Dokumen ini membahas prinsip-prinsip manajemen keamanan sistem informasi yang meliputi confidentiality (kerahasiaan), integrity (keutuhan), dan availability (ketersediaan). Prinsip-prinsip ini digunakan sebagai acuan untuk melakukan desain, implementasi, dan administrasi sistem agar terhindar dari ancaman keamanan seperti hacker, masquerader, dan denial of service.
2. Prinsip Manajemen Keamanan
• Manajemen : penggunaan sumber daya secara efektif
untuk mencapai sasaran.
(http://bahasa.kemdiknas.go.id).
• Keamanan : menggambarkan suatu kondisi yang bebas
dari bahaya dan gangguan.
(http://bahasa.kemdiknas.go.id).
• Manajemen Keamanan, adalah suatu pengaturan kondisi
dan keadaan yang bertujuan untuk meminimalisir resiko
yang terjadi karena ancaman dari luar.
DudyFathanAli,2013.
3. Prinsip Manajemen Keamanan
• Prinsip manajemen keamanan mendefinisikan
parameter dasar yang diperlukan untuk mengamankan
suatu lingkungan kerja.
• Parameter tersebut selanjutnya digunakan sebagai acuan
untuk melakukan disain, implementasi, dan administrasi
suatu sistem.
• Pertumbuhan perangkat komunikasi dan komputasi
tentu saja dibarengi dengan peningkatan layanan dan
pengguna. Peningkatan layanan tersebut tentu saja
berakibat pada meningkatnya celah keamanan dan
makin banyaknya serangan yang mungkin terjadi.
DudyFathanAli,2013.
5. Prinsip Manajemen Keamanan
• 3 tujuan utama dari manajemen keamanan :
• Confidentiality (kerahasiaan), adalah perlindungan
informasi dalam sistem agar pihak yang tidak berhak tidak
dapat mengaksesnya.
• Integrity (keutuhan), merupakan perlindungan terhadap
data dari perubahan yang tidak diijinkan secara sengaja
maupun tidak.
• Availability (ketersediaan), adalah jaminan bahwa sistem
komputer dapat diakses oleh pengguna yang diijinkan
ketika diperlukan.
DudyFathanAli,2013.
6. Confidentiality (kerahasiaan)
• Suatu perusahaan atau organisasi masyarakat perlu
memanfaatkan prinsip ini sampai dapat memberikan
dampak signifikan terhadap data perusahaan. Sehingga
rahasia perusahaan tetap terjaga dari kompetitor atau
pihak lain yang menginginkan informasi yang bersifat
sensitif.
• Ancaman yang berhubungan kepada kerahasiaan dari
suatu data :
• Hacker, orang yang mem-bypass access control suatu sistem
untuk mendapatkan kelemahan keamanan yang
ditinggalkan oleh pengembang sistem.
• Masquarader, pengguna yang memiliki ijin namun
mendapatkan password dari pengguna lain sehingga
mendapatkan hak akses data pengguna lain.
DudyFathanAli,2013.
7. Confidentiality (kerahasiaan)
• Unauthorized User Activity, aktivitas ini terjadi apabila
pengguna yang telah diberikan ijin mengakses file lain yang
seharusnya tidak diijinkan untuknya. Kelemahan kendali
akses seringkali mengakibatkan hal ini.
• Local Area Network (LAN), mengakibatkan ancaman yang
bersifat khusus karena data yang dikirimkan melalui
jaringan dapat dilihat pada tiap node meskipun data
tersebut tidak diperuntukkan pada node tersebut.
• Trojan, diprogram untuk menyalin data rahasia ke wilayah
yang tak terlindungi pada sistem ketika dieksekusi tanpa
sepengetahuan pengguna yang memiliki otorisasi saat ia
mengakses suatu file.
DudyFathanAli,2013.
8. Integrity (keutuhan)
• Untuk memastikan integritas suatu data dapat dijaga,
proses otentikasi dan identifikasi pengguna merupakan
hal utama yang perlu diperhatikan.
• Integritas tergantung kepada access control yang akan
mengidentifikasi pengguna yang berusaha mengakses.
• Tujuan Integritas :
• Mencegah pengguna yang tidak berhak memodifikasi data
atau program.
• Mencegah pengguna yang memiliki hak memodifikasi yang
tak diijinkan atau tidak sesuai ketentuan.
• Menjaga konsistensi data dan program secara internal
maupun eksternal.
DudyFathanAli,2013.
9. Integrity (keutuhan)
• Ancaman pada Integrity berhubungan dengan ancaman
pada Confidentiality, karena ancaman tersebut
mengakibatkan terjadinya perubahan data yang tak
diijinkan.
• Prinsip dasar yang digunakan untuk memastikan
integritas adalah:
• Pemberian hak akses berdasarkan apa yang perlu diketahui
• Pengguna diberikan hak hanya pada file dan program yang
dibutuhkan saja sesuai dengan pekerjaan yang dibebankan
pada pengguna tersebut. Selanjutnya setiap akses terhadap
data harus dikendalikan dengan baik melalui otorisasi yang
diberikan sehingga setiap perubahan tidak akan mempengaruhi
integritas data.
DudyFathanAli,2013.
10. Integrity (keutuhan)
• Pembagian Tugas
• Memastikan tidak ada satu pegawai pun yang mengendalikan
suatu transaksi dari awal hingga akhir. Pembagian tugas ini
memungkinkan terjadinya pengendalian secara bertahap
terhadap suatu sistem, sehingga apabila 1 pengguna melakukan
kesalahan, tidak akan mempengaruhi keseluruhan proses,
karena pengguna lain belum tentu melakukan kesalahan yang
sama.
• Pergantian Tugas
• Pemberian tugas harus dilakukan bergantian secara rutin
untuk menghindari kemampuan pengguna untuk mencoba
mengamati sistem yang pada akhirnya melakukan tindakan
yang mengakibatkan adanya ancaman pada sistem.
DudyFathanAli,2013.
11. Integrity (keutuhan)
• Model Integritas
• Tahap :
• Identifikasi.
• Verifikasi.
• Transformasi.
• Untuk memastikan terjadinya perubahan data sesuai dengan
mekanisme yang telah disiapkan maka sistem juga harus
konsisten dan memiliki ketahanan untuk memastikan
mekanisme terlaksana dengan benar.
• Beberapa model integritas yang dapat digunakan :
• Biba (1977).
• Goguan-meseguer (1982 ).
• Sutherland (1986 ).
• Clark-wilson (1987 ).
• Brewer-nash (1989).
DudyFathanAli,2013.
12. Availability (ketersediaan)
• Ketersediaan adalah jaminan bahwa sistem komputer
dapat diakses oleh pengguna yang diijinkan ketika
diperlukan.
• Dua hal yang perlu diperhatikan dalam memberikan
jaminan availability :
• DOS (denial of service), merupakan suatu kejadian yang
mengakibatkan sistem komputer tidak dapat digunakan
oleh pengguna yang berhak.
• Kehilangan kemampuan memproses karena bencana (misal:
kebakaran, banjir, kerusakan tiba-tiba dan sebagainya
termasuk adanya peperangan).
DudyFathanAli,2013.
13. Terima Kasih.
Dudy Fathan Ali.
Prinsip dan Konsep Keamanan, 2013.
Email : - dudy.fathan@eng.ui.ac.id
- dudyali@gmail.com
DudyFathanAli,2013.