KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SYSTEM
KONSEP DASAR
KEAMANAN INFORMASI PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN PRINSIP-PRINSIP
THE FIVE TRUST SERVICE UNTUK KEANDALAN SYSTEM
Oleh:
Martina Melissa L. (55517120041)
Dosen:
Prof. Dr. Hapzi Ali, CMA
Perkembangan
teknologi informasi pada abad ke 21 ini telah memberikan kepraktisan bagi
masyarakat modern untuk melakukan berbagai kegiatan komunikasi secara
elektronik salah satunya dalam bidang seperti perdagangan pendidikan dan
perbankan. Kegiatan berbisnis secara
elektronik ini dikenal dengan nama e-commerce. Dengan teknologi informasi
khususnya dengan jaringan computer yang luas seperti internet. Barang dan jasa
dapat dipromosikan secara luas dalam skala global.
Kepada calon
konsumen pun diberikan kemudahan-kemudahan yang memungkinkan mereka mengakses
dan membeli produk dan jasa yang dimaksud secara praktis. Misalnya pelayanan
kartu kredit. Perkembangan ini rupanya membawa serta dampak negative dalam hal
keamanan. Praktek-praktek kejahatan dalam jaringan computer kerap terjadi dan
meresahkan masyarakat, misalnya pencurian sandi lewat dan nomor rahasia kartu
kredit. Akibat dari hal seperti ini aspek keamanan dan penggunaan jaringan computer
menjadi hal yang krusial.
Terdapat
teknik serangan yang mendasarkan pada bunyi yang dihasilkan dari peralatan seperti
keyboard PC. Yaitu dengan membedakan bunyi yang dikeluarkan. Sehingga metode
ini dapat mengetahui tombol-tombol yang ditekan. Dalam pengaplikasian lebih
lanjut dapat diterapkan pada mesin computer, notebook, telepon, sampai mesin
ATM. Serangan menggunakan metode ini murah dan tidak langsung. Murah karena
selain tambahan computer, yang dibutuhkan hanyalah sebuah microphone parabolic.
Disebut tidak langsung karena tidak membutuhkan adanya serangan fisik langsung
ke system bunyi dapat direkam menggunakan peralatan tamabahan.
A.
KONSEP DASAR
KEAMANAN INFORMASI DAN PEMAHAMAN SERANGANNYA
Menurut G.
J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau,
paling tidak, mendeteksi
adanya penipuan di sebuah sistem yang berbasis informasi, dimana
informasinya sendiri tidak memiliki arti fisik. Selain itu keamanan sistem
informasi bisa diartikan sebagai
kebijakan, prosedur, dan
pengukuran teknis yang digunakan untuk mencegah akses yang
tidak sah, perubahan program, pencurian,
atau kerusakan fisik
terhadap sistem informasi.
Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan
peralatan-peralatan untuk
mengamankan perangkat keras
dan lunak komputer,
jaringan komunikasi, dan data.
Keamanan
jaringan internet adalah manajemen pengelolaan keamanan yang bertujuan
mencegah, mengatasi, dan melindungi berbagai sistem informasi dari resiko
terjadinya tindakan ilegal seperti penggunaan tanpa izin, penyusupan, dan
perusakan terhadap berbagai informasi yang di miliki. Resiko terhadap keamanan
sistem informasi mencakup dua hal utama yaitu ancaman terhadap keamanan system
informasi dan kelemahan keamanan system informasi.
Masalah tersebut pada gilirannya berdampak
kepada 6 hal yang utama dalam sistem informasi yaitu :
•
Efektifitas
•
Efisiensi
•
Kerahaasiaan
•
Integritas
•
Keberadaan (availability)
•
Kepatuhan (compliance)
•
Keandalan (reliability)
Untuk menjamin hal tersebut maka keamanan
sistem informasi baru dapat terkriteriakan dengan baik. Adapun kriteria yang perlu di perhatikan
dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang
perlu di perhatikan yaitu :
1.
Akses kontrol sistem yang digunakan
2.
Telekomunikasi dan jaringan yang dipakai
3.
Manajemen praktis yang di pakai
4.
Pengembangan sistem aplikasi yang digunakan
5.
Cryptographs yang diterapkan
6.
Arsitektur dari sistem informasi yang diterapkan
7.
Pengoperasian yang ada
8.
Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9.
Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak
fisik dari sistem yang ada
Dari domain tersebutlah isu keamanan sistem
informasi dapat kita klasifikasikan berdasarkan ancaman dan kelemahan sistem
yang dimiliki.
Ancaman keamanan sistem informasi adalah
sebuah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang
dapat mengganggu keseimbangan sistem informasi. Ancaman terhadap keamanan
informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang
memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi. Pada
kenyataannya ancaman dapat bersifat internal, yaitu berasal dari dalam
perusahaan, maupun eksternal atau berasal dari luar perusahaan. Ancaman juga
dapat terjadi secara sengaja ataupun tidak sengaja. Ancaman selama ini hanya
banyak di bahas dikalangan akademis saja. Tidak banyak masyarakat yang mengerti
tentang ancaman bagi keamanan sistem informasi mereka. Masyarakat hanya
mengenal kejahatan teknologi dan dunia maya hanya apabila sudah terjadi “serangan“
atau “attack”. Sebuah hal yang perlu disosialisasikan dalam pembahasan tentang
keamanan sistem terhadap masyarakat adalah mengenalkan “ancaman” kemudian baru
mengenalkan ‘serangan’ kepada masyarakat. Perlu di ketahui bahwa serangan
dimulai dengan ancaman, dan tidak akan ada serangan sebelum adanya ancaman.
Serangan dapat diminimalisir apabila ancaman sudah diprediksi dan dipersiapkan
antisipasi sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui
metode-metode penilaian resiko dari sebuah ancaman.
Ada beberapa metode yang digunakan dalam
mengklasifikasikan ancaman, salah satunya adalah Stride Method (metode stride).
STRIDE merupakan singkatan dari:
1. Spoofing
yaitu menggunakan hak akses/mengakses sistem dengan menggunakan identitas orang
lain.
2. Tampering
yaitu tanpa mempunyai hak akses namun dapat mengubah data yang ada didalam
database.
3. Repudiation
yaitu membuat sebuah sistem atau database dengan sengaja salah, atau sengaja
menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi sehingga
dapat digunakan untuk mengakses sistem pada suatu saat.
4. Information
disclosure yaitu membuka atau membaca sebuah informasi tanpa memiliki hak akses
atau membaca sesuatu tanpa mempunyai hak otorisasi.
5. Denial of
service yaitu membuat sebuah sistem tidak bekerja atau tidak dapat digunakan
oleh orang lain.
6. Elevation of
priviledge yaitu menyalahgunakan wewenang yang dimiliki untuk mengakses sebuah
system untuk kepentingan pribadi.
Dalam hal ancaman ini dapat diberikan contoh
didalam dunia nyata apabila seseorang diketahui membawa senjata tajam kemanapun
dia pergi maka dapat dikatakan orang tersebut dapat merupakan ancaman bagi
orang lain. Hal lain didunia nyata adalah pada saat diketahui seseorang membawa
kunci T di sakunya maka dapat disimpulkan orang tersebut adalah merupakan
ancaman bagi orang lain yang membawa kendaraan bermotor. Didalam dunia keamanan
sistem atau dunia teknologi informasi seseorang dapat dikatakan berpotensi
sebagai ancaman apabila memiliki hal sebagai berikut:
a. Kewenangan
tinggi untuk login kedalam sebuah sistem.
b. Memiliki hak
akses (password) seseorang yang dia ketahui dari berbagai sumber.
c. Memiliki
banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian dibidang
itu.
d. Orang yang
membangun sebuah sistem dapat pula menjadi ancaman bagi sistem tersebut.
Suatu perusahaan memiliki sederetan tujuan
dengan diadakannya sistem informasi yang berbasis komputer di dalam perusahaan.
Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu:
1. Kerahasiaan
Melindungi
data dan informasi perusahaan dari penyingkapan orang-orang yang tidak berhak.
Inti utama dari aspek kerahasiaan adalah usaha untuk menjaga informasi dari
orang-orang yang tidak berhak mengakses.Privacy lebih kearah data-data yang
sifatnya privat.Serangan terhadap aspek privacy misalnya usaha untuk melakukan
penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy adalah
dengan menggunakan teknologi kriptografi.Kriptografi adalah ilmu yang
mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanan
informasi seperti keabsahan, integritas data, serta autentikasi data.
2. Ketersediaan
Aspek ini
berhubungan dengan metode untuk
menyatakan bahwa informasi benar-benar asli, atau orang yang mengakses atau
memberikan informasi adalah betul-betul orang yang dimaksud. Masalah pertama
untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi
watermarking dan digital signature.Watermarking juga dapat digunakan untuk
menjaga intelektual property, yaitu dengan menandatangani dokumen atau hasil
karya pembuat. Masalah kedua biasanya berhubungan dengan akses control, yaitu
berkaitan dengan pembatasan orang-orang yang dapat mengakses informasi. Dalam
hal ini pengguna harus menunjukkan bahwa memang dia adalah pengguna yang sah
atau yang berhak menggunakannya.
3. Integritas
Aspek ini
menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi.
Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa
izin. Sistem informasi perlu menyediakan representasi yang akurat dari sistem
fisik yang direpresentasikan.
Ancaman yang
paling terkenal dalam keamanan sistem informasi adalah virus. Virus adalah
sebuah program komputer yang dapat
mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem
informasi merupakan serangan yang dapat muncul pada sistem yang digunakan.
Serangan dapat diartikan sebagai “tindakan yang dilakukan dengan menggunakan
metode dan teknik tertentu dengan berbagai tools yang diperlukan sesuai dengan
kebutuhan yang disesuaikan dengan objek serangan tertentu baik menggunakan
serangan terarah maupun acak“. Serangan yang terjadi terhadap sebuah sistem
jaringan dikalangan praktisi lazim sering disebut dengan penetration. Dalam
materi keamanan sistem dikenal sangat banyak dan beragam teknik serangan
terhadap sebuah sistem sesuai dengan sifat dan karakteristiknya. Teknik
serangan semakin lama semakin canggih dan sangat sulit di prediksi dan
dideteksi. Beberapa contoh serangan yang dapat mengancam sebuah sistem adalah
sebagai berikut:
1. Virus
Virus dikenal
sejak kemunculannya pertama kali pada pertengahan tahun 1980-an, virus
berkembang pesat seiring dengan pesatnya perkembangan teknologi komputer. Virus
selalu menemukan dan menyesuaikan diri untuk menyebarkan dirinya dengan
berbagai macam cara. Pada dasarnya, virus merupakan program komputer yang
bersifat “malicious” (memiliki tujuan merugikan maupun bersifat mengganggu
pengguna sistem) yang dapat menginfeksi satu atau lebih sistem komputer melalui
berbagai cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user”
sebagai pengguna komputer. Kerusakan yang dapat ditimbulkan pun bermacam-macam
mulai dari yang mengesalkan sampai kepada jenis kerusakan yang bersifat
merugikan dalam hal finansial.
Agar selalu
diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah disebabkan oleh
campur tangan pengguna. Campur tangan yang dimaksud misalnya dilakukan melalui
penekanan tombol pada keyboard, penekanan tombol pada mouse, penggunaan USB
pada komputer, pengiriman file via email, dan lain sebagainya.
2. Worms
Istilah
“worms” yang tepatnya diperkenalkan kurang lebih setahun setelah “virus”
merupakan program malicious yang dirancang terutama untuk menginfeksi komputer
yang berada dalam sebuah sistem jaringan. Walaupun sama-sama sebagai sebuah
penggalan program, perbedaan prinsip yang membedakan worms dengan virus adalah
bahwa penyebaran worm tidak tergantung pada campur tangan manusia atau
pengguna. Worms merupakan program yang dibangun dengan algoritma tertentu
sehingga mampu untuk mereplikasikan dirinya sendiri pada sebuah jaringan
komputer tanpa melalui bantuan maupun keterlibatan pengguna. Pada mulanya worms
diciptakan dengan tujuan untuk mematikan sebuah sistem atau jaringan komputer.
Namun belakangan ini telah tercipta worms yang mampu menimbulkan kerusakan luar
biasa pada sebuah sistem maupun jaringan komputer, seperti merusak file-file
penting dalam sistem operasi, menghapus data pada hard disk, menghentikan
aktivitas komputer , dan hal-hal destruktif lainnya. Karena karakteristiknya
yang tidak melibatkan manusia, maka jika sudah menyebar sangat sulit untuk
mengontrol atau mengendalikannya. Usaha penanganan yang salah justru akan
membuat pergerakan worms menjadi semakin liar tak terkendali untuk itulah
dipergunakan penanganan khusus dalam menghadapinya.
3. Trojan Horse
Istilah
“Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang digunakan
untuk merebut kota Troy yang dikelilingi benteng yang kuat. Pihak penyerang
membuat sebuah patung kuda raksasa yang di dalamnya memuat beberapa prajurit
yang nantinya ketika sudah berada di dalam wilayah benteng akan keluar untuk
melakukan peretasan dari dalam. Ide ini mengilhami sejumlah hacker dan cracker
dalam membuat virus atau worms yang cara kerjanya mirip dengan fenomena taktik
perang ini, mengingat banyaknya antivirus yang bermunculan maka mereka
menciptakan sesuatu yang tidak dapat terdeteksi oleh antivirus.
Berdasarkan teknik dan metode yang digunakan,
terdapat beberapa jenis Trojan Horse, antara lain:
a. Remote
Access Trojan-kerugian yang ditimbulkan adalah komputer korban dapat diakses
menggunakan remote program.
b. Password
Sending Trojan-kerugian yang ditimbulkan adalah password yang diketik oleh
komputer korban akan dikirimkan melalui email tanpa sepengetahuan dari korban
serangan.
c. Keylogger-kerugian
yang ditimbulkan adalah ketikan atau input melalui keyboard akan dicatat dan
dikirimkan via email kepada hacker yang memasang keylogger.
d. Destructive
Trojan–kerugian yang ditimbulkan adalah file-file yang terhapus atau hard disk
yang diformat oleh Trojan jenis ini.
e. FTP
Trojan–kerugian yang terjadi adalah dibukanya port 21 dalam sistem komputer
tempat dilakukannya download dan upload file.
f. Software
Detection Killer–kerugiannya dapat mencium adanya program-program keamanan
seperti zone alarm, anti-virus, dan aplikasi keamanan lainnya.
g. Proxy
Trojan–kerugian yang ditimbulkan adalah di-“settingnya” komputer korban menjadi
“proxy server” agar digunakan untuk melakukan “anonymous telnet”, sehingga
dimungkinkan dilakukan aktivitas belanja online dengan kartu kredit curian
dimana yang terlacak nantinya adalah komputer korban, bukan komputer pelaku
kejahatan.
Pada
umumnya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan
(preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem
informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan
dilakukan apabila lubang keamanan sudah dieksploitasi. Pengamanan sistem
informasi dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di
layer “transport”, dapat digunakan“Secure Socket Layer” (SSL). Metoda ini
misalnya umum digunakan untuk Web Site. Secara fisik, sistem anda dapat juga
diamankan dengan menggunakan “firewall” yang memisahkan sistem anda dengan
Internet. Penggunaan teknik enkripsi dapat dilakukan ditingkat aplikasi
sehingga data-data anda atau e-mail anda tidak dapat dibaca oleh orang yang
tidak berhak.
1. Mengatur
akses (Access Control)
Salah satu
cara yang umum digunakan untuk mengamankan informasi adalah dengan mengatur
akses ke informasi melalui mekanisme “access control”. Implementasi dari
mekanisme ini antara lain dengan menggunakan “password”. Di sistem UNIX, untuk
menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses
authentication dengan menuliskan “userid” dan “password”. Informasi yang
diberikan ini dibandingkan dengan userid dan password yang berada di sistem.
Apabila keduanya valid, pemakai yang bersangkutan diperbolehkan menggunakan
sistem. Apabila ada yang salah, pemakai tidak dapat menggunakan sistem.
Informasi tentang kesalahan ini biasanya dicatat dalam berkas log. Besarnya
informasi yang dicatat bergantung kepada konfigurasi dari sistem setempat.
Misalnya, ada yang menuliskan informasi apabila pemakai memasukkan userid dan
password yang salah sebanyak tiga kali. Ada juga yang langsung menuliskan
informasi ke dalam berkas log meskipun baru satu kali salah. Informasi tentang
waktu kejadian juga dicatat. Selain itu asal hubungan (connection) juga dicatat
sehingga administrator dapat memeriksa keabsahan hubungan.
2. Memilih password
Dengan
adanya kemungkinan password ditebak, misalnya dengan menggunakan program
password cracker, maka memilih password memerlukan perhatian khusus.
3. Memasang
proteksi
Untuk lebih
meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi
ini dapat berupa filter (secara umum) dan yang lebih spesifik adalah firewall.
Filter dapat digunakanuntuk memfilter e-mail, informasi, akses, atau bahkan
dalam level packet.
4. Firewall
Firewall
merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan
internal. Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan
utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam maupun
ke luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan.
Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari
organisasi yang bersangkutan.
Firewall
bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya.
Berdasarkan konfigurasi dari firewall makaakses dapat diatur berdasarkan IP
address, port, dan arah informasi.Detail dari konfigurasi bergantung kepada
masing-masing firewall.Firewall dapat berupa sebuah perangkat keras yang
sudahdilengkapi dengan perangkat lunak tertentu, sehingga
pemakai(administrator) tinggal melakukan konfigurasi dari firewall tersebut.
5. Pemantau
adanya serangan
Sistem
pemantau (monitoring system) digunakan untuk mengetahui adanya tamu tak
diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem ini
adalah “intruder detection system” (IDS). Sistem ini dapat memberitahu
administrator melalui e-mail maupun melalui mekanisme lain seperti melalui
pager. Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya
aktif dan pasif. IDS cara yang pasif misalnya dengan memonitor logfile. Contoh
software IDS antara lain: Autobuse, mendeteksi probing dengan memonitor
logfile, Courtney, mendeteksi probing dengan memonitor packet yang lalu lalang
dan Shadow dari SANS.
Aspek keamanan sistem informasi:
•
Authentication: agar penerima informasi dapat memastikan keaslian
pesan tersebut datang dari orang yang dimintai informasi.
•
Integrity: keaslian pesan yang dikirim melalui sebuah jaringan dan
dapat dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang
yang tidak berhak dalam perjalanan informasi tersebut.
•
Authority: Informasi yang berada pada sistem jaringan tidak dapat
dimodifikasi oleh pihak yang tidak berhak atas akses tersebut.
•
Confidentiality: merupakan usaha untuk menjaga informasi dari
orang yang tidak berhak mengakses.
•
Privacy: merupakan lebih ke arah data-data yang sifatnya privat
(pribadi).
Aspek ancaman keamanan komputer atau keamanan sistem informasi
•
Interruption: informasi dan data yang ada dalam sistem komputer
dirusak dan dihapus sehingga jika dibutuhkan, data atau informasi tersebut
tidak ada lagi.
•
Interception: Informasi yang ada disadap atau orang yang tidak
berhak mendapatkan akses ke komputer dimana informasi tersebut disimpan.
•
Modifikasi: orang yang tidak berhak berhasil menyadap lalu lintas
informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut.
•
Fabrication: orang yang tidak berhak berhasil meniru suatu
informasi yang ada sehingga orang yang menerima informasi tersebut menyangka
informasi tersebut berasal dari orang yang dikehendaki oleh si penerima
informasi tersebut.
Metodologi Keamanan Sistem Informasi:
•
Keamanan level 0: keamanan fisik, merupakan keamanan tahap awal
dari komputer security. Jika keamanan fisik tidak terjaga dengan baik, maka
data-data bahkan hardware komputer sendiri tidak dapat diamankan.
•
Keamanan level 1: terdiri dari database, data security, keamanan
dari PC itu sendiri, device, dan application. Contohnya: jika kita ingin
database aman, maka kita harus memperhatikan dahulu apakah application yang
dipakai untuk membuat desain database tersebut merupakan application yang sudah
diakui keamanannya seperti oracle. Selain itu kita harus memperhatikan sisi
lain yaitu data security. Data security adalah cara mendesain database
tersebut. Device security adalah alat-alat apa yang dipakai supaya keamanan
dari komputer terjaga. Computer security adalah keamanan fisik dari orang-orang
yang tidak berhak mengakses komputer tempat datadase tersebut disimpan.
•
Keamanan level 2: adalah network security. Komputer yang terhubung
dengan jaringan sangat rawan dalam masalah keamanan, oleh karena itu keamanan
level 2 harus dirancang supaya tidak terjadi kebocoran jaringan, akses ilegal
yang dapat merusak keamanan data tersebut.
•
Keamanan level 3: adalah information security. Keamanan informasi
yang kadang kala tidak begitu dipedulikan oleh administrator seperti memberikan
password ke teman, atau menuliskannya dikertas, maka bisa menjadi sesuatu yang
fatal jika informasi tersebut diketahui oleh orang yang tidak bertanggung
jawab.
•
Keamanan level 4: merupakan keamanan secara keseluruhan dari
komputer. Jika level 1-3 sudah dapat dikerjakan dengan baik maka otomatis
keamanan untuk level 4 sud
Cara Mendeteksi Suatu Serangan Atau Kebocoran
Sistem:
Terdiri dari 4 faktor yang merupakan cara
untuk mencegah terjadinya serangan atau kebocoran sistem :
•
Desain sistem: desain sistem yang baik tidak meninggalkan
celah-celah yang memungkinkan terjadinya penyusupan setelah sistem tersebut
siap dijalankan.
•
Aplikasi yang Dipakai: aplikasi yang dipakai sudah diperiksa dengan
seksama untuk mengetahui apakah program yang akan dipakai dalam sistem tersebut
dapat diakses tanpa harus melalui prosedur yang seharusnya dan apakah aplikasi
sudah mendapatkan kepercayaan dari banyak orang.
•
Manajemen : pada dasarnya untuk membuat suatu sistem yang
aman/terjamin tidak lepas dari bagaimana mengelola suatu sistem dengan baik.
Dengan demikian persyaratan good practice standard seperti Standard Operating
Procedure (SOP) haruslah diterapkan di samping memikirkan hal teknologinya.
•
Manusia (Administrator): manusia adalah salah satu fakor yang
sangat penting, tetapi sering kali dilupakan dalam pengembangan teknologi
informasi dan dan sistem keamanan. Sebagai contoh, penggunaan password yang
sulit menyebabkan pengguna malah menuliskannya pada kertas yang ditempelkan di
dekat komputer. Oleh karena itu, penyusunan kebijakan keamanan faktor manusia
dan budaya setempat haruslah sangat diperhatikan.
Langkah keamanan sistem informasi:
•
Aset: Perlindungan aset merupakan hal yang penting dan merupakan langkah
awal dari berbagai implementasi keamanan komputer. Contohnya: ketika mendesain
sebuah website e-commerce yang perlu dipikirkan adalah keamanan konsumen.
Konsumen merupakan aset yang penting, seperti pengamanan nama, alamat, ataupun
nomor kartu kredit.
•
Analisis Resiko: adalah tentang identifikasi akan resiko yang
mungkin terjadi, sebuah even yang potensial yang bisa mengakibatkan suatu
sistem dirugikan.
•
Perlindungan : Kita dapat melindungi jaringan internet dengan
pengaturan Internet Firewall yaitu suatu akses yang mengendalikan jaringan
internet dan menempatkan web dan FTP server pada suatu server yang sudah
dilindungi oleh firewall.
•
Alat: alat atau tool yang digunakan pada suatu komputer merupakan
peran penting dalam hal keamanan karena tool yang digunakan harus benar-benar
aman.
•
Prioritas: Jika keamanan jaringan merupakan suatu prioritas, maka
suatu organisasi harus membayar harga baik dari segi material maupun non
material. Suatu jaringan komputer pada tahap awal harus diamankan dengan
firewall atau lainnya yang mendukung suatu sistem keamanan.
Strategi dan taktik keamanan sistem informasi:
•
Keamanan fisik: lapisan yang sangat mendasar pada keamanan sistem
informasi adalah keamanan fisik pada komputer. Siapa saja memiliki hak akses ke
sistem. Jika hal itu tidak diperhatikan, akan terjadi hal-hal yang tidak
dikehendaki.
•
Kunci Komputer: banyak case PC modern menyertakan atribut
penguncian. Biasanya berupa soket pada bagian depan case yang memungkinkan kita
memutar kunci yang disertakan ke posisi terkunsi atau tidak.
•
Keamanan BIOS: BIOS adalah software tingkat terendah yang
mengonfigurasi atau memanipulasi hardware. Kita bisa menggunakan BIOS untuk
mencegah orang lain me-reboot ulang komputer kita dan memanipulasi sisten
komputer kita.
•
Mendeteksi Gangguan Keamanan Fisik: hal pertama yang harus
diperhatikan adalah pada saat komputer akan di-reboot. Oleh karena Sistem
Operasi yang kuat dan stabil, saat yang tepat bagi komputer untuk reboot adalah
ketika kita meng-upgrade SO, menukar hardware dan sejenisnya.
B.
TIPE-TIPE
PENGENDALIAN
Pengendalian
sistem informasi merupakan bagian yang tak dapat dipisahkan dari pengelolaan
sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena
mengamati setiap tahapan dalam proses pengelolaan informasi. Pengendalian
sistem informasi adalah keseluruhan kegiatan dalam bentuk mengamati, membina,
dan mengawasi pelaksanaan mekanisme. Organisasi pada saat ini bergantung pada
teknologi informasi (TI), seperti memindahkan sebagaian dari sistem
informasinya ke cloud.
1. Pengendalian
Preventif
Yaitu
pengendalian yang mencegah masalah sebelum timbul. Pengendalian preventif yang
digunakan organisasi secara umum digunakan untuk membatasi akses terhadap
sumber daya informasi. COBIT 5 mengidentifikasi kemampuan dan kompetensi
pegawai sebagai sebuah fasilitator kritis lainnya untuk keamanan informasi yang
eefektif. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang
kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran-ukuran
keamanan bagi kebertahanan jangka panjang organisasi. Selain itu, pegawai juga
dilatih untuk mengikuti praktik-praktik komputasi yang aman. Investasi
organisasi dalam pelatihan keamanan akan menjadi efektif hanya jika manajemen mendemontrasikan dengan
jelas bahwa mereka mendukung para pegawai yang mengikuti kebijakan keamanan.
Penting memahami bahwa “orang luar” bukan satu-satunya sumber ancaman. Oleh
karena itu, organisasi menerapkan satu set pengendalian untuk melindungi aset
informasi.
Praktik manajemen COBIT 5 DSS05.04 menetapkan
dua pengendalian atas ancaman terhadap aset informasi:
a. Pengendalian
autentifikasi, memverifikasi identitas seseorang atau perangkat yang mencoba
untuk mengakses sistem. Pengendalian ini membatasi siapa saja yang dapat
mengakses sistem informasi organisasi.
b. Pengendalian
otorisasi, proses memperketat akses pengguna terotorisasi atas bagian spesifik
sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk
dilakukan.
2. Pengendalian
Detektif
Yaitu
pengendalian yang didesain untuk menemukan masalah pengendalian yang tidak
terelakan. Sebagaian besar sistem muncul dengan kemampuan ekstensif untuk
mencatat (logging) siapa yang mengakses sistem. Sejumlah log yang dibuat
menciptakan sebuah jejak audit pada akses sistem. Analisis log adalah proses
pemeriksaan log untuk mengidentifikasi bukti kemungkinan serangan. Sedangkan,
sistem deteksi gangguan (intrusion detection system) merupakan sebuah sistem
yang menghasilkan sejumlah log dari seluruh lalu lintas jaringan yang diizinkan
untuk melewati firewall kemudian menganalisis log-log tersebut sebagai tanda
atas gangguan yang diupayakan atau berhasil dilakukan.
Organisasi
perlu untuk secara periodik menguji efektivitas proses bisnis dan pengendalian
internal. Sebuah uji penetrasi adalah sebuah upaya terotorisasi untuk menerobos
ke dalam sistem informasi organisasi. Oleh karena itu, Praktik manajemen COBIT
5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai terhadap
kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses
bisnis.
3. Pengendalian
Korektif
Yaitu pengendalian yang mengidentifikasi dan
memperbaiki masalah serta memperbaiki dan memulihkan dari kesalahan yang
dihasilkan. Terdapat tiga pengendalian korektif yang penting:
a.
Pembentukan sebuah tim perespon insiden komputer (computer
incident response team–CIRT). Merupakan sebuah tim yang bertanggung jawab untuk
mengatasi insiden keamanan utama. Sebuah CIRT harus mengarahkan proses respon
insiden organisasi melalui empat tahap: 1). Pemberitahuan(recognition) adanya
sebuah masalah; 2). Penahanan (containment) masalah; 3). Pemulihan (recovery);
dan 4). Tindak lanjut (foloow up).
b.
Pendesainan individu khusus (Chief Informastion Security Officer –
CISO). Penting agar organisasi menentukan pertanggungjawaban atas keamanan
informasi kepada seseorang di level manajemen senior yang tepat. satu cara
untuk memenuhi sasaran adalah menciptakan posisi CISO, yang harus independen
dari fungsi-fungsi sistem informasi lainnya serta harus melapor baik ke chief
operating officer (COO) maupun chief executive officer (CEO). Oleh karena itu,
CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian kerentanan
dan risiko dilakukan secara teratur serta audit keamanan dilakukan secara
periodik.
c.
Penetapan serta penerapan sistem manajemen path yang didesain
dengan baik. Patch adalah kode yang dirilis oleh pengembang perangkat lunak
untuk memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk
secara teratur menerapkan patch dan memperbarui
seluruh perangkat lunak yang digunakan
oleh organisasi. Oleh karena sejumlah patch merepresentasikan modifikasi
perangkat lunak yang sungguh rumit, maka organisasi perlu menguji dengan cermat
efek dari patch sebelum menyebarkannya.
PENGENDALIAN
UMUM DAN APLIKASI
1. PENGENDALIAN
UMUM
Yaitu pengendalian yang didesain untuk
memastikan sistem informasi organisasi serta pengendalian lingkungan stabil dan
dikelola dengan baik. Pengendalian umum digolongkan menjadi beberapa,
diantaranya:
a. Pengendalian
organisasi dan otorisasi adalah secara umum terdapat pemisahan tugas dan jabatan
antara pengguna sistem (operasi) dan administrator sistem (operasi). Dan juga
dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila memang telah
diotorisasi oleh administrator.
b. Pengendalian
operasi. Operasi sistem informasi dalam perusahaan juga perlu pengendalian
untuk memastikan sistem informasi tersebut dapat beroperasi dengan baik
selayaknya sesuai yang diharapkan.
c. Pengendalian
perubahan. Perubahan-perubahan yang dilakukan terhadap sistem informasi harus
dikendalikan, termasuk pengendalian versi dari sistem informasi tersebut,
catatan perubahan versi, serta manajemen perubahan atas diimplementasikannya
sebuah sistem informasi.
d. Pengendalian
akses fisikal dan logikal. Pengendalian akses fisikal berkaitan dengan akses
secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan,
sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem
operasi sistem tersebut (misal: windows).
2. PENGENDALIAN
APLIKASI
Yaitu pengendalian yang mencegah, mendeteksi,
dan mengoreksi kesalahan transaksi dan penipuan dalam program aplikasi.
Terdapat beberapa macam aplikasi berwujud perangkat lunak, yang dapat dibagi
menjadi dua tipe dalam perusahaan:
a. Perangkat
lunak berdiri sendiri. Terdapat pada organisasi yang belum menerapkan SIA dan sistem
ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada masing-masing
unitnya. Contoh: aplikasi (software) MYOB pada fungsi akuntansi dan keuangan.
b. Perangkat
lunak di server. Tedapat pada organisasi yang telah menerapkan SIA dan sistem
ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai
sistem client-server . Client hanya dipakai sebagai antar-muka (interface)
untuk mengakses aplikasi pada server.
Selain macam-macam aplikasi dalam
pengendalian, terdapat juga bentuk pengendalian dari aplikasi tersebut,
diantaranya:
a. Pengendalian
Organisasi dan Akses Aplikasi. Pada pengendalian organisasi, hampir sama dengan
pengendalian umum organisasi, namun lebih terfokus pada aplikasi yang
diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna,
hingga pengembangan aplikasi tersebut. Untuk pengendalian akses, terpusat hanya
pada pengendalian logika saja untuk menghindari akses tidak terotorisasi.
Selain itu juga terdapat pengendalian role based menu dibalik pengendalian
akses logika, dimana hanya pengguna tertentu saja yang mampu mengakses menu
yang telah ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan
TI dan prosedur perusahaan berkaitan dengan nama pengguna dan sandi nya.
b. Pengendalian
Input. Pengendalian input memastikan data-data yang dimasukkan ke dalam sistem
telah tervalidasi, akurat, dan terverifikasi.
c. Pengendalian
Proses. Pengendalian proses biasanya terbagi menjadi dua tahapan, yaitu (1)
tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik yang
sementara maupun yang permanen dan (2) tahapan database, proses yang dilakukan
pada berkas-berkas master.
d. Pengendalian
Output. Pada pengendalian ini dilakukan beberapa pengecekan baik secara
otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat
mata.
e. Pengendalian
Berkas Master. Pada pengendalian ini harus terjadi integritas referensial pada
data, sehingga tidak akan diketemukan anomali-anomali, seperti anomaly
penambahan, anomaly penghapusan dan anomaly pemuktahiran/pembaruan.
C.
PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SYSTEM
Untuk mengatasi permasalahan
pengendalian tersebut, AICPA dan CICA
mengembangkan Trust Service Framework untuk menyediakan panduan penilaian
keandalan sistem informasi. Trust Service Framework mengatur pengendalian TI ke
dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan
sistem:
1. Keamanan
(security), dimana akses (baik fisik maupun logis) terhadap sistem dan data di
dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan
(confidentiality), dimana informasi keorganisasian yang sensitive (seperti
rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa ijin.
3. Privasi
(privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok, atau
rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai dengan
kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal serta
terlindungi dari pengungkapan tanpa ijin.
4. Integritas
Pemrosesan (processing integrity), dimana data diproses secara akurat, lengkap,
tepat waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan
(availability), dimana sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.
KERAHASIAAN
DAN PRIVASI
1. Kerahasiaan
Aspek ini
berhubungan dengan kerahasiaan data-data penting yang tersimpan pada sistem
organisasi yang tidak boleh diakses atau digunakan oleh orang-orang yang tidak
berhak. Aspek ini dapat tidak terpenuhi jika ada pengguna (internal) yang memiliki izin tetapi menyalah gunakan
izin tersebut lalu pengguna tersebut menyebar luaskan data-data organisasi yang
bersifat rahasia tersebut kepada orang lain atau pesaing yang membuat organisasi merasa dirugikan atau
juga pengguna tersebut menggunakan secara pribadi rahasia tersebut untuk
menyaingi perusahaan. Terdapat empat tindakan dasar yang harus dilakukan untuk
menjaga kerahasiaan atas informasi
sensitif:
a. Mengidentifikasi dan mengklasifikasi
informasi untuk dilindungi. Langkah pertama untuk melindungi kerahasiaan
kekayaan intelektual dan informasi bisnis sensitive lainnya adalah
mengidentifikasi letak informasi tersebut disimpan dan orang yang mengaksesnya.
Setelah informasi yang perlu untuk dilindungi telah diidentifikasi, langkah
selanjutnya adalah mengklasifikasikan informasi untuk organisasi berdasarkan
nilainya. Praktik manajemen COBIT 5 menunjukkan bahwa klasifikasi merupakan
tanggung jawab pemilik informasi, bukan professional keamanan informasi karena
hanya pemilik informasilah yang memahami bagaimana informasi digunakan.
b. Mengenkripsi informasi. Enkripsi adalah alat
yang penting dan efektif untuk melindungi kerahasiaan. Enkripsi adalah satu-satunya cara untuk
melindungi informasi dalam lalu lintas internet dan cloud publik.
c. Mengendalikan akses atas informasi.
Pengendalian autentikasi dan otorisasi tidaklah cukup untuk melindungi
kerahasiaan karena hanya mengendalikan akses awal terhadap informasi yang
disimpan secara digital. Perangkat lunak information rights management (IRM)
memberikan tambahan lapisan perlindungan terhadap informasi yang disimpan
dengan format digital, menawarkan kemampuan tidak hanya untuk membatasi akses
terhadap file tetapi juga memerinci tindakan-tindakan yang dapat dilakukan
individuyang diberi akses terhadap sumber daya tersebut. Saat ini organisasi
secara konstan mempertukarkan informasi dengan rekan bisnis dan pelanggan,
perangkat lunak data loss prevention bekerja seperti antivirus secara terbalik
mengeblok pesan-pesan keluar yang mengandung kata-kata atau frasa-frasa kunci
yang terkait dengan kekayaan intelektual atau data sensitif lain yang ingin
dilindungi.
d. Melatih para pegawai untuk menangani
informasi secara tepat. Pelatihan adalah pengendalian yang penting untuk
melindungi kerahasiaan. Para pegawai perlu mengetahui jenis informasi yang
dapat mereka bagikan dan jenis informasi yang dilindungi. Dengan pelatihan yang memadai, para pegawai
dapat memainkan peran penting untuk melindungi kerahasiaan informasi organisasi
dan meningkatkan efektivitas pengendalian terkait.
2. Privasi
Prinsip
privasi Trust Services Framework erat kaitannya dengan prinsip kerahasiaan,
perbedaan utamanya, yaitu lebih berfokus pada perlindungan informasi pribadi mengenai pelanggan, pegawai, pemasok,
atau rekan bisnis dari pada data keorganisasian. Langkah pertama untuk
melindungi privasi yaitu mengidentifikasi jenis informasi yang dimiliki
organisasi, letak ia simpan, dan orang yang memiliki akses terhadapnya. Demi
melindungi privasi, organisasi harus menjalankan program data masking yaitu
program yang menggantikan informasi pribadi semacam itu dengan nilai-nilai
palsu sebelum mengirimkan data tersebut kepada pengembang program dan sistem
pengujian. Terdapat dua permasalahan utama terkait privasi:
a. Spam adalah e-mail tak diinginkan yang
mengandung baik periklanan maupun konten serangan. Spam merupakan permasalahan
yang terkait privasi karena penerima sering kali menjadi target tujuan atas
akses tak terotorisasi terhadap daftar dan databasee-mail yang berisi informasi
pribadi.
b. Pencuri identitas (identity theft), yaitu
penggunaan tidak sah atas informasi pribadi seseorang demi keuntungan pelaku.
Organisasi harus memiliki kewajiban etis dan moral untuk menerapkan
pengendalian demi melindungi informasi pribadi yang organisasi kumpulkan.
Permasalahan
mengenai spam, pencurian identitas, dan perlindungan privasi individu telah
menghasilkan berbagai regulasi pemerintah. Untuk membantu organisasi agar hemat
biaya dalam mematuhi banyaknya persyaratan ini, American Institute of Certified
Public Accountant (AICPA) dan Canadian Institute of Chartered Accountants
(CICA) bersama-sama mengembangkan sebuah
kerangka yang disebut prinsip-prinsip yang diterima umum (Generally Accepted
Privacy Principles – GAAP). Kerangka
tersebut mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik
untuk melindungi privasi informasi pribadi para pelanggan yang terdiri dari:
1). Manajemen; 2). Pemberitahuan; 3). Pilihan dan persetujuan; 4). Pengumpulan;
5). Penggunaan dan Retensi; 6). Akses; 7). Pengungkapan kepada pihak
ketiga; 8). Keamanan; 9). Kualitas; 10).
Pengawasan dan penegakan.
INTEGRITAS
DAN KETERSEDIAAN PEMROSESAN
1. Integritas
Pemrosesan
Prinsip Integritas Pemrosesan dari Trust
Service Framework menyatakan bahwa sebuah sistem yang dapat diandalkan adalah
sistem yang menghasilkan informasi akurat, lengkap, tepat waktu, dan valid.
Aplikasi pengendalian untuk integritas pemrosesan terdiri atas:
a. Pengendalian Input. Jika data yang dimasukkan
ke dalam sistem tidak akurat, tidak lengkap, atau tidak valid maka bentuk
pengendalian input yang dilakukan adalah bentuk desain, pembatalan dan
penyimpanan dokumen, otorisasi dan pemisahan tugas pengendalian, pemindaian
visual, dan pengendalian entri data.
b. Pengendalian pemrosesan. Jika terjadi kesalahan
dalam output dan data yang tersimpan dalam pemrosesan maka bentuk pengendalian
yang dilakukan adalah pencocokan data, label file, total batch, pengujian saldo
cross-footing dan saldo nol, mekanisme menulis perlindungan (write-protection),
pemrosesan database, dan pengendalian integritas.
c. Pengendalian Output. Jika terjadi penggunaan
laporan yang tidak akurat atau tidak lengkap, pengungkapan yang tidak
diotorisasi informasi sensitive, dan kehilangan, perubahan, atau pengungkapan
informasi dalam transit maka bentuk pengendalian yang dilakukan adalah
pemeriksaan dan rekonsiliasi, enkripsi dan pengendalian akses, pengecekan
berimbang dan tenik pengakuan pesan.
2. Ketersediaan
Pemrosesan
Tujuan utamanya adalah untuk meminimalkan
risiko penghentian sistem. Oleh karena itu, organisasi perlu memiliki
pengendalian yang didesain untuk memungkinkan pelanjutan cepat dari operasi
normal. Berdasarkan kedua tujuan tersebut maka bentuk pengendaliannya:
a. Tujuan meminimalkan risiko penghentian sistem
dapat dilakukan melalui pengendalian pemeliharaan preventif, toleransi
kesalahan, lokasi dan desain pusat data, pelatihan, dan manajemen patch dan
perangkat lunak antivirus.
b. Tujuan pemulihan yang cepat dan lengkap serta
pelanjutan operasi normal dapat dilakukan melalui pengendalian prosedur backup,
disaster recovery plan, dan business continuity plan.
KEAMANAN
INFORMASI PADA BANK DANAMON
Sebagaimana
teknologi lainnya, selain memiliki kelebihan berupa kemudahan dan manfaat luas
yang meningkatkan kualitas kehidupan manusia, maka layanan perbankan elektronik
juga memiliki banyak kelemahan yang patut diwaspadai dan diantisipasi.
Sehingga, teknologi tersebut tetap dapat dipakai, manfaatnya terus dinikmati
oleh umat manusia namun juga harus ada tanggung jawab, pengawasan dan upaya
untuk memperbaiki kelemahan, menanggulangi permasalahan yang mungkin timbul
serta yang paling penting adalah meningkatkan kesadaran dan menanamkan
pemahaman tentang resiko dari pemanfaatan teknologi yang digunakan oleh layanan
perbankan itu terutama kepada masyarakat luas, pengguna/nasabah,
pemerintah/regulator, aparat penegak hukum dan penyelenggara layanan itu
sendiri (bank, merchant, operator layanan pihak ketiga dlsb.). Karena masalah
keamanan adalah tanggung jawab bersama, semua pihak harus turut serta berperan
aktif dalam upaya pengamanan.
Kerjasama
semua pihak yang terkait pemanfaatan teknologi ini sangat diperlukan. Ada
sebuah jargon dalam dunia information security yaitu: “your security is my
security”, artinya semua pihak pasti memiliki titik kerawanan dan karenanya
masing-masing memiliki potensi resiko yang mungkin dapat dieksploitasi oleh
pihak lain yang berniat tidak baik. Maka apabila terjadi insiden terkait
kerawanan itu, seluruh komponen yang saling terkait harus turut bertanggung jawab
untuk menanggulangi dan meningkatkan upaya meminimalisir resiko serta mencegah
kejadian serupa di masa depan.
Misalnya,
bank tidak mungkin melakukan pengamanan apabila nasabah tidak memiliki
pemahaman mengenai kemungkinan resiko kerawanan dan kelemahan pada sistem
elektronik yang digunakan. Sebaliknya, nasabah yang telah berhati-hati
sekalipun akan dapat menjadi korban apabila bank lalai atau gagal di dalam
pengawasan dan upaya peningkatan pengamanan sistem secara terus-menerus.
Demikian juga apabila aturan dari pemerintah lemah dan penegak hukum tidak
memiliki kemampuan yang memadai untuk terus mengikuti perkembangan sistem dan
teknologi maka ketika terjadi insiden akan sulit untuk melakukan penindakan
terhadap semua pihak yang seharusnya bertanggung jawab.
Sehingga
semuanya saling terkait, tidak berdiri sendiri. Pihak yang berniat jahat akan
selalu memilih celah kerawanan yang paling lemah sebagai pintu masuk. Sehingga
semua pihak turut bertanggung jawab dan harus saling membantu (bekerjasama)
untuk mengawasi, memperbaiki dan menutup celah tersebut tanpa saling
menyalahkan karena justru akan berakibat melemahkan peran dan potensi setiap
pihak dalam upaya pengamanan bersama. Setiap pihak adalah satu simpul rangkaian
rantai pengamanan dan semua saling bergantung satu sama lain, karenanya semua
sama pentingnya.
IDENTIFIKASI
METODE PENGAMANAN DATA DI BANK DANAMON
Perbankan mulai melakukan langkah pengetatan
pengamanan data nasabah setelah sejumlah kasus pembobolan rekening nasabah
terungkap. Bocornya dana nasabah bisa berdampak pada berkurangnya tingkat
kepercayaan masyarakat pada sistem pengelolaan dana di perbankan. Oleh sebab
itu, Bank Danamon memperketat sistem keamanannya dengan penambahan sistem
keamanan baik di jaringan, sistem informasi teknologi dan bahkan di perangkat
keras (hardware).
Menjamin
Ketersediaan Data
Ketersediaan data bagi dunia perbankan sangat
penting. Bank danamon memberikan kemudahan bagi nasabahnya untuk dapat
mengakses data secara online baik untuk setiap jenis tabungan. Danamon Online
Banking adalah jasa layanan perbankan melalui internet banking yang memberikan
kemudahan bagi Nasabah Bank Danamon untuk mengakses rekening dan melakukan
transaksi Perbankan non-tunai melalui jaringan Internet kapan saja selama 24
jam sehari, 7 hari dalam satu minggu, dengan aman dan mudah. Data nasabah
dilindungi dengan berbagai proteksi sistem keamanan salah satunya adalah dengan
Extended Validation (EV) SSL 3.0 dengan enskripsi 128-bit.
Mencegah
kerusakan dan korupsi data
Proses Implementasi dilakukan oleh Bank
Danamon untuk menyempurnakan program atau software baik yang berkaitan dengan
kegiatan transaksional maupun non transaksional. Sebagai tindakan preventif
terhadap kerusakan dan korupsi data, Bank Danamon menempatkan server di pusat
dan di cabang. Hal itu bertujuan agar ketika terjadi implementasi program dapat
dilakukan secara integratif dan mencegah terjadinya baik kerusakan data maupun
korupsi data.
Mencegah
pengunaan data oleh yang tidak berhak
Danamon Online Banking menggunakan halaman
Web yang dilindungi dengan Extended Validation (EV) SSL 3.0 dengan enskripsi
128-bit, standard tertinggi dari industri keamanan internet untuk otentikasi
identitas suatu situs web, sehingga informasi pribadi dan keuangan Nasabah
tidak dapat terbaca oleh pihak yang tidak berkepentingan ketika melalui
jaringan internet. Nasabah juga akan diberikan User ID & Password yang
unik, sehingga tidak ada duplikasi dan hanya Nasabah yang mengetahuinya. Setiap
kali Login, Nasabah hanya diperkenankan mengulang Password yang salah sebanyak
tiga kali sebelum akses tersebut diblokir untuk mencegah penyalahgunaan oleh
pihak yang tidak bertanggung jawab. Setiap transaksi finansial harus
menggunakan alat pengaman tambahan yang disebut Token dan setiap transaksi yang
diinstruksikan tidak akan diproses tanpa konfirmasi dan persetujuan Nasabah.
Jika tidak terdapat aktivitas selama sepuluh menit, sistem secara otomatis akan
mengakhiri (logout) akses Nasabah untuk mencegah penyalahgunaan oleh pihak yang
tidak berwenang.
Menjamin update
dan validitas data
Transaksi online banking dapat dilakukan
melalui telepon selular ataupun layanan internet. Semua jenis rekening dapat
diakses melalui layanan Danamon Online Banking (DOB). Sebelum menggunakan
layanan ini nasabah harus melakukan registrasi lalu masuk ke
https://www.danamonline.com. Bila diperhatikan HTTPS adalah singkatan dari
HyperText Transport Protocol Secure,memiliki pengertian sama dengan HTTP tetapi
dengan alasan keamanan (security), HTTPS memberi tambahan Secure Socket Layer (SSL).
Bisa dilihat tambahan kata secure pada
singkatan https.
Nasabah akan diminta untuk memasukkan
data-data pribadi, lalu Setelah data tervalidasi, User ID Sementara akan
dikirimkan melalui e-mail address yang telah dimasukkan pada saat Registrasi
dan Password Sementara akan dikirimkan melalui SMS.
Jika Nasabah tidak mengganti User ID dan
Password Sementara melalui situs Danamon Online Banking dalam waktu empat belas
(14) hari setelah Registrasi, maka User ID dan Password Semetara tersebut akan
menjadi tidak belaku. Oleh karena itu, Nasabah harus melalukan Registrasi ulang
secara online melalui situs Danamon Online Banking atau melalukan registrasi
ulang melalui ATM Danamon untuk mendapatkan User ID dan Password Sementara yang
baru.
Jika Nasabah belum melakukan Login ke situs
Danamon Online Banking dan mengganti User ID dan Password Sementara, Nasabah
dapat melakukan Registrasi ulang secara online melalui situs Danamon Online
Banking atau registrasi ulang melalui ATM Danamon atau menghubungi Danamon
Access Center untuk mendapatkan informasi mengenai User ID.
Nasabah bank danamon juga mendapatkan token.
Token adalah piranti keamanan yang dapat menghasilkan Kode Rahasia dengan
algoritma tertentu agar Nasabah dapat melakukan transaksi finansial dan
non-finansial lainnya seperti reset Password, penggantian data pribadi, dan
sebagainya melalui Danamon Online Banking. Bank Danamon memberi Anda
keleluasaan untuk memilih Token sebagai piranti keamanan yang Anda inginkan,
yaitu Danamon (hardware) Token atau SMS Token.
Danamon Token adalah perangkat yang dapat
menghasilkan Kode Rahasia Token yang dapat berupa Challenge Response maupun One
Time Password (OTP) sesuai dengan instruksi yang dimasukkan pada Danamon Token.
Dengan memilih jenis Token ini, Anda harus selalu membawa Danamon Token setiap
melakukan transaksi melalui Danamon Online Banking.
SMS Token adalah Kode Rahasia berupa One Time
Password (OTP) yang akan dihasilkan pada saat Anda menekan tombol Lanjut pada
halaman transaksi di situs Danamon Online Banking. Kode ini akan dikirimkan
melalui SMS ke nomor ponsel yang telah terdaftar. Dengan SMS Token, Anda dapat
melakukan transaksi Danamon Online Banking tanpa harus membawa piranti Token.
DAFTAR
PUSTAKA:
________ Information Security Management
System; www.scribd.com,12/06/2009/ Information-Security-Management-System / 25
Juli 2011 pukul 20.00 wib.
________ Data base & Data Security;
http://mtaufik.wordpress.com/14/06/2011/ 27 Juli 2011 pukul 21.00 wib.
Yuriaiuary, 2017,
http://yuriaiuary.blogspot.co.id/2017/05/sistem-informasi-dan-pengendalian.html,
(12 Mei 2017)
Fairuzelsaid, 2011,
https://fairuzelsaid.wordpress.com/2011/03/19/keamanan-sistem-informasi-konsep-keamanan-sistem-informasi/,
(19 Maret 2011)
Dewi Fatma, 2013,
https://www.academia.edu/9760290/keamanan_sistem_informasi
Comments
Post a Comment