Perkuliahan 2 (Keamanan Sistem Komputer)

•   Awal mula keamanan computer. 

Pada saat computer diperkenalkan pertama kali, ukuran komputer sangat besar, langka, dan sangat mahal. Oleh karena itu organisasi atau perusahaan yang cukup beruntung memiliki komputer akan mencoba dengan cara terbaik untuk melindungi computer tersebut. Keamanan komputer hanya salah satu aspek dari keamanan secara keseluruhan dari asset organisasi. Keamanan difokuskan pada fisik pembobolan, pencurian peralatan komputer, dan pencurian atau perusakan kemasan disk, gulungan pita, dan media lainnya. Hanya sedikit orang yang tahu bagaimana menggunakan komputer, dan dengan demikian pengguna harus dengan hati-hati dipilih. Pada saat itu computer tidak terhubung dengan jaringan internet sehingga memang masalah keamanan hanya berfokus pada fisik dan lingkungannya saja.

Pada 1970-an, teknologi komunikasi berubah, dan dengan itu cara-cara berkomunikasi juga berubah, pengguna yang berhubungan dengan komputer dan data dapat bertukar informasi dengan menggunakan jaringan telepon. Selain itu multi-programaming, timesharing, dan jaringan mengubah semua aturan dalam berkomunikasi. Dengan terkoneksinya computer pada jaringan telepon maka pengguna berkemampuan untuk mengakses komputer dari lokasi terpencil. Dengan kemampuan itu mengubah penggunaan komputer. Komputer merambah ke bidang bisnis dengan mulai menyimpan informasi secara online dan terkoneksi dengan jaringan secara bersama-sama dan dengan mainframe yang berisi database.

Dengan di mulainya computer dan jaringan untuk keperluan bisnis maka mulai muncul masalah keamanan computer terutama menyangkut pencurian data dan informasi. Sehingga masalah keamanan computer tidak lagi terfokus pada masalah fisik dan lokasi, tetapi di tambah dengan masalah kemanan data dan informasi.

 

Dalam keamanan komputer ada tiga komponen yang selalu menjadi diskusi:

·       Kerentanan: adalah kelemahan dari komputer yang memungkinkan penyerang untuk masuk ke sistem jaringann informasi.

·       Ancaman: adalah kemungkinan bahaya yang mungkin mengeksploitasi kerentanan untuk melakukan gangguan pada system keamanan dan karena itu dapat menyebabkan kemungkinan bahaya bagi organisasi.

·       Penanggulangan: adalah suatu tindakan, perangkat, prosedur, atau teknik yang mengurangi ancaman, kerentanan, atau serangan dengan menghilangkan atau mencegah, dengan meminimalkan kerugian itu dapat menyebabkan, atau dengan menemukan dan melaporkan masalah system keamanan sehingga tindakan korektif dapat diambil.

 

 

• Interruption : informasi dan data yang ada dalam sistem komputer dirusak dan dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.

• Interception : Informasi yang ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer dimana informasi tersebut disimpan.

• Modifikasi : orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan diubah sesuai keinginan orang tersebut.

• Fabrication : orang yang tidak berhak berhasil  meniru suatu informasi yang ada sehingga orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.

 

·  Authentication : agar penerima informasi dapat memastikan keaslian pesan tersebut datang dari orang yang dimintai informasi.

·  Integrity : keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam perjalanan informasi tersebut.

·  Authority : Informasi yang berda pada sistem jaringan tidak dapat dimodifikasi oleh pihak yang tidak berhak atas akses tersebut.

·  Confidentiality : merupakan usaha untuk menjaga informasi dari orang yang tidak berhak mengakses.

·  Privacy : merupakan lebih ke arah data-data yang sifatnya privat (pribadi).

 

 

 

• Guna manfaat sistem keamanan computer yaitu menjaga suatu sistem komputer dari pengaksesan seseorang yang tidak memiliki hak untuk mengakses sistem komputer tersebut. Sistem keamanan komputer semakin dibutuhkan saat ini seiring dengan meningkatnya penggunaan komputer di seluruh penjuru dunia. Selain itu makin meningkatnya para pengguna yang menghubungkan jaringan LANnya ke internet, namun tidak di imbangi dengan SDM yang dapat menjaga keamanan data dan infomasi yang dimiliki. Sehingga keamanan data yang ada menjadi terancam untuk diakses dari orang-orang yang tidak berhak. Keamanan komputer menjadi penting karena ini terkait dengan Privacy, Integrity, Autentication, Confidentiality dan Availability. Beberapa ancaman keamanan komputer adalah virus, worm, trojan, spam dan lain-lain. Masing-masingnya memiliki cara untuk mencuri data bahkan merusak sistem komputer. Ancaman bagi keamanan sistem komputer ini tidak dapat dihilangkan begitu saja, namun kita dapat meminimalkan hal ini dengan menggunakan perangkat lunak (software) keamanan sistem diantaranya antivirus, antispam dan sebagainya.

 

 

 

• Aset : Perlindungan aset merupakan hal yang penting dan merupakan langkah awal dari berbagai implementasi keamanan komputer. Contohnya: ketika mendesain sebauah website e-commerce yang perlu dipikirkan adalah keamanan konsumen. Konsumen merupakan aset yang penting, seperti pengamanan naman alamat ataupun nomor kartu kredit.

• Analisi Resiko : adalah tentang identifikasi akan resiko yang mungkin terjadi, sebuah even yang potensial yang bisa mengakibatkan suatu sistem dirugikan.

• Perlindungan : Kita dapat melindungi jaringan internet dengan pengaturan Internet Firewall yaitu suatu akses yang mengendalikan jaringan internet dan menempatkan web dan FTP server pada suatu server yang sudah dilindungi oleh firewall.

• Alat : alat atau tool yang digunakan pada suatu komputer merupakan peran penting dalam hal keamanan karena tool yang digunakan harus  benar-benar aman.

• Prioritas : Jika keamanan jaringan merupakan suatu prioritas, maka suatu organisasi harus membayar harga baik dari segi material maupun non material. Suatu jaringan komputer pada tahap awal harus  diamankan dengan firewall atau lainnya yang mendukung suatu sistem keamanan.

 

 

 

 

 

STRATEGI DAN TAKTIK KEAMANAN KOMPUTER ATAU KEAMANAN SISTEM OPERASI !

• Keamanan fisik : lapisan yang sangat mendasar pada keamanan sistem informasi adalah keamanan fisik paad komputer. Siapa saja memiliki hak akses ke sistem. Jika hal itu tidak diperhatikan, akan terjadi hal-hal yang tidak dikehendaki.

• Kunci Komputer : banyak case PC modern menyertakan atribut penguncian. Biasanya berupa soket pada bagian depan case yang memungkinkan kita memutar kunci  yang disertakan ke posisi terkunsi atau tidak.

• Keamana BIOS : BIOS adalah software tingkat terendah yang mengonfigurasi atau memanipulasi hardware. Kita bisa menggunakan BIOS untuk mencegah orang lain me-reboot ulang komputer kita dan memanipulasi sisten komputer kita.

• Mendeteksi Gangguan Keamanan Fisik : hal pertama yang harus diperhatikan adalah pada saat komputer akan di-reboot. Oleh karena Sistem Operasi yang kuat dan stabil, saat yang tepat bagi komputer untuk reboot adalah ketika kita meng-upgrade SO, menukar hardware dan sejenisnya.

 

 

 

 

a. Pengamanan dengan cara fisik 
Bentuk computer yang dapat diliat serta diraba (contoh : monitor, CPU, keyboard, dan sebagainya). Meletakkan system computer pada tempat atau tempat yang gampang dipantau serta dikendalikan, pada ruang spesifik yang 
bisa dikunci serta susah dijangkau orang lain hingga tak ada komponen yang hilang. Diluar itu dengan melindungi kebersihan ruang, jauhi ruang yang panas, kotor serta lembab. Ruang tetaplah dingin bila perlu ber-AC namun tak lembab. 

b. Pengamanan Akses 
Pengamanan akses dikerjakan untuk PC yang memakai system operasi penguncian serta system operasi jaringan. Maksudnya adalah untuk menghadapi peristiwa yang sifatnya disengaja atau tak disengaja, seperti kelalaian atau 
keteledoran pemakai yang kerapkali meninggalkan computer dalam kondisi masih tetap menyala atau bila ada pada jaringan computer masih tetap ada dalam login user. Pada computer, jaringan pengamanan computer yaitu tanggungjawab administrator yang dapat mengatur serta mendokumentasi semua akses pada system computer dengan baik. 

c. Pengamanan Data 
Pengamanan data dikerjakan dengan mengaplikasikan system tingkatan atau hierarki akses di mana seorang cuma bisa terhubung data spesifik saja sebagai haknya. Untuk data yang sifatnya begitu peka dapat 
memakai password (kata sandi). 

d. Pengamanan Komunikasi Jaringan 
Pengamanan komunikasi jaringan dikerjakan dengan memakai kriptografi di mana data yang sifatnya peka di-enkripsi atau disandikan terlebih dulu sebelumnya ditransmisikan lewat jaringan itu. 

 

 

1. Mengelola batas antara bagian manajemen dengan bagian administrasi.
2. Melindungi sumber daya komputer di organisasi.
3. Mencegah perubahan data oleh pihak yang tidak memiliki otoritas.
4. Mengurangi resiko penggunaan sumber daya oleh pihak yang tidak berwenang.
5. Membagi hak akses setiap pengguna.
6. Melindungi kepemilikan informasi.
7. Melindungi penyingkapan data dari pihak yang tidak berwenang.

8.     Melindungi dari penyalahgunaan sumber daya dan hak akses.

 

Berikut ini adalah tipe-tipe kebijakan keamanan TI yaitu:

1. Promiscuos policy

Merupakan kebijakan yang sama sekali tidak membatasi penggunaan sumber daya. Artinya bisa dikatakan tidak ada kebijakan. jika organisasi menggunakan kebijakan ini maka akan sangat mudah bagi hacker untuk masuk ke dalam sistem. langkah-langkah hacker untuk masuk ke dalam sistem  

2. Permissive policy

Merupakan kebijakan yang bersifat bebas namun terdapat area tertentu  yang dibatasi. Pada kebijakan ini hendaknya selalu diperbaharui agar efektif

3. Prudent policy

Merupakan kebijakan keamanan maksimal. Hanya layanan tertentu saja yang dibuka, yaitu layanan yang benar-benar dibutuhkan. Pada kebijakan ini semua aktifitas pada sumber daya tercatat di dalam sistem. biasanya pada kebijakan ini diberlakukan enkripsi untuk sistem yang digunakan. apa itu enkripsi dan bagaimana bentuknya 

 4. Paranoid policy

Merupakan kebijakan yang membatasi hubungan dengan internet. Untuk benar-benar aman tidak membuat hubungan dengan jaringan internet.

 

 

• Contoh kebijakan keamanan teknologi informasi

1. Kebijakan untuk akses kontrol

Didalam kebijakan ini berisi hak akses kontrol untuk pihak yang dapat menggunakan sumber daya tertentu. Akses kontrol dibedakan berdasarkan bagian-bagian.

2. Kebijakan untuk akses jarak jauh

Di dalam kebijakan ini diatur mengenai siapa saja yang bisa mengakses sumber daya dari jarak jauh, hanya akun tertentu yang bisa mengakses sistem dari jarak jauh.

3. Kebijakan untuk manajemen firewall

Manajemen firewall merupakan kebijakan yang terdiri dari rule atau aturan yang membatasi pengguna untuk mengakses sumber daya di luar dan di dalam jaringan.

4. Kebijakan untuk koneksi jaringan komputer

Kebijakan ini berisi kebijakan mengenai instalasi perangkat baru, perubahan data dan lain-lain.

5. Kebijakan untuk password

Pada kebijakan ini bagaimana membentuk password yang kuat untuk digunakan oleh setiap pengguna.

6. Kebijakan untuk akun pengguna

Didalam kebijakan ini berisi pembuatan akun berdasarkan hak aksesnya. Pengguna dibedakan menjadi top user seperti administrator dan direksi, middle user seperti manajer dan kepala bagian, common user adalah pegawai biasa. Setiap level user memiliki rule yang berbeda, jika top user bisa mengakses semua sumber daya.

 

 

7. Kebijakan untuk keamanan email

Merupakan kebijakan perusahaan yang membatasi pembuatan akun email organisasi untuk alasan keamanan.

• Langkah-langkah dalam membuat dan impementasi kebijakan keamanan teknologi informasi

 

1. Melakukan penilaian resiko 

Langkah pertama adalah melakukan penilaian resiko untuk mengidentifikasi resiko terhadap aset yang ada.

2. Mempelajari pedoman kebijakan organisasi lain

Langkah kedua Jika organisasi lain telah mempunyai kebijakan keamanan teknologi informasi, maka tidak salahnya kita mempelajari kebijakan mereka. Sehingga dalam membuat kebijakan nantinya bisa membuat perbandingan mana yang lebih baik untuk diterapkan di organisasi kita.

3. Mengikutsertakan senior perusahaan

Langkah ketiga dalam membuat kebijakan tentunya senior lebih paham mengenai organisasi, tidak ada salahnya mengikutsertakannya dalam pembuatan kebijakan untuk membuat kebijakan yang menyeluruh untuk cakupan areanya.

4. Memastikan semua anggota mengetahui kebijakan

Langkah ke empat tahapan ini adalah tahapan terakhir, jika telah sampai pada tahap ini anggota organisasi dan seluruh yang terlibat di organisasi mengetahui, menandatangani, dan mengerti kebijakan yang dibuat.