Selasa, 26 Januari 2010
ETIKA DAN KEAMANAN SISTEM INFORMASI
Di dalam kehidupan sehari-hari kita tidak dapat terlepas dari apa yang dinamakan Etika, diantara salah satu sebab seseorang dihargai di dalam masyarakat adalah jika orang tersebut mempunyai etika yang baik. Di sini, di dalam dunia Sistem Informasi etika masih juga perlu dipakai.Etika dalam SI dibahas pertama kali oleh Richard Mason (1986), yang mencakup: PRIVASI, AKURASI, PROPERTI DAN AKSES.
1. PRIVASI menyangkut hak individu untuk mempertahankan informasi pribadi dari pengaksesan oleh orang lain yang memang tidak diberi izin untuk melakukannya.
Kasus:
Junk mail
Manajer pemasaran mengamati e-mail bawahannya
Penjualan data akademis
2. AKURASI
terhadap informasi merupakan faktor yang harus dipenuhi oleh sebuah sistem informasi. Ketidakakurasian informasi dapat menimbulkan hal yang menggangu, merugikan, dan bahkan membahayakan.
Kasus:
Terhapusnya nomor keamanan sosial yang dialami oleh Edna Rismeller (Alter, 2002, hal. 292)
Kasus kesalahan pendeteksi misil Amerika Serikat
3. PROPERTI
Perlindungan terhadap hak PROPERTI yang sedang digalakkan saat ini yaitu yang dikenal dengan sebutan HAKI (hak atas kekayaan intelektual).
HAKI biasa diatur melalui hak cipta (copyright), paten, dan rahasia perdagangan (trade secret).
Hak cipta adalah hak yang dijamin oleh kekuatan hukum yang melarang penduplikasian kekayaan intelektual tanpa seizin pemegangnya. Hak seperti ini mudah untuk didapatkan dan diberikan kepada pemegangnya selama masa hidup penciptanya plus 70 tahun.
Paten merupakan bentuk perlindungan terhadap kekayaan intelektual yang paling sulit didapatkan karena hanya akan diberikan pada penemuan-penemuan inovatif dan sangat berguna. Hukum paten memberikan perlindungan selama 20 tahun.
Hukum rahasia perdagangan melindungi kekayaan intelektual melalui lisensi atau kontrak.
Pada lisensi perangkat lunak, seseorang yang menandatangani kontrak menyetujui untuk tidak menyalin perangkat lunak tersebut untuk diserahkan pada orang lain atau dijual.
Berkaitan dengan dengan kekayaan intelektual, banyak masalah yang belum terpecahkan (Zwass, 1998); Antara lain:
Pada level bagaimana informasi dapat dianggap sebagai properti?
Apa yang harus membedakan antara satu produk dengan produk lain?
Akankah pekerjaan yang dihasilkan oleh komputer memiliki manusia penciptanya? Jika tidak, lalu hak properti apa yang dilindunginya?
4. AKSES
Fokus dari masalah AKSES adalah pada penyediaan akses untuk semua kalangan. Teknologi informasi diharapkan malah tidak menjadi halangan dalam melakukan pengaksesan terhadap informasi bagi kelompok orang tertentu, tetapi justru untuk mendukung pengaksesan untuk semua pihak
KEAMANAN SISTEM INFORMASI
1. Keamanan merupakan faktor penting yang perlu diperhatikan dalam pengoperasian sistem informasi, tujuannya adalah untuk mencegah ancaman terhadap sistem serta untuk mendeteksi dan membetulkan akibat segala kerusakan sistem.
2. Ancaman terhadap sistem informasi dapat dibagi menjadi dua macam: ancaman aktif dan ancaman pasif. Ancaman aktif mencakup kecurangan dan kejahatan terhadap computer, sedangkan Ancaman pasif mencakup kegagalan sistem, kesalahan manusia, dan bencana alam.
3. Metode yang umum digunakan oleh orang dalam melakukan penetrasi terhadap sistem berbasis komputer ada 6 macam (Bodnar dan Hopwood, 1993), yaitu :
Pemanipulasian masukan
Penggantian program
Penggantian berkas secara langsung
Pencurian data
Sabotase
Penyalahgunaan dan pencurian sumber daya komputasi.
Berbagai teknik yang digunakan untuk melakukan hacking :
Denial of Service
Teknik ini dilaksanakan dengan cara membuat permintaan yang sangat banyak terhadap suatu situs sehingga sistem menjadi macet dan kemudian dengan mencari kelemahan pada sistem si pelaku melakukan serangan terhadap sistem.
Sniffer
Teknik ini diimplementasikan dengan membuat program yang dapat melacak paket data seseorang ketika paket tersebut melintasi Internet, menangkap password atau menangkap isinya.
Spoofing
Melakukan pemalsuan alamat e-mail atau Web dengan tujuan untuk menjebak pemakai agar memasukkan informasi yang penting seperti password atau nomor kartu kredit
Penggunaan Kode yang Jahat:
Virus
Cacing (worm)
Bom waktu
Kuda Trojan
PENGENDALIAN SISTEM INFORMASI
Untuk menjaga keamanan sistem informasi diperlukan pengendalian terhadap sistem informasi
Kontrol mencakup:
Kontrol administratif
Kontrol pengembangan dan pemeliharaan sistem
Kontrol operasi
Proteksi terhadap pusat data secara fisik
Kontrol perangkat keras
Kontrol terhadap akses komputer
Kontrol terhadap akses informasi
Kontrol terhadap perlindungan terakhir
Kontrol aplikasi
KONTROL ADMINISTRATIF
Mempublikasikan kebijakan kontrol yang membuat semua pengendalian sistem informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam organisasi
Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan dilaksanakan dengan tegas. Termasuk dalam hal ini adalah proses pengembangan sistem, prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data
Perekrutan pegawai secara berhati-hati, yang diikuti dengan orientasi, pembinaan, dan pelatihan yang diperlukan
Kontrol terhadap Pengembangan dan Pemeliharaan Sistem
Melibatkan Auditor sistem, dari masa pengembangan hingga pemeliharaan sistem, untuk memastikan bahwa sistem benar-benar terkendali, termasuk dalam hal otorisasi pemakai sistem
Aplikasi dilengkapi dengan audit trail sehingga kronologi transaksi mudah untuk ditelusuri
KONTROL OPERASI
Tujuan agar sistem beroperasi sesuai dengan yang diharapkan, yang termasuk dalam hal ini adalah :
Pembatasan akses terhadap pusat data
Kontrol terhadap personel pengoperasi
Kontrol terhadap peralatan (terhadap kegagalan)
Kontrol terhadap penyimpan arsip
Pengendalian terhadap virus
PERLINDUNGAN FISIK TERHADAP PUSAT DATA
Faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar
Untuk mengantisipasi kegagalan sumber daya listrik, biasa digunakan UPS dan mungkin juga penyediaan generator
KONTROL PERANGKAT KERAS
Untuk mengantisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan)
Toleransi terhadap kegagalan pada penyimpan eksternal antara lain dilakukan melalui disk mirroring atau disk shadowing, yang menggunakan teknik dengan menulis seluruh data ke dua disk secara paralel
KONTROL AKSES TERHADAP SISTEM KOMPUTER
Setiap pemakai sistem diberi otorisasi yang berbeda-beda
Setiap pemakai dilengkapi dengan nama pemakai dan password.
Penggunaan teknologi yang lebih canggih menggunakan sifat-sifat biologis manusia yang bersifat unik, seperti sidik jari dan retina mata, sebagai kunci untuk mengakses system
Kontrol terhadap Akses Informasi
Penggunaan enkripsi
KONTROL TERHADAP BENCANA
Rencana darurat (emergency plan) menentukan tindakan-tindakan yang harus dilakukan oleh para pegawai manakala bencana terjadi
Rencana cadangan (backup plan) menentukan bagaimana pemrosesan informasi akan dilaksanakan selama masa darurat.
Rencana pemulihan (recovery plan) menentukan bagaimana pemrosesan akan dikembalikan ke keadaan seperti aslinya secara lengkap, termasuk mencakup tanggung jawab masing-masing personil
Rencana pengujian (test plan) menentukan bagaimana komponen-komponen dalam rencana pemulihan akan diuji atau disimulasikan
Kontrol terhadap Perlindungan Terakhir
Rencana pemulihan dari bencana
Asuransi
Kontrol Aplikasi
Masukan
Keluaran
Pemrosesan
Basis data
Telekomunikasi
=====================================================================
Standarisasi ISO 27002 pada Sisfo IT-Telkom
Abstract—Sistem Informasi Akademik berbasis web telah digunakan oleh seluruh mahasiswa IT-Telkom. Oleh karena seluruh catatan akademik mahasiswa disimpan melalui jaringan kampus maka perlu dilakukan penelitian mengenai keamanan informasi sehingga didapatkan sistem yang aman. Penelitian ini dilakukan berdasarkan wawancara dengan ketua SISFO IT-Telkom. Dari hasil wawancara kami, SISFO belum memiliki standarisasi atau rekomendasi best practice untuk sistem manajemen keamanan informasi. Dari hasil penelitian yang dilakukan best practice yang dapat diterapkan di SISFO berkaitan dengan keamanan informasi adalah ISO 27002
Kata Kunci—Kemanan informasi, SISFO IT-TELKOM, ISO 27002.
I. INTRODUCTION
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi.Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan. Buku ini diharapkan dapat memberikan gambaran dan informasi menyeluruh tentang keamanan sistem informasi dan dapat membantu para pemilik dan pengelola sistem informasi dalam mengamankan informasinya.
Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang sifatnya sensitif.
Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi
dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Keamanan informasi adalah sebagai dasar dalam mengembangkan suatu business continuity plan, yang berisi tentang langkah dan prosedur untuk selalu menjaga keberlangsungan bisnis yang dapat saja terganggu dengan gangguan yang mungkin dapat terjadi. [AlBone, Aan. Pembuatan Rencana Keamanan Informasi Berdasarkan Analisis Dan Mitigasi Risiko Teknologi Informasi. Jurusan Teknik Informatika, Universitas Pasundan]
Dengan melihat pentingnya keamanan informasi, maka dibutuhkan sebuah dokumen rekomendasi dalam mengatur keamanan informasi tersebut (best practice).
ISO 27002 merupakan suatu standard yang dipublikasikan International Organization (ISO) dan International Electrotechnical Comission (IEC). Standard ini diberi judul Information Technology – Security Techniques – Code of practice for information security management. ISO 27002 menyediakan rekomendasi best practice terhadap manajemen keamanan informasi untuk digunakan oleh mereka yang bertanggung jawab untuk proses inisiasi, implementasi, dan pemeliharaan Information Security Management Systems (ISMS) pada suatu organisasi.
II. DISCUSSION
A. Deskripsi Sistem Yang diSorot
Bagian sistem yang kami sorot adalah mengenai standarisasi policy atau kebijakan yang mengatur keamanan informasi di SISFO. Judul ini kami pilih setelah kami melakukan diskusi dengan ketua SISFO. Dengan adanya paper ini, kami berharap, SISFO dapat mempertimbangkan tulisan kami ini untuk diimplentasikan secara nyata.
Keamanan system informasi adalah sebagai dasar dalam mengembangkan suatu business continuity plan, yang berisi tentang langkah dan prosedur untuk selalu menjaga keberlangsungan bisnis yang dapat saja terganggu dengan gangguan yang mungkin dapat terjadi. [AlBone, Aan. Pembuatan Rencana Keamanan Informasi Berdasarkan
Standarisasi ISO 27002 pada Sisfo IT-Telkom
Tyas Anugerah Rochmat 113070266, Kansul Arsih 113070282, Muthia 113071128,
Dea Aditya 113071133, Arifin Suhendar 113071135
anugrah.rochmat@gmail.com, kanzularsy@gmail.com, mutia.darmayanti@gmail.com, dea.aditya@ymail.com, suhendar.arifin@gmail.com
2
Analisis Dan Mitigasi Risiko Teknologi Informasi. Jurusan Teknik Informatika, Universitas Pasundan]
Berikut diberikan beberapa contoh mengenai pelanggaran terhadap keamanan sistem informasi:
Sedangakan menurut W. Stallings ada beberapa kemungkinan serangan (attack):
1 Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah “denial of service attack”.
2. Interception: Pihak yang tidak berwenang berhasil mengakses aset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
3. Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesanpesan yang merugikan pemilik web site.
4. Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan pesan palsu seperti e-mail palsu ke dalam jaringan komputer.
[Budi Rahardjo. Keamanan Sistem Informasi Berbasis Internet].
[William Stallings, “Network and Internetwork Security,” Prentice Hall, 1995.]
Adapun policy yang kami sarankan adalah ISO 27002. Penerapan best practice ini dapat memberikan beberapa keuntungan, diantaranya sebagai berikut :
1. Meningkatkan citra perusahaan.
2. Meningkatkan kinerja lingkungan perusahaan.
3. Meningkatkan efisiensi kegiatan.
4. Memperbaiki manajemen organisasi dengan menerapkan perencanaan, pelaksanaan, pengukuran dan tindakan perbaikan (plan, do, check, act).
5. Meningkatkan penataan terhadap ketentuan peraturan perundang-undangan dalam hal pengelolaan lingkungan.
6. Mengurangi risiko usaha.
7. Meningkatkan daya saing.
8. Meningkatkan komunikasi internal dan hubungan baik dengan berbagai pihak yang berkepentingan.
9. Mendapat kepercayaan dari konsumen/mitra kerja/pemodal.
B. Rekomendasi
Berdasarkan sistem yang kami amati, maka kami dapat memberikan rekomendasi mengenai penggunaan best practice ISO 27002 di SISFO IT-TELKOM. Adapun isi dari ISO 27002 terdiri dari 12 point, berikut penjelasannya :
1. Risk assessment and treatment
a. Assessing security risks, perlu dibuat kebijakan tentang resiko yang mungkin akan timbul. Kebijakan dapat dibuat dengan diawali analisa tentang resiko yang mungkin muncul pada sistem keamanan, misalnya ;
Berapa besar efek dari berhentinya layanan IT
Berapa besar efek resiko pada saat data dan informasi berhasil ditembus oleh penyusup
Berapa lama sistem akan normal pada saat layanan terhenti
b. Treating security risks treatment, kebijakan untuk menjamin perawatan pada seluruh sistem IT yang digunakan, aturan yang akan mengikat secara standar tentang perawatan, misalnya:
Perlu dibuat aturan tentang berapa kali dalam satu waktu untuk masalah maintenance, analisa penetrasi sistem, backup, restorasi, dan sebagainya yang berhubungan dengan kegagalan resiko keamanan.
2. Security policy
a. Information security policy document & Review of information security policies, kebijakan ini menyangkut permasalahan tentang bagaimana perusahaan memenuhi berbagai aturan keamanan dan privacy regulation seperti standar dari Health Insurance Portability and Accountability Act (HIPAA) , Gramm-Leach-Bliley Financial Services Modernization Act (GLBA). Misalnya beberapa tipe dari security policy document, seperti ;
3
Mobile computer policy
Firewall policy
Electronic mail policy
Data classification policy
Network Security Policy
Internet Acceptable use policy
Password Policy4
b. Coordination with other security policies, jangan sampai kebijakan yang telah dibuat atau akan dibuat akan menyebabkan kontradiktif dengan kebijakan yang telah ada dengan departemen lain atau malah dengan visi dan misi perusahaan. Masalah seperti ini sering kali muncul jika policy keamanan yang dibuat tidak melihat blue print perusahaan, misalnya ;
Dalam policy keamanan karyawan bagian teknis harus dapat leluasa masuk ke ruangan lain sesuai dengan tingkatannya, namun dalam policy perusahaan dibuat aturan tentang model authentikasi sistem untuk masuk ke ruangan tertentu.
3. Organization of information security
a. Internal organization, hal ini diperlukan untuk koordinasi dengan internal perusaahan, misalnya:
Komitmen yang tinggi untuk setiap level management dalam mematuhi semua kebijakan sistem keamanan yang dibuat, akan lebih baik jika dibuatkan aturan tentang komintem manajemen.
Menanamkan tanggung jawab terhadap semua level manajemen dan karyawan atas kebijakan yang telah dibuat.
Harus membuat kebijakan tentang pendefinisian informasi yang masuk dan keluar dari perusahaan dan informasi tersebut harus diklasifikasikan.
Secara periodic melakukan analisa terhadap sistem yang telah dibuat, misalnya dengan menyewa dari pihak luar.
b. External parties, karena informasi dan data juga dimanfaatkan dan diakses oleh partner business maka dibutuhkan juga kebijkan untuk arus informasi masuk dan keluar, misalnya:
Karena telah mengimplementasikan ERP / Supply chain maka beberapa rekan bisnis dikoneksikan ke sitem database, jangan sampai hak akses yang diberikan disalahgunakan, maka dibutuhkan aturan yang jelas tentang hak aksesnya.
Berapa nilai resiko yang akan terjadi dengan mengkoneksikan rekan bisnis ini, hal ini harus di identifikasi dari awal.
Antara perusahaan dan rekan bisnis harus dibuat rambu-rambu yang jelas mengenai hak akses informasi ini
User id dan Group id, menerapkan kelompok-kelompok berdasarkan user dan kelompok agar mudah dimaintenence. Dengan password atau user root maka kita bisa mengatur mesin computer tersebut secara penuh. Kita bisa membuat user dan menghapus user, mengakifkan dan menonaktifkan user, membagi quota bagi para user, memberikan akses resource jaringan, sampai dengan instalasi secara penuh pada server.
4. Asset management
a. Responsibility for assets, permasalahan asset perusahaan harus juga menjadi perhatian khusus, hal ini dibutuhkan untuk mengklasifikasikan asset data, informasi dan barang serta lainnya dalam sebuah kebijakan, misalnya ;
Bagaimana kita dapat mengetahui jumlah barang dan spesifikasi barang jika tidak mengetahui model/format, tanggal creation manufacture dan informasi penting lainnya pada saat ingin mengetahui tentang barang tersebut.
Harus mendokumentasikan dengan baik tentang informasi database, kontrak atau kerjasama, informasi dari bagian R&D, user manual, training material, operasional, SOP, dan support procedure.
Mendata semua peralatan keseluruhn computer secara phisik, peralatan komunikasi, storage media, sistem penyimpanan backup, perangkat lunak, data base, tools dan utilities lainnya.
Melakukan klasifikasi informasi, misalnya dengan membuat guidelines atau membuat labeling informasi, bayangkan jika asset yang ada banyak dengan spesifikasi yang sama atau berbeda, haruslah informasi asset dibuat standard dengan mempunyai karakteristik dari setiap asset yang ada.
5. Human resources security
Pada kebijakan ini terfokus pada employees, kontraktor, dan pengguna lannya tentang tanggung jawab yang ada, misalnya permasalahan pencurian, perusakan dan kehilangan fasilitas, misalnya ;
Membuat batasan tanggung jawab, term dan kondisi dari setiap employee.
Harus membuat pertemuan-pertemuan untuk meningkatkan information security awareness, melakukan edukasi dan training tentang kebijakan dan sistem yang telah dan akan dibangun, hal ini untuk meningkatkan rasa memiliki dan respon dari pengguna
Perusahaan harus bisa membuat aturan dan regulasi yang baku bagaimana pengaturan hak akses semua karyawan dan pihak luar lainnya yang berhubungan dengan sistem informasi.
Setiap employee harus mempunyai batasan hak akses sesuai dengan jobsdesk dan departemnya.
4
Kebijakan tentang bagaimana jika seorang pegawai karena sesuatu masalah harus dicabut hak yang melekat, misalnya hak untuk akses keserver, hak bagian dari suatu group, hak akses ke ruang tertentu, dan sebagainya.
Kebijakan harus dapat mengatur bagaimana jika employee di cabut hak aksesnya dan dalam waktu tertentu di kembalikan dengan persetujuan managemen
6. Physical and environmental security
Dalam bagian ini harus dapat diatur tentang hak akses secara phisik, kerusakan yang diakibatkan infrastruktur, dapat mengidentifikasi resiko dan nilai dari setiap asset yang diproteksi, ada beberapa isu yang dapat diangkat misalnya ;
Membuat sistem dengan mengatur bagaimana jika terjadi force majure (kebakaran, huru-hara, bencana alam)
Membuat standar sistem redundant dan backup, membuat aturan dengan menerapkan kegiatan backup secara berkala atau menggunakan sistem cadangan, saat ini trend perkembangan DRC (Disaster Recovery Center) yang biasa digunakan perusahaan banking, dimana menggunakan server cadangan untuk menyalin database ke dalam server lain secara mirroring dengan metode penyalinan bisa diatur.
Membuat membuat aturan baku tentang akses computer dan jaringan secara langsung misalnya kabel, server yang diletakkan diruangan khusus, hub, router, dan lain-lain. Ruang server ini sering disebut NOC (Network Operating Center) yang biasanya diruangan khusus yang terpisah dari user dan terdapat rack-rack khusus untuk menempatkan perangkat jaringannya.
Ruang server yang dibuat harus memperhatikan masalah ruang akses publik, dan ruang loading dock.
Membuat aturan tentang akses kontrol ke ruang server, akses masuk dengan menggunakan id otentikasi (misalnya barcode atau sidikjari) agar tidak semua user dapat masuk ke parimeter keamanan.
Memperhatikan fasilitas penunjang keamanan seperti alat pemadam kebakaran, pendeteksi asap, alat pendeteksi gerakan dan pendeteksi audio video surviillance dan bahan kimia lainnya yang membahayakanarea ruangan.
Membuat pendataan asset ruangan khusus untuk mendata tentang proses maintenance perangkat tersebut
Membuat aturan tentang pembatasan penggunaan audio video termasuk kamera photo, HP dan perangkat portable lainnya serta mengatur tentang makan minum dan merokok di area tertentu.
7. Communications and operations management
Pada bagian ini kebijakan harus dibuat dengan memastikan memeriksa dan mengamankan operasi fasilitas-fasilitas pengolahan informasi.
a. Operational procedures and responsibilities, dengan membuat standar dokumen untuk setiap operasional. Dibutuhkan SOP (Standar Operating Procedure) untuk semua kegiatan, misalnya bagaimana cara mengatur kerja shift pada ruang server, standar penanganan service desk, standar penanganan teknis dan sebagainya
b. Third-party service management, semakin banyak pihak ketiga yang digunakan, maka dibutuhkan mekanisme layanan, report dan perekaman secara berkesinambungan untuk memantau dan menganalisa.
Buat aturan tentang kerjasama antara pengembang aplikasi third-party yang digunakan.
Mengatur level instalasi setiap user untuk mengakses data di hardisk.
c. Protection against malicious and mobile code
Buat aturan tentang pencegahan, pendeteksian dan respon terhadap code malicious, misalnya:
Pengaturan tentang kebijakan instalasi software third-party terutama yang didapat dari ekternal network.
Aturalah untuk selalu menggunakan anti-virus, anti-spyware dan lakukan update secara regular.
Aturalah untuk proses update tersebut apakah akan dilakukan secara terpusat atau di remote oleh admin.
Lakukan review secara periodic terhadap sistem yang berjalan, bila perlu uninstalled software yang bermasalah dengan kompatibilitas dan membahayakan sistem.
Buat perjanjian yang mengikat dengan produk software yang dibeli, jika nanti ditemukan masalah dapat menghubungi call centernya.
Buat aturan tentang bagaimana jika terjadi trouble sistem pada saat instalasi software third-party.
Lakukan training dan sosialisai tentan kebijakan dan metode ini.
d. Network security management
Dalam aturan ini akan melindungi semua informasi pada jaringan dan pada supporting network infrastructure.
Buat aturan tentang “push information” ke level manajemen untuk performance network.
Buatlah tampilan untuk memonitor network baik dari sisi perangkat atau akses user, hal ini berguna untuk membuat report.
Membuat dokumentasi gambar-gambar topology network.
Mengatur jangan sampai informasi-informasi sensitive infrastructure network dari akses public, hal ini untuk memperkecil kasus social engineering.
Aturlah tentang pengumpulan logging termasuk aktivitas keamanan.
Lakukan koordinasi dengan pihak lain (konsultan, CERT, ID-SIRTI, dan lain-lain).
5
Implementasikan layanan network, seperti authentication, encryption dan koneksi control.
Buat kerjasama dengan penyelenggara sistem keamanan seperti penggunaan digital certificate, kunci public, sistem OTP dan sebagainya.
Buat control akses ke infrastruktru network termasuk akses wireless, akses data, atau lainnya yang berhubungan dengan informasi dan data.
Aturan tentang proteksi pertukaran informasi dari interception, copying, modification, mis-routing.
Pada saat data disimpan secara physical buatlah aturan yang baku tentang packaging, locked container, temper-evident tangging, penomeran locker, surat pengantar dan recording historinya.
Buat aturan tentang penggunaan electronic messaging (email, IM, audiovideo conference, dan sebagainya), misalnya tentang pembatasan akses, attachment file, transmit file, yang berhubungan dengan pengaruh pada sistem keamanan.
Jika dimungkinkan tetapkan untuk penggunaan kunci public dengan PGP atau sistem keamanan lainnya untuk proses.
Jika menggunakan layanan e-commerce, buatlah aturan layanan dengan pihak lain (authority security atau banking) dan perhatikan penggunaan aplikasi yang digunakan.
e. Monitoring
Dalam kategori ini aktivitas proses menjadi perhatian utama, diantaranya ;
Buat team NMC (Network Monitoring Center) untuk memantau traffic, aktivitas di jaringan dan infrastruktur yang memantau secara terusmenurs 24 jam.
Team NMC dibawah tanggung jawab departemen teknis,NMC sangat berperan dalam mengetahui aktivitas secara dini baik anomaly, serangan atau failure dari sistem yang berjalan.
Buat sistem ticketing untuk pengantrian gangguan di helpdesk, hal ini untuk meningkatkan layanan.
Buat sistem monitoring secara menyeluruh untuk mengatahui semua proses dan aktivitas yang terjadi di jaringan, dengan protocol SNMP dan beberapa aplikasi standar dapat memberikan informasi yang detail.
Lakukan monitoring secara keseluruhan (router, switching, server, last miles, resources hardware dan devices lainnya).
Bila perlu integrasikan monitoring ke sistem lainnya misalnya sms, email, dan aplikasi mobile lainnya.
Buat aturan untuk memproteksi Logging akses dan proses, lakukan recording untuk setiap log dari administrator sampai dengan operator, Fault logging, hal ini juga untuk mendukung dari job desk ID-SIRTI.
Automatic Lock, aturan yang memungkinkan penguncian sistem secara otomatis, jika terjadi misalkan penulisan password yang salah sebanyak tiga kali. Ini sangat berguna untuk user yang bisa login ke server.
Check Log adminstrasi secara priodik dengan melakukan checking semua aktivitas sistem computer baik dari sisi akses ke user, jalannya daemon sistem, dan akses user ke sistem.
Lakukan review log dengan mencocokan policy pada mesin firewall atau IDS.
Lakukan clock synchronization terutama jika mempunyai banyak server di banyak tempat untuk menghindari kesalahan prosedur pada sistem.
8. Access control
Bagian ini hendaknya membuat aturan tentang akses ke informasi, fasilitas proses informasi dan business process.
Membuat aturan tentang akses ke sistem informasi.
Membuat baku tentang format persetujuan, penolakan dan administrasi.
User Registrasi, perlu dibuat untuk mengimplementasikan prosedur registrasi, grating dan revoking access ke semya sistem dan layanan informasi.
Buat account dengan unik untuk semua ID user.
Buat aturan tentang pemberitahuan admin kepada user tentang permasalahan pada sistem account.
Buat standart untuk “term and condition” dan confidentiality agreement.
Buat standar dokumentasi untuk menyimpan semua informasi user agar mudah di restorasi.
Account, apakah sebuah account dapat digunakan bersama, disaat accountnya ditolak apa yang harus dilakukan oleh user. Account yang expired seperti keluarnya pegawai / resign yang dahulu mendapatkan hak akses ke server seperti account mail, account web atau quota di server untuk menyimpan datanya harus segera dihapus setelah pegawai tersebut resmi resign dari perusahaan.
Automatic Lock, aturan yang memungkinkan penguncian sistem secara otomatis, jika terjadi misalkan penulisan password yang salah sebanyak tiga kali. Ini sangat berguna untuk user yang bisa login ke server.
Ganti password secara berkala (admin & user) dan dokumentasikan, Password yang baik selain terdiri dari karakter dan angka juga panjangnya, ada baiknya password diganti secara berkala misalnya 1 bulan sekali dan di dokumentasikan.
New accounts, membatasi user baru dengan quota, memory dan akses beserta hak yang dimilikinya.
Batasi ruang lingkup user dengan menerapkan quota, jam akses, hak akses instalasi di PC atau server dan sebagainya.
6
Root Security, sistem administrasi dengan menggunakan remote sistem harus melalui jaringan yang aman, misalnya VPN, SSL, atau SSH. Dibuat aturan dimana setiap user yang akan login ke server dengan account root atau super user harus login dengan user biasa dulu baru pindah ke user root.
Buat aturan tentang network routing control, pastikan algortima yang digunakan benar dan link ke routing dapat dipercaya, perhatikan hop routing, latency dan protocol yang digunaka
9. Information systems acquisition, development and maintenance
Pada bagian ini akan membicarakan tentang aturan bagian dari sistem informasi, dan proses bisnis yang merupakan bagian dari kegiatan sistem yang berlangsung.
a. Security Requirement of information system & application
Menyangkut tentangsistem informasi secara keseluruhan.
Membuat aturan tentang legalitas tentang asset informasi pada perubahan atau implementasi sistem yang baru.
Membuat aturan tentang data input pada aplikasi untuk memastikan kebenaran data tersebut.
Membuat aturan tentang pemeriksaan ulang dan manual untuk memverifikasi dan cross checking.
Hal ini sebagian dari penanggulangan injection pada serangan yang akan dilakukan pada sistem yang dibangun dengan memanfaatkan celah yang ada.
Membuat definisi untuk tanggung-jawab dan proses untuk merespon pada saat terjadi atau mendeteksi errors.
Memperhatikan tentang output data dengan memvalidasi untuk memastikan data yang diproses dan disimpan adalah benar.
Gunakan metode enkripsi kriptographi tertentu untuk menjamin keamanan, integrasi dan otentikasi informasi dengan menggunakan aplikasi yang mendukungnya.
b. Security Systems
Menjamin sistem file yang ada.
Membuat prosedur implementasi untuk mengontrol instalasi software.
Minimalkan terjadinya konflik / inkompatibel antara perangkat lunak dengan sistem operasi dan perangkat keras.
Melakukan training untuk mensosialisasikan sistem yang telah dibuat.
Membuat prosedur tentang bagaimana perubahan yang akan dilakukan
10. Information security incident management
Mengantisipasi dan menanggapi dengan tepat pelanggaran keamanan informasi.
11. Business continuity management
Melindungi, memelihara dan memulihkan bisnis penting proses dan sistem.
12. Compliance
Memastikan kesesuaian dengan kebijakan keamanan informasi, standar, hukum dan peraturan.
III. CONCLUSION
Penerapan best practice ISO 27002 dapat memberikan beberapa keuntungan, diantaranya sebagai berikut :
1. Meningkatkan citra perusahaan.
2. Meningkatkan kinerja lingkungan perusahaan.
3. Meningkatkan efisiensi kegiatan.
4. Memperbaiki manajemen organisasi dengan menerapkan perencanaan, pelaksanaan, pengukuran dan tindakan perbaikan (plan, do, check, act).
5. Meningkatkan penataan terhadap ketentuan peraturan perundang-undangan dalam hal pengelolaan lingkungan.
6. Mengurangi risiko usaha.
7. Meningkatkan daya saing.
8. Meningkatkan komunikasi internal dan hubungan baik dengan berbagai pihak yang berkepentingan.
9. Mendapat kepercayaan dari konsumen/mitra kerja/pemodal.
Saran kami, sekiranya pada peneliatian selanjutnya dapat dijelaskan tentang cara mendapatkan sertifikasi ISO 27002.
REFERENCES
[1] Stiawan Deris, 2009, Kebijakan Sistem Informasi Manajemen Keamanan IT (Information Security Management Policy) Standard ISO 17799 : 27002.
[2] Dani Junian, 2008, Pengembangan Kebijakan Keamanan, Fakultas Ilmu Komputer UI.
[3] Raharjo Budi, 2002, Keamanan Sistem Informasi Berbasis Internet, PT. Insan Indonesia-Bandung.
[4] Albone Aan, 2009, PEMBUATAN RENCANA KEAMANAN INFORMASI BERDASARKAN ANALISIS DAN MITIGASI RISIKO TEKNOLOGI INFORMASI, Universitas Pasundan-Bandung.
[5] Tarigan Avinanta, 2008, Penelitian Interdisiplin Dalam Keamanan Informasi, Universitas Gunadarma.
====================================================================
Tidak ada komentar:
Posting Komentar