Open in app

Sign in

Write

Sign in

Week 05: Information Security

Jesica Pratiwi
6 min readFeb 25, 2021

--

Seiring dengan perkembangan teknologi, banyak kegiatan serta kebutuhan dan aktivitas yang dilakukan oleh orang-orang melalui internet. Salah satu keharusan yang dilakukan dalam melakukan kegiatan tersebut ialah dengan memasukkan informasi baik itu data diri maupun yang lainnya. Tapi banyak orang kemudian mulai khawatir dan memperhatikan keamanan informasi mereka. Mereka mulai mencari tahu apa dan bagaimana cara melindungi diri dari ancaman untuk urusan ini.

Lalu, seperti apa information security itu?

1. Apa itu Information security?

  • Security : merupakan tingkatan perlindungan dari aktifitas criminal dan pencurian
  • Information security : semua proses dan kebijakan yang dirancang untuk melindungi informasi dan sistem informasi (IS) organisasi dari akses, penggunaan, pengungkapan, gangguan, modifikasi, atau penghancuran yang tidak sah.
  • Threat : merupakan bahaya yang dapat mengahampiri sistem
  • Exposure : merupakan bahaya, kerugian, atau kerusakan yang dapat terjadi jika ancaman mengganggu sumber informasi.
  • Vulnerability : merupakan kemungkinan bahwa sistem akan dirugikan oleh suatu ancaman.

Sehingga information security bisa diartikan sebagai perlindungan kepada informasi atau sistem informasi dari akses, penggunaan, gangguan, modifikasi, dan perusakan yang tidak diizinkan.

2. Kategori Ancaman terhadap Keamanan Informasi:

source: R. Kelly Rainer Jr. “Introduction to Information Systems: Supporting and Transforming Business”. Wiley, 6th Edition, 2015.
  • Unintentional acts

Merupakan suatu kegiatan yang tidak disengaja, yang disebabkan oleh beberapa faktor yaitu:

Human Errors : berupa kesalahan dari pengguna, seperti penggunaan kata sandi yang buruk dan kurang berhati-hati dalam menggunakan laptop sehingga menyebabkan informasi yang disimpan dalam perangkat tersebut dapat diretas.

Kualitas layanan dari penyedia layanan mengalami penyimpangan, misalnya data yang kita masukkan ke whatsapp beserta seluruh pesan kita dapat diakses oleh orang lain.

Pegawai dengan jabatan lebih tinggi memiliki akses yang lebih luas dalam membuka seluruh data perusahaan darpada pegawai biasa, sehingga biasanya data-data pegawai biasa dapat dietahui oleh pegawai dengan jabatan yang lebih tinggi. Selain itu, mereka yang bekerja di bidang Human Resources (HR) dan Information System juga akan memiliki akses leluasa kepada seluruh data tentang pekerja lainnya serta informasi perusahaan

  • Natural disasters : yaitu merupakan ancaman yang disebabkan oleh kejadian alam, seperti banjir, sehingga menyebabkan perangkat rusak
  • Technical failures : yaitu merupakan ancaman yang disebabkan kesalahan teknikal seperti keadaan perangkat yang salah produksi sehingga dapat diretas
  • Management failures : yaitu kesalahan pada pihak manajerial misalnya seperti membuat sandi akun yang tidak kuat
  • Deliberate acts : yaitu ancaman yang terjadi karena suatu tindakan yang disengaja

3. Ancaman yang Disengaja terhadap Sistem Informasi

· Software Attacks
Merupakan penyerangan dimana penyerang atau pelaku menggunakan perangkat lunak berbahaya untuk menginfeksi sebanyak mungkin komputer. Penyerangan ini dilakukan dengan 2 jenis, yaitu dengan menggunakan User dan Non-User

Adapun penyerangan perangkat lunak menggunakan user adalah sebagai berikut :
Dilakukan dengan cara dimana virus kode komputer akan melakukan peretasan dengan melampirkan program ke komputer lain. Worm Segmen kode komputer akan mereplikasikan dan menyebar data yang diretasnya tersebut. Phising Attack menggunakan penipuan mengatasnamakan instansi resmi padahal hanya sebuah penyamaran. Spear Phising Attackmerupakan serangan phising hanya dengan target yang lebih besar/banyak.

Penyerangan perangkat lunak menggunakan user adalah sebagai berikut :

- Denial of Service Attack yaitu dimana penyerang akan mengirimkan banyak permintaan informasi ke sistem komputer sehingga target tidak dapat menanganinya dan berakhir macet

- Distributed Denial of Service Attack yaitu dimana penyerang mengambil alih komputer dengan menggunakan perangkat lunak berbahaya atau bot untuk mengirimkan aliran informasi ke komputer target sehingga menyebabkan macet

Dan yang terakhir yaitu penyerangan dengan menggunakan sistem yang telah dikembangkan seperti Trojan, Back Door, dan Logic Bomb

· Alien Software
Merupakan perangkat lunak yang beroperasi pada suatu komputer tanpa diketahui oleh pemiliknya. Serta melaporkan history kegiatan yang dilakukan oleh pengguna di komputernya.

· Supervisory Control and Data Acquisition (SCADA) Attacks
SCADA mengacu pada sistem kontrol dan pengukuran terdistribusi berskala besar. Sistem SCADA terdiri dari beberapa sensor, komputer master, dan infrastruktur komunikasi. Sensor terhubung ke peralatan fisik. Sensor terhubung dalam jaringan, dan setiap sensor biasanya memiliki alamat Internet (Protokol Internet, atau alamat IP, dibahas di Bab 6). Jika penyerang mendapatkan akses ke jaringan, mereka dapat menyebabkan kerusakan serius, seperti mengganggu jaringan listrik di area yang luas atau mengganggu operasi pabrik kimia atau nuklir besar.

· Cyberterrorism and Cyberwarfare
Cyberterrorism dan cyberwarfare mengacu pada tindakan berbahaya yang mana penyerang menggunakan sistem komputer target, terutama melalui Internet, untuk menyebabkan kerusakan fisik, dunia nyata, atau gangguan parah, seringkali untuk melaksanakan agenda politik.

4. Apa yang Dilakukan Organisasi untuk Melindungi Sumber Daya Informasi

Risiko merupakan suatu bentuk efek atau ancaman yang akan mempengaruhi sumber informasi.

Untuk mengurangi risiko ancaman dari suatu informasi, terdiri dari 3 hal, yaitu :

  • Risk Acceptance
    Yaitu menerima potensi risiko, terus beroperasi tanpa kontrol, dan serap segala kerusakan yang terjadi. Contohnya seperti menyusun kata sandi dengan nama sendiri atau tanggal lahir sehingga mudah ditebak oleh orang lain.
  • Risk Limitation
    Yaitu membatasi risiko dengan menerapkan kontrol yang meminimalkan dampak ancaman. Contohnya seperti memasang alaram kebakaran disebuah gedung, sehingga apabila terjadi kebakaran dapat meminimalisasi korban karena dapat meng-alert seluruh gedung jika terjadi kebakaran di suatu tempat di gedung tersebut.
  • Risk Transference
    Yaitu memindahkan risiko dengan menggunakan cara lain untuk mengkompensasi kerugian, seperti dengan membeli asuransi. Misalnya membeli asuransi untuk sebuah mobil, sehingga apabila mobil tersebut kecelakaan maka akan diganti rugi oleh pihakperusahaan.

5. Kontrol Keamanan Informasi

Physical Controls
Yaitu usaha mencegah individu yang tidak berwenang mendapatkan akses ke fasilitas perusahaan.

Access Controls
Yaitu mengontrol akses dengan membatasi akses informasi individu yang tidak berwenang. Pengontrolan ini akan dilakukan dengan 2 tahap yaitu otentikasi dan otorisasi. Otentikasi mengkonfirmasi identitas orang yang membutuhkan akses. Setelah orang tersebut diautentikasi (teridentifikasi), langkah selanjutnya adalah otorisasi. Otorisasi menentukan tindakan, hak, atau hak istimewa yang dimiliki orang tersebut, berdasarkan identitasnya yang telah diverifikasi. Mari kita periksa fungsi-fungsi ini lebih dekat.

Cara menyusun kata sandi

  • sulit ditebak.
  • panjang, bukan pendek.
  • harus memiliki huruf besar, huruf kecil, angka, dan karakter khusus.
  • kata-kata yang tidak bisa dikenali.
  • bukan nama apa pun atau orang yang dikenal, seperti nama keluarga atau nama hewan peliharaan.
  • bukan rangkaian angka yang dapat dikenali, seperti nomor Jaminan Sosial atau tanggal lahir.

Cara melindungi sumber informasi
· Firewalls
Firewall adalah sistem keamanan yang melindungi komputer dari berbagai ancaman di jaringan internet. Firewall ini bekerja sebagai sekat atau tembok yang membatasi komputer dari jaringan internet. Melalui “tembok api” inilah kita bisa mengatur data, informasi, dan kegiatan apa yang boleh lalu lalang dari jaringan internet ke komputer dan begitu pula sebaliknya.

· Anti-malware Systems
Malware adalah singkatan dari malicious software. Malware sendiri adalah sebuah software yang dirancang dengan tujuan untuk membahayakan, menyusup, atau merusak sebuah komputer. Malware juga biasa didefinisikan sebagai kode berbahaya. Software ini bisa melumpuhkan atau mengganggu operasi sebuah sistem, memungkinkan hacker untuk mendapat akses ke informasi rahasia dan sensitif serta memata-matai komputer serta pemilik komputer itu sendiri. Sehingga, Anti-malware adalah jenis software yang di-install langsung pada komputer untuk mendeteksi dan menghapus malware dari sistem yang ada secara aktif.

· Whitelisting and Blacklisting
Adalah proses di mana perusahaan mengidentifikasi perangkat lunak yang akan diizinkan untuk dijalankan di komputernya.

· Encryption
Enkripsi adalah proses mengubah pesan asli menjadi bentuk yang tidak dapat dibaca oleh siapa pun kecuali penerima yang dituju.

source: R. Kelly Rainer Jr. “Introduction to Information Systems: Supporting and Transforming Business”. Wiley, 6th Edition, 2015.

· Virtual Private Networking
Jaringan pribadi virtual adalah jaringan pribadi yang menggunakan jaringan publik (biasanya Internet) untuk menghubungkan pengguna. VPN pada dasarnya mengintegrasikan konektivitas global Internet dengan keamanan jaringan pribadi dan dengan demikian memperluas jangkauan jaringan organisasi.

· Secure Socket Layer
Keamanan lapisan transportasi, sebelumnya disebut lapisan soket aman, adalah standar enkripsi yang digunakan untuk transaksi aman seperti pembelian kartu kredit dan perbankan online. TLS mengenkripsi dan mendekripsi data antara server Web dan browser ujung ke ujung.

· Employee Monitoring Systems
Produk-produk ini berguna untuk mengidentifikasi karyawan yang menghabiskan terlalu banyak waktu untuk berselancar di Internet karena alasan pribadi, yang mengunjungi situs Web yang meragukan, atau yang mengunduh musik secara ilegal.

Communication Controls
Kontrol komunikasi (juga disebut kontrol jaringan) mengamankan pergerakan data melintasi jaringan. Kontrol komunikasi terdiri dari firewall, sistem anti-malware, daftar putih dan daftar hitam, enkripsi, jaringan pribadi virtual (VPN), keamanan lapisan transportasi, dan sistem pemantauan karyawan.

Business Continuity Planning
Kelangsungan bisnis adalah rangkaian peristiwa yang menghubungkan perencanaan dengan perlindungan dan pemulihan. Tujuan dari business continuity plan adalah untuk memberikan arahan kepada orang-orang yang menjaga agar bisnis tetap beroperasi setelah terjadi bencana. Karyawan menggunakan rencana ini untuk mempersiapkan, bereaksi, dan memulihkan dari peristiwa yang memengaruhi keamanan aset informasi. Tujuannya adalah memulihkan bisnis ke operasi normal secepat mungkin setelah terjadi serangan. Rencana tersebut dimaksudkan untuk memastikan bahwa fungsi bisnis penting terus berlanjut.

Information Systems Auditing
Perusahaan menerapkan kontrol keamanan untuk memastikan bahwa sistem informasi berfungsi dengan baik. Kontrol ini dapat dipasang di sistem asli, atau dapat ditambahkan setelah sistem beroperasi. Penginstalan kontrol diperlukan tetapi tidak cukup untuk memberikan keamanan yang memadai.

Reference:

R. Kelly Rainer Jr. “Introduction to Information Systems: Supporting and Transforming Business”. Wiley, 6th Edition, 2015.

--

--

Jesica Pratiwi

Written by Jesica Pratiwi

4 Followers

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams