password tersebut melalui penyadapan. Karena itu diperlukan suatu teknik khusus agar proses identifikasi dapat dilakukan dengan jaminan kerahasiaan identitasnya tetap aman/terjaga. Teknik yang dapat digunakan di antaranya adalah identifikasi dengan teknik challenge-response. Teknik ini merupakan otentikasi yang kuat.

Pada prinsipnya, sistem challenge-response bertujuan agar suatu entitas (misalnya pengguna) dapat membuktikan kebenaran identitasnya kepada entitas lain (misalnya sistem), dengan menginformasikan pengetahuan tentang suatu kerahasiaan yang terkait dengan entitas tersebut (misalnya PIN, password, private-key), tanpa harus membocorkan kerahasiaan itu kepada entitas lain, selama proses otentifikasi.
Teknik tersebut dapat dilakukan dengan menyediakan suatu response terhadap suatu challenge yang batas waktunya bervariasi, di manadengan nilai response bergantung pada kerahasiaan entitas claimer dan challenge tersebut. Challenge biasanya berupa suatu bilangan random yang dipilih claimer di luar protokol dan bersifat rahasia.

Pada aplikasinya, protokol ini menggunakan teknik kriptografi, yaitu dengan kunci simetrik, kunci asimetrik atau fungsi hash. Untuk jelasnya perbedaan dari sistem password dan challenge response.

Tidak ada komentar:

Posting Komentar