Aman juga sering diartikan dengan istilah free from danger yang artinya bebas dari ancaman bahaya
Menurut Harold F. Tipton, Keamanan biasanya digambarkan sebagai kebebasan dari bahaya atau sebagai kondisi keselamatan. Keamanan komputer, secara rinci adalah perlindungan data di dalam suatu sistem melawan terhadap otorisasi tidak sah, modifikasi, atau perusakan dan perlindungan sistem komputer terhadap penggunaan tidak sah atau modifikasi.
Keamanan informasi adalah cabang studi dari teknologi informasi yang mengkhususkan diri untuk mempelajari metode dan teknik untuk melindungi informasi dan sistem informasi dari akses, penggunaan, penyebaran, perusakan, perubahan, dan penghancuran tanpa otorisasi yang sah.
Ada empat aspek utama dalam keamanan data dan informasi.
1. Privacy/Confidentiality yaitu usaha menjaga data informasi dari orang yang tidak berhak mengakses (memastikan bahwa data atau informasi pribadi kita tetap pribadi).
2. Integrity yaitu usaha untuk menjaga data atau informasi tidak diubah oleh yang tidak berhak.
3. Authentication yaitu usaha atau metoda untuk mengetahui keaslian dari informasi, misalnya apakah informasi yang dikirim dibuka oleh orang yang benar (asli) atau layanan dari server yang diberikan benar berasal dari server yang dimaksud.
4. Availability berhubungan dengan ketersediaan sistem dan data (informasi) ketika dibutuhkan.
Keempat aspek ini menjadi dasar untuk melakukan pengamanan terhadap data dan informasi. Keamanan komputer adalah sebuah proses, yang harus dijalankan untuk mengamankan sistem dan dalam penerapannya harus dilakukan dengan menyeluruh. Bagian-bagian keamanan yang ada pada Data Center mengacu pada empat aspek dasar keamanan yang disebutkan sebelumnya.
Elemen Keamanan Data dan Informasi
• Keamanan informasi harus sejalan dengan misi organisasi
• Keamanan informasi merupakan bagian integral dari praktik manajemen yang baik
• Keamanan informasi harus efektif dalam hal harga
• Tanggung jawab dan kewenangan keamanan informasi harus dijelaskan secara eksplisit
• Pemilik sistem memiliki tanggung jawab keamanan diluar organisasinya
• Keamanan informasi memerlukan pendekatan yang komprehensif dan terintegrasi
• Keamanan informasi harus dievaluasi ulang secara periodik
• Keamanan informasi dibatasi oleh faktor sosial
Pihak yang memiliki peranan dan tanggung jawab dalam penerapan usaha pengamanan sistem informasi
* Jajaran Manajemen Senior
* Manajer Fungsional
* Manajer keamanan informasi / komputer
* Staf ahli teknologi
* Organisasi pendukung
* Pengguna atau user
4. Ancaman terhadap keamanan data dan informasi
Tabel ancaman keamanan data dan informasi
Sistem Avability Secrecy Integrity
Hardware Dicuri atau dirusak
Software Program dihapus Software di copy Program dimodifikasi
Data File dihapus atau dirusak Dicuri, disadap File dimodifikasi
Line komunikasi Kabel diputus Informasi Informasi dimodifikasi
Menurut Harold F. Tipton, Keamanan biasanya digambarkan sebagai kebebasan dari bahaya atau sebagai kondisi keselamatan. Keamanan komputer, secara rinci adalah perlindungan data di dalam suatu sistem melawan terhadap otorisasi tidak sah, modifikasi, atau perusakan dan perlindungan sistem komputer terhadap penggunaan tidak sah atau modifikasi.
Keamanan informasi adalah cabang studi dari teknologi informasi yang mengkhususkan diri untuk mempelajari metode dan teknik untuk melindungi informasi dan sistem informasi dari akses, penggunaan, penyebaran, perusakan, perubahan, dan penghancuran tanpa otorisasi yang sah.
Ada empat aspek utama dalam keamanan data dan informasi.
1. Privacy/Confidentiality yaitu usaha menjaga data informasi dari orang yang tidak berhak mengakses (memastikan bahwa data atau informasi pribadi kita tetap pribadi).
2. Integrity yaitu usaha untuk menjaga data atau informasi tidak diubah oleh yang tidak berhak.
3. Authentication yaitu usaha atau metoda untuk mengetahui keaslian dari informasi, misalnya apakah informasi yang dikirim dibuka oleh orang yang benar (asli) atau layanan dari server yang diberikan benar berasal dari server yang dimaksud.
4. Availability berhubungan dengan ketersediaan sistem dan data (informasi) ketika dibutuhkan.
Keempat aspek ini menjadi dasar untuk melakukan pengamanan terhadap data dan informasi. Keamanan komputer adalah sebuah proses, yang harus dijalankan untuk mengamankan sistem dan dalam penerapannya harus dilakukan dengan menyeluruh. Bagian-bagian keamanan yang ada pada Data Center mengacu pada empat aspek dasar keamanan yang disebutkan sebelumnya.
Elemen Keamanan Data dan Informasi
• Keamanan informasi harus sejalan dengan misi organisasi
• Keamanan informasi merupakan bagian integral dari praktik manajemen yang baik
• Keamanan informasi harus efektif dalam hal harga
• Tanggung jawab dan kewenangan keamanan informasi harus dijelaskan secara eksplisit
• Pemilik sistem memiliki tanggung jawab keamanan diluar organisasinya
• Keamanan informasi memerlukan pendekatan yang komprehensif dan terintegrasi
• Keamanan informasi harus dievaluasi ulang secara periodik
• Keamanan informasi dibatasi oleh faktor sosial
Pihak yang memiliki peranan dan tanggung jawab dalam penerapan usaha pengamanan sistem informasi
* Jajaran Manajemen Senior
* Manajer Fungsional
* Manajer keamanan informasi / komputer
* Staf ahli teknologi
* Organisasi pendukung
* Pengguna atau user
4. Ancaman terhadap keamanan data dan informasi
Tabel ancaman keamanan data dan informasi
Sistem Avability Secrecy Integrity
Hardware Dicuri atau dirusak
Software Program dihapus Software di copy Program dimodifikasi
Data File dihapus atau dirusak Dicuri, disadap File dimodifikasi
Line komunikasi Kabel diputus Informasi Informasi dimodifikasi
Jenis-jenis ancaman terhadap Keamanan Data dan Informasi
* Error dan kesalahan data.
Dalam pengolahan data kita sering melakukan kesalahan input dan adanya error pada sistem
* Penipuan dan pencurian data.
Adanya pihak-pihak tertentu yang ingin memanfaatkan data dan informasi untuk hal-hal negatif yang akan merugikan pihak pemilik data atau informasi.
* Sabotase pegawai.
Dalam hal ini semua pegawai dalam satu perusahaan sepakat untuk tidak bertanggung akan akan kebaradaan informasi atau data yang penting dalam perusahaan itu.
* Kegagalan dukungan infrastruktur.
Infrastuktur atau fasilitas untuk keamanan data dan informasi kurang memadai
* Serangan hacker jahat.
Adanya serangan hacker ke pusat data base dan informasi kita. Dimana para hacker disini biasanya akan mengacaukan, mengubah, menghapus data-data kita dan tentunya akan sangat merugikan kita.
* Program berbahaya.
Program-program berbahaya ini biasanya dapat merusak sistem informasi kita dan kadang kita tidak dapat menggunakan sistem informasi kita lagi. Misalnya virus.Virus dapat membahayakan integritas dan keamanan data dengan cepat dalam suatu sistem peyimpanan. Sebuah virus baru dan tidak dikenal yang masuk melewati pertahanan lain mungkin berakhir di dalam system peyimpanan. Jika ini merupakan virus yang merusak, hal ini menulari, merusak atau menghancurkan sejumlah data yang besar sebelum hal itu terdeteksi. Sebuah virus komputer adalah sebuah kode yang dapat dijalankan yang ditegaskan oleh kemampuannya untuk menjiplak. Bentuk lain dari tipe virus termasuk kemampuan masuk ke dalam komputer tanpa sepengetahuan. Selama bertahun-tahun, jumlah virus yang diketahui telah melampaui angka 50,000, dan mereka telah menjadi lebih cepat, lebih pandai dan lebih susah untuk dihapus. Mereka dapat menempelkan mereka sendiri terhadap jenis-jenis file dan berkembang lebih efisien, dalam cara-cara yang berbeda. Munculnya virus global akhir-akhir ini seperti Love Letter, Anna Kournikova dan Naked Wife Trojan telah menunjukkan betapa efektifnya kode jahat tersebut.
* Pelanggaran privasi
* Error dan kesalahan data.
Dalam pengolahan data kita sering melakukan kesalahan input dan adanya error pada sistem
* Penipuan dan pencurian data.
Adanya pihak-pihak tertentu yang ingin memanfaatkan data dan informasi untuk hal-hal negatif yang akan merugikan pihak pemilik data atau informasi.
* Sabotase pegawai.
Dalam hal ini semua pegawai dalam satu perusahaan sepakat untuk tidak bertanggung akan akan kebaradaan informasi atau data yang penting dalam perusahaan itu.
* Kegagalan dukungan infrastruktur.
Infrastuktur atau fasilitas untuk keamanan data dan informasi kurang memadai
* Serangan hacker jahat.
Adanya serangan hacker ke pusat data base dan informasi kita. Dimana para hacker disini biasanya akan mengacaukan, mengubah, menghapus data-data kita dan tentunya akan sangat merugikan kita.
* Program berbahaya.
Program-program berbahaya ini biasanya dapat merusak sistem informasi kita dan kadang kita tidak dapat menggunakan sistem informasi kita lagi. Misalnya virus.Virus dapat membahayakan integritas dan keamanan data dengan cepat dalam suatu sistem peyimpanan. Sebuah virus baru dan tidak dikenal yang masuk melewati pertahanan lain mungkin berakhir di dalam system peyimpanan. Jika ini merupakan virus yang merusak, hal ini menulari, merusak atau menghancurkan sejumlah data yang besar sebelum hal itu terdeteksi. Sebuah virus komputer adalah sebuah kode yang dapat dijalankan yang ditegaskan oleh kemampuannya untuk menjiplak. Bentuk lain dari tipe virus termasuk kemampuan masuk ke dalam komputer tanpa sepengetahuan. Selama bertahun-tahun, jumlah virus yang diketahui telah melampaui angka 50,000, dan mereka telah menjadi lebih cepat, lebih pandai dan lebih susah untuk dihapus. Mereka dapat menempelkan mereka sendiri terhadap jenis-jenis file dan berkembang lebih efisien, dalam cara-cara yang berbeda. Munculnya virus global akhir-akhir ini seperti Love Letter, Anna Kournikova dan Naked Wife Trojan telah menunjukkan betapa efektifnya kode jahat tersebut.
* Pelanggaran privasi
Pilar yang mendukung dalam penerapan keamanan informasi
• Manusia. Jika manusia tidak ada maka keamanan informasi otomatis tidak akan jalan, manusia adalah elemen yang penting dalam hal ini.
• Staffing atau penyewaan. Kita dapat merekrut staff khusus yang mengerti akan system keamanan informasi sehingga nantinya system keamanan akan lebih terorganisir.
• Administrasi Pengguna Komputer. Disini kita melakukan administrasi siapa saja yang bisa menggunakan computer, dengan begini orang yang tidak berkepentingan tidak bisa menggunakan computer dan keamanan informasi akan sedikti teratasi.
• Akses kontraktor.
• Proses
• Teknologi
5. Penanggulangan atau pencegahan terhadap ancaman keamanan data dan informasi
Ada beberapa hal yang dapat kita lakukan dalam pencegahan terhadap ancaman kemana data dan informasi
1. Pelatihan dan Kewaspadaan Keamanan Informasi
Dalam hal ini yang dapat kita lakukan seperti
Identifikasi cakupan dan sasaran program.
Identifikasi staf pelatih
Identifikasi target program
Motivasi jajaran manajemen dan pengguna
Rancang progam dengan baik
Kelola program secara berkesinambungan
Lakukan evaluasi secara berkala
• Manusia. Jika manusia tidak ada maka keamanan informasi otomatis tidak akan jalan, manusia adalah elemen yang penting dalam hal ini.
• Staffing atau penyewaan. Kita dapat merekrut staff khusus yang mengerti akan system keamanan informasi sehingga nantinya system keamanan akan lebih terorganisir.
• Administrasi Pengguna Komputer. Disini kita melakukan administrasi siapa saja yang bisa menggunakan computer, dengan begini orang yang tidak berkepentingan tidak bisa menggunakan computer dan keamanan informasi akan sedikti teratasi.
• Akses kontraktor.
• Proses
• Teknologi
5. Penanggulangan atau pencegahan terhadap ancaman keamanan data dan informasi
Ada beberapa hal yang dapat kita lakukan dalam pencegahan terhadap ancaman kemana data dan informasi
1. Pelatihan dan Kewaspadaan Keamanan Informasi
Dalam hal ini yang dapat kita lakukan seperti
Identifikasi cakupan dan sasaran program.
Identifikasi staf pelatih
Identifikasi target program
Motivasi jajaran manajemen dan pengguna
Rancang progam dengan baik
Kelola program secara berkesinambungan
Lakukan evaluasi secara berkala
cara melakukan praktek keamanan informasi pada operasional dan support komputer adalah sebagai berikut
• Bantuan pengguna (user support)
• Dukungan perangkat lunak (software support)
• Manajemen konfigurasi
• Backup
• Kontrol media
• Dokumentasi
• Perawatan (maintenance)
• Banner login terstandarisasi
Proses Keamanan Informasi
Dalam hal ini yang perlu kita lakukan adalah sebagai berikut
• Penaksiran resiko keamanan informasi
• Kumpulkan informasi yang diperlukan
• Identifikasi informasi dan sistem informasi
• Analisa informasi
• Berikan tingkatan terhadap resiko yang telah diidentifikasikan
• Strategi keamanan informasi
• Pendefinisian sasaran kontrol keamanan
• Identifikasi dan penaksiran untuk seluruh pendekatan solusi yang memenuhi sasaran kontrol keamanan
• Pemilihan metode kontrol keamanan
• Penetapan nilai patokan dan ukuran
• Persiapan implementasi kontrol dan rencana pengujian
• Implementasi kontrol keamanan
• Kontrol Akses
• Keamanan fisik dan lingkungan
• Teknik Enkripsi. Enkripsi adalah sebuah proses yang melakukan perubahan sebuah kode dari yang bisa dimengerti menjadi sebuah kode yang tidak bisa dimengerti (tidak terbaca)
• Pencegahan penyebaran program berbahaya
• Pengembangan, pengadaan, dan perawatan perangkat lunak
• Keamanan personel
• Keamanan data
• Pengawasan penyedia layanan (service provider)
• Pertimbangan keberlangsungan bisnis
• Asuransi
Pengawasan keamanan
• Pengawasan jaringan dan aktifitas perangkat untuk mengidentifikasi pelanggaran dan perilaku yang tidak lazim
• Pengawasan jaringan dan host untuk mengidentifikasikan perubahan konfigurasi yang tidak terotorisasi yang dapat menyebabkan peningkatan resiko penyusupan
• Analisa hasil pengawasan untuk secara akurat mengidentifikasikan, mengklasifikasikan, eskalasi, melaporkan dan memandu usaha respon terhadap insiden keamanan
• Melakukan usaha respon terhadap penyusupan, kelemahan, dan insiden keamanan lainnya
• Pengawasan dan pembaruan proses keamanan
Standar Internasional Keamanan Informasi
• ISO/IEC 27001 – Panduan sertifikasi untuk sistem manajemen keamanan informasi sebuah organisasi
• ISO/IEC 27002 – Penamaan ulang dari standar ISO 17799 yang berisi panduan dan dan prinsip dasar untuk melakukan inisiasi, implementasi, serta pengelolaan sebuah sistem manajemen keamanan informasi (ISMS)
• ISO/IEC 27006 – berisi panduan untuk sebuah organisasi untuk mengikuti proses sertifikasi keamanan informasi
Proses penanganan terhadap insiden keamanan informasi
1.Persiapan
Sebelum insiden terjadi kita harus melakukan persiapan, apa yang harus kita siapkan dan apa yang harus lakukan.
2.Deteksi dan Analisa
Dalam hal ini kita harus mendeteksi dan menganalisa apa masalah-masalah yang nantinya mungkin terjadi.
3.Pengurungan, pembersihan dan pemulihan
Maksudnya disini adalah kita harus menjaga keberadaan infrastuktur atau peralatan sistem informasi, melakukan perawatan,pembersihan, dan pemulihan.
4.Aktifitas pasca insiden.
Kita harus menyiapkan langkah-langkah yang akan dilakukan jika nantinya terjadi suatu insiden.
Penanganan terhadap insiden keamanan informasi
1.Tetapkan rencana penanganan insiden (Incident Response Plan) termasuk proses identifikasi dan manajemen insiden, analisa anomalies dan pengevaluasian semua status insiden
2.Periksa efektifitas dan validitas rancangan tersebut serta hasil evaluasi kerentanan sistem terakhir berikut test penetrasinya
3.Tangani situasi keamanan dengan baik dengan memperhatikan penanganan yang cepat dan tetap selalu mengupayakan langkah preventif terhadap potensi kerusakan berikutnya. Amankan informasi elektronik yang ada berikut bukti-bukti digital lainnya demi kepentingan pembuktian secara hukum
4.Upayakan agar aktivitas bisnis, organisasi dan manajemen tetap berjalan sebagaimana mestinya selama masa penanganan
5.Laporkan dan/atau Koordinasikan kejadian tersebut dengan instansi yang terkait baik internal organisasi maupun eksternal organisasi dan lakukan langkah tindakan hukum (legal action) sekiranya diperlukan. Jangan lakukan kompromi atau peringatan kepada pelaku meskipun anda mengetahuinya dan mengenalinya
6.Evaluasi dan perbaiki kerentanan sistem yang terjadi
7.Biarkan proses penegakan hukum berjalan sebagaimana mestinya dan hindari pemberian informasi ataupun opini kepada media masa untuk mencegah miskomunikasi kepada publik
• Bantuan pengguna (user support)
• Dukungan perangkat lunak (software support)
• Manajemen konfigurasi
• Backup
• Kontrol media
• Dokumentasi
• Perawatan (maintenance)
• Banner login terstandarisasi
Proses Keamanan Informasi
Dalam hal ini yang perlu kita lakukan adalah sebagai berikut
• Penaksiran resiko keamanan informasi
• Kumpulkan informasi yang diperlukan
• Identifikasi informasi dan sistem informasi
• Analisa informasi
• Berikan tingkatan terhadap resiko yang telah diidentifikasikan
• Strategi keamanan informasi
• Pendefinisian sasaran kontrol keamanan
• Identifikasi dan penaksiran untuk seluruh pendekatan solusi yang memenuhi sasaran kontrol keamanan
• Pemilihan metode kontrol keamanan
• Penetapan nilai patokan dan ukuran
• Persiapan implementasi kontrol dan rencana pengujian
• Implementasi kontrol keamanan
• Kontrol Akses
• Keamanan fisik dan lingkungan
• Teknik Enkripsi. Enkripsi adalah sebuah proses yang melakukan perubahan sebuah kode dari yang bisa dimengerti menjadi sebuah kode yang tidak bisa dimengerti (tidak terbaca)
• Pencegahan penyebaran program berbahaya
• Pengembangan, pengadaan, dan perawatan perangkat lunak
• Keamanan personel
• Keamanan data
• Pengawasan penyedia layanan (service provider)
• Pertimbangan keberlangsungan bisnis
• Asuransi
Pengawasan keamanan
• Pengawasan jaringan dan aktifitas perangkat untuk mengidentifikasi pelanggaran dan perilaku yang tidak lazim
• Pengawasan jaringan dan host untuk mengidentifikasikan perubahan konfigurasi yang tidak terotorisasi yang dapat menyebabkan peningkatan resiko penyusupan
• Analisa hasil pengawasan untuk secara akurat mengidentifikasikan, mengklasifikasikan, eskalasi, melaporkan dan memandu usaha respon terhadap insiden keamanan
• Melakukan usaha respon terhadap penyusupan, kelemahan, dan insiden keamanan lainnya
• Pengawasan dan pembaruan proses keamanan
Standar Internasional Keamanan Informasi
• ISO/IEC 27001 – Panduan sertifikasi untuk sistem manajemen keamanan informasi sebuah organisasi
• ISO/IEC 27002 – Penamaan ulang dari standar ISO 17799 yang berisi panduan dan dan prinsip dasar untuk melakukan inisiasi, implementasi, serta pengelolaan sebuah sistem manajemen keamanan informasi (ISMS)
• ISO/IEC 27006 – berisi panduan untuk sebuah organisasi untuk mengikuti proses sertifikasi keamanan informasi
Proses penanganan terhadap insiden keamanan informasi
1.Persiapan
Sebelum insiden terjadi kita harus melakukan persiapan, apa yang harus kita siapkan dan apa yang harus lakukan.
2.Deteksi dan Analisa
Dalam hal ini kita harus mendeteksi dan menganalisa apa masalah-masalah yang nantinya mungkin terjadi.
3.Pengurungan, pembersihan dan pemulihan
Maksudnya disini adalah kita harus menjaga keberadaan infrastuktur atau peralatan sistem informasi, melakukan perawatan,pembersihan, dan pemulihan.
4.Aktifitas pasca insiden.
Kita harus menyiapkan langkah-langkah yang akan dilakukan jika nantinya terjadi suatu insiden.
Penanganan terhadap insiden keamanan informasi
1.Tetapkan rencana penanganan insiden (Incident Response Plan) termasuk proses identifikasi dan manajemen insiden, analisa anomalies dan pengevaluasian semua status insiden
2.Periksa efektifitas dan validitas rancangan tersebut serta hasil evaluasi kerentanan sistem terakhir berikut test penetrasinya
3.Tangani situasi keamanan dengan baik dengan memperhatikan penanganan yang cepat dan tetap selalu mengupayakan langkah preventif terhadap potensi kerusakan berikutnya. Amankan informasi elektronik yang ada berikut bukti-bukti digital lainnya demi kepentingan pembuktian secara hukum
4.Upayakan agar aktivitas bisnis, organisasi dan manajemen tetap berjalan sebagaimana mestinya selama masa penanganan
5.Laporkan dan/atau Koordinasikan kejadian tersebut dengan instansi yang terkait baik internal organisasi maupun eksternal organisasi dan lakukan langkah tindakan hukum (legal action) sekiranya diperlukan. Jangan lakukan kompromi atau peringatan kepada pelaku meskipun anda mengetahuinya dan mengenalinya
6.Evaluasi dan perbaiki kerentanan sistem yang terjadi
7.Biarkan proses penegakan hukum berjalan sebagaimana mestinya dan hindari pemberian informasi ataupun opini kepada media masa untuk mencegah miskomunikasi kepada publik
