Pengendalian Keamanan Informasi

Pengendalian Keamanan Informasi

Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Pengendalian dibagi menjadi tiga kategori: teknis, formal, dan informal.

1.  Pengendalian Teknis

Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor internal di dalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian desain sistem. Yang paling popular akan dijelaskan sebagai berikut:

a.   Pengendalian Akses

Jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi, maka pengrusakan tidak dapat dilakukan. Pengendalian akses dilakukan melalui tiga tahap yang mencakup identifikasi pengguna, autentikasi pengguna, dan otorisasi pengguna.

1)  Identifikasi Pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.

2)  Otentikasi Pengguna. Setelah identifikasi awal telah dilakukan, para pengguna menverifikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau chip identifikasi. Autentikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatu yang menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.

3)  Otorisasi Pengguna. Kemudian seseorang dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya untuk medapatkan sebuah rekaman atau suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.

Identifikasi dan autentikasi memanfaatkan profil pengguna (user profil) atau diskripsi yang terotorisasi. Otorisasi memanfaatkan file pengendalian akses (access control file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna. Pencatatan audit yang berbasis komputer terus dilakukan pada semua aktivitas pengendalian akses seperti tanggal dan waktu serta identifikasi terminal, dan digunakan untuk mempersiapkan laporan keuangan.

b.  Sistem Deteksi Gangguan

Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna. Contoh deteksi gangguan lain adalah peralatan prediksi ancaman dari dalam (insider threat prediction tool) yang dapat memperimbangkan karakteristik seperti posisi seseorang di dalam perusahaan, akses ke dalam data yang sensitif, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimiliki, dan penggunaan protokol jaringan tertentu. Hasil pembuatan profilan seperti ini, yang beberapa berbentuk kuantitatif dapat mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.

c.   Firewall

Salah satu pendekatan keamanan adalah secara fisik memisahkan situs web perusahaan dengan jaringan internal perusahaan yang berusakan data sensitif dan sistem informasi. Cara lain adalah menyediakan kata sandi kepada mitra dagang yang memungkinkan memasuki jaringan internal dari internet. Pendekatan ketiga adalah membangun dinding pelindung atau firewall.

Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan ke internet. Konsepnya dibuat suatu pengaman terpisah untuk masing-masing komputer. Beberapa perusahaan yang menawarkan pereanti lunak antivirus (seoerti McAfee di www.mcfee.com dan www.norton.com) sekarang memberikan peranti lunak firewall tanpa biaya ekstra dan pembelian produk antivirus mereka.

Tiga jenis firewall  adalah penyaring paket, tingkat sirkuit, dan tingkat aplikasi.

Firewall Penyaring Paket. Router (alat jaringan yang mengarahkan aliran lalu lintas jaringan) diposiskan antara internet dan jaringan internal. Router ini dilengkapi dengan tabel data dan alamat-alamat IP yang menggambarkan kebijakan penyaringan. Untuk masing-masing tranmisi, router mangakses tabelnya dan memungkinkan hanya beberpa jenis pesan dari beberapa lokasi internet (alamat IP) untuk lewat. Alamat IP (IP address) adalah serangkaian empat angka (masing-masing dari 0 ke 255) yang secara unik mengidentifikasi masing-masing komputer yang terhubung dengan internet. Salah satu keterbatasan router adalah router hanya merupakan titik tunggal kemanan, sehingga jika hacker dapat melampauinya perusahaan tersebut bisa mendapatkan masalah. IP spoofing yaitu menipu tabel akses router adalah salah satu metode yang digunakan pembajak untuk menipu router.

Firewall Tingkat Sirkut. Tingkat sirkuit yang terpasang antara internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit) daripada router sehingga memungkinkan otentikasi dan penyaringan yang tinggi. Namun titik tunggal keamanan tetap berlaku.

Firewall Tingkat Aplikasi. Firewall ini berlokasi antara router dan komputer. Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Meskipun merupakan jenis firewall yang paling efektif namun cenderung mengurangi akses ke sumber daya dan seorang programmer jaringan harus memiliki kode program yang spesifik untuk masing-masing aplikasi da mengubah kode tersebut ketika aplikasi ditambahkan, dihapus atau dimodifikasi.

d.     Pengendalian Kriptografis

Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dati pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses matematika. Data dan informasi tersebut dapat dienkripsikan dalam penyimpanan dan ditransmisikan ke dalam jaringan. Jika seseorang tidak memiliki otorisasi memperoleh akses, enkripsikan tersebut dapat membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.salah satunya adalah SET (Secure Electronic Transactions), yang melakukan pemeriksaan keamanan menggunakan tanda tangan digital yang ditujukan untuk meningkatkan keamanan e-commerce.

e.   Pengendalian Fisik

Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan komputer, seperti dengan kunci yang lebih canggih misal telapak tangan dan cetakan suara. Perusahaan dapat melaksanakan pengendalian fisik misal dengan meletakkan ruangan komputer di tempat terpencil, jauh dari pusat komputer, atau wilayah tidak sensitif dari bencana alam.

f.    Meletakkan Pengendalian Teknis pada Tempatnya

Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Perusahaan biasanya memilih dari dafta ini dan menerapkan kombinasi yang dianggap menwarkan pengamanan yang palingsistematis.

2.  Pengendalian Formal

Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur, danpraktik yang diharapkan , dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manaemen manghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam banyak tulisan, dan diharapkan untuk berlaku dalam jangka panjang.

Terdapat persetujuan universal bahwa supaya pengendalian formal efektif, maka manajemen puncak harus berpartisipasi secara aktif dalam menentukan dan memberlakukannya.

3.  Pengendalian Informal

Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

MENCAPAI TINGKAT PENGENDALIAN  YANG TEPAT

          Ketiga jenis pengendalian teknis, formal, dan informal mengharuskan biaya. Karena bukanlah merupakan praktik bisnis yang baik untuk menghabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko yang akan terjadi, maka pengendalian harus diterapkan pada tingkatan yang sesuai. Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industri terdapat pula pertimbangan-pertimbagan lain. Misalnya dalam dunia perbankan, ketika melakukan manajemen risiko untuk ATM, pengendalian harus membuat sistem aman tanpa mengurangi kenyamanan pelanggan. Selain itu, dalam pelayanan keehatan, pertanyaan-pertanyaan mengenai kesehatan pasien dan hak untuk mendapatkan privasi harus dipertimbangkan. Sistem tersebut harus tidak dibuat terlalu aman sehingga mengurangi jumlah informasi pasien yang tersedia bagi rumah sakit dan dokter yang bertanggung jawab dan kesehatan pasien.