Rabu, 02 Desember 2009

sistem keamanan jaringan komputer

SISTEM KEAMANAN JARINGAN KOMPUTER

Didalam era teknologi yang makin canggih, penggunaan komputer sebagai salah satu sarana informasi, hampir merambah keseluruh aspek kehidupan manusia, baik didalam kegiatan perusahaan, organisasi, ataupun pemerintahan. Informasi adalah salah satu aset bagi sebuah perusahaan atau organisasi, yang sebagaimana aset lainnya memiliki nilai tertentu bagi perusahaan atau organisasi tersebut sehingga harus dilindungi, untuk menjamin kelangsungan perusahaan atau organisasi, meminimalisir kerusakan karena kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha.

Beragam bentuk informasi yang mungkin dimiliki oleh sebuah perusahaan atau organisasi meliputi diantaranya : informasi yang tersimpan dalam komputer ( baik desktop komputer maupun mobile komputer ), informasi yang ditransmisikan melalui network, informasi yang dicetak pada kertas, dikirim melalui fax, tersimpan dalam disket,cd,atau media penyimpanan lain, informasi yang dilakukan dalam pembicaraan ( termasuk percakapan melalui telepon ), dikirim melalui telex, email, informasi yang tersimpan dalam database, tersimpan dalam film, dipresentasikan dengan OHP atau media presentasi yang lain, dan metode-metode lain yang dapat digunakan untuk menyampaikan informasi dan ide-ide baru organisasi atau perusahaan.

Soal akurasi dan kecepatan menjadi alasan kenapa computer diplih menjadi alat bantu bekerja. Sayangnya tidak sediki hal-hal buruk yang terjadi di computer sebagai media informasi. Kemampuan computer pun banyak dimanfaatkan untuk hal-hal negative seperti penyebaran Trojan, virus, DoS, Web deface bahkan sampai pencurian identitas. Maka pengelolaan informasi menjadi penting ketika terkait dengan kredibilitas dan kelangsungan hidup orang banyak. Hal tersebut memunculkan suatu kebutuhan akan keamanan komputer. Dengan membangun sistem keamanan, data di komputer sebagai media Informasi bisa terlindungi dan terselamatkan.

Informasi yang merupakan aset harus dilindungi keamanannya. Perusahaan penyedia jasa teknologi informasi (TI), media pemberitaan, transportasi, perbankan hingga industri lainnya yang sedikit sekali bersentuhan dengan teknologi informasi, seperti: perusahaan penyedia makanan, penginapan, pertanian, peternakan dan lain-lain. Ketika perusahaan menempatkan informasi sebagai infrastruktur kritikal (penting), maka pengelolaan keamanan informasi yang dimiliki menjadi prioritas utama demi kelangsungan hidup dan perkembangan perusahaan. Dengan kata lain keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha.

Keamanan,secara umum diartikan sebagai ‘ quality or state of being secure-to be free from danger ‘. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi masing-masing memiliki fokus dan dibangun pada masing-masing kekhususannya.

Keamanan informasi adalah perlindungan informasi termasuk sistem dan perangkat yang digunakan, menyimpan, dan mengirimkannya. Keamanan informasi melindungi informasi dari berbagai ancaman untuk menjamin kelangsungan usaha, meminimalisasi kerusakan akibat terjadinya ancaman, mempercepat kembalinya investasi dan peluang usaha.

Sebagaimana telah diketahui bahwa manajemen keamanan informasi adalah satu dari tiga bagian dalam komponen keamanan informasi menurut NSTISSC. Sebagai bagian dari keseluruhan manajemen, tujuan manajemen keamanan informasi berbeda dengan manajemen teknologi informasi dan manajemen umum, karena memfokuskan diri pada keamanan operasi organisasi. Karena manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi dikenal sebagai 6P yaitu:

1.Planning (Perencanaan)

Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:

a. Strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode yang lama, biasanya lima tahunan atau lebih

b. Tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat, misalnya satu atau dua tahunan

c. Perational planning memfokuskan diri pada kinerja harian organisasi. Sebagi tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi.

2. Policy (Kebijakan)

Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:

  1. Enterprise information security policy (EISP) menentukan kebijakan departemen keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.
  2. Issue-spesific security policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
  3. System-spesific Policy (SSPs) pengendali konfigurasi penggunaan perangkat atau teknologi secara teknis atau manajerial.

3. Programs (Program-program)

Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa bagian. Salah satu contohnya adalah program security education training and awareness (SETA). Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi organisasi.

4. Protection (Perlindungan)

Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.

5. People (Orang)

Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.

6. Project Management (manajemen proyek)

Komponen terakhir adalah penerapan kedisiplinan manajemen dalam setiap elemen kemanan informasi. Hal ini melibatkan identifikasi dan pengendalian sumberdaya yang dikerahkan untuk keamanan informasi, misalnya pengukuran pencapaian keamanan informasi dan peningkatannya dalam mencapai tujuan keamanan informasi.

Oleh karena itu, di dalam suatu perusahaan atau organisasi sebaiknya mempunyai struktur organisasi sebuah program keamanan informasi.Faktor-faktor yang menentukan struktur organisasi program keamanan informasi antara lain :
1. Budaya organisasi

2. Ukuran perusahaan

3. Anggaran personil keamanan

4. Keamanan anggaran modal

Keamanan Komputer pada berbagai macam ukuran organisasi :

1. Keamanan Komputer pada organisasi yang sangat besar


Salah satu pendekatan yang disarankan adalah memisahkan fungsi-fungsi ke dalam empat bidang:
1. Fungsi yang dilakukan oleh non-unit bisnis teknologi di luar bidang teknologi informasi manajemen kontrol, seperti: Hukum, Training
2. Fungsi yang dilakukan oleh kelompok-kelompok IT di luar bidang keamanan informasi manajemen kontrol, seperti:

a. Sistem administrasi keamanan

b. Jaringan administrasi keamanan

c. Sentralisasi otentikasi

3. Fungsi dilakukan dalam departemen keamanan informasi sebagai layanan pelanggan untuk organisasi dan mitra eksternal, seperti

a. penilaian resiko

b. sistem pengujian

c. insiden tanggapan

d. perencanaan

e. pengukuran

f. penilaian vulnerability
4. Fungsi dilakukan dalam departemen keamanan informasi sebagai penegakan kepatuhan kewajiban, seperti

a. kebijakan

b.kepatuhan

c. manajemen resiko

Hal ini tetap menjadi tanggung jawab CISO untuk melihat bahwa fungsi keamanan informasi tersebut cukup dilakukan di suatu tempat di dalam organisasi. Penggelaran penuh waktu personel keamanan tergantung pada sejumlah faktor, termasuk kepekaan informasi untuk dilindungi, peraturan industri dan profitabilitas umum. Semakin banyak uang yang perusahaan dapat mendedikasikan anggaran personil-nya, semakin besar kemungkinan untuk menjaga keamanan informasi besar staf.

2. Keamanan komputer pada organisasi yang besar

Organisasi yang besar memiliki 1000-10.000 komputer di dalam organisasinya.
Departemen keamanan informasi dalam organisasi-organisasi seperti itu cenderung untuk membentuk dan membentuk kembali kelompok-kelompok internal untuk memenuhi tantangan jangka panjang, bahkan saat mereka menangani sehari-hari operasi keamanan.
Dengan demikian fungsi kemungkinan besar akan dibagi dalam kelompok-kelompok dalam organisasi yang lebih besar, dalam kontras, organisasi yang lebih kecil biasanya membuat kelompok-kelompok yang lebih sedikit, mungkin hanya memiliki satu grup umum yang mewakili kepentingan masyarakat.

Pada ukuran ini organisasi pendekatan keamanan telah matang dimana telah mengintegrasikan perencanaan dan budaya ke dalam kebijakan, 80% dari organisasi mengatakan setidaknya beberapa keputusan keamanan dipandu oleh mereka. Namun organisasi besar tidak menempatkan sumber daya dalam jumlah besar ke dalam mempertimbangkan keamanan, dengan sejumlah besar komputer dan pengguna yang sering terlibat. Mereka cenderung menghabiskan kurang pada keamanan secara substansial (hanya sekitar 5 persen dari total anggaran TI rata-rata) menciptakan isu-isu di seluruh organisasi, terutama dalam "orang" daerah.

3. Keamanan komputer pada organisasi yang berukuran medium

Organisasi berukuran menengah ini mempunyai 100-1000 komputer di organisasinya.Memiliki anggaran untuk keamanan yang lebih sediki kecil yaitu sekitar 11 % dari anggaran IT. Mempunyai ukuran yang sama dengan organisasi kecil mengenai staf keamanan namun mempunyai kebutuan yang lebih besar. Keamanan organisasi menengah ini masih mengandalkan bantuan dari staf TI untuk rencana dan praktek-praktek. Kemampuan untuk menetapkan kebijakan, menangani insiden dalam cara yang teratur dan efektif mengalokasikan sumber daya, secara keseluruhan, lebih buruk daripada ukuran lain. Setiap kelompok organisasi berukuran sedang cenderung mengabaikan beberapa fungsi keamanan.. Berdasarkan ukurannya, jumlah insiden amat banyak yaitu hampir sekitar 70 persen dari mereka memiliki kerusakan dari pelanggaran keamanan, sebuah peningkatan 48 persen lebih dari organisasi kecil.Organisasi-organisasi ini mungkin masih cukup besar untuk menerapkan pendekatan multi-tier dijelaskan sebelumnya keamanan untuk perusahaan besar, meskipun mungkin dengan sedikit kelompok-kelompok yang berdedikasi dan lebih fungsi yang ditetapkan ke setiap kelompok.



Organisasi menengah cenderung mengabaikan beberapa fungsi keamanan-khususnya ketika departemen keamanan informasi tidak dapat staf fungsi tertentu dan TI atau departemen lainnya tidak didorong atau dibutuhkan untuk melakukan fungsi dalam manfaat.

4. Keamanan jaringan pada organisasi yang kecil

Organisasi berukuran kcil biasanya mempunyai 10-100 komputer di dalam organisasinya. Organisasi ini mempunyai model organisasi TI yang terpusat dan secara proporsional menghabiskan lebih pada keamanan, hampir 20 persen dari total anggaran TI. Staf keamanan yang khas dalam organisasi ini biasanya hanya satu orang. Dalam organisasi kecil, semua atau sebagian besar keputusan keputusan keamanan mereka dipandu oleh kebijakan manajemen yang disetujui, dan 57 persen mengatakan bahwa semua atau sebagian besar tanggapan mereka mengenai insiden yang dipandu oleh IR rencana yang sudah ditetapkan. Keamanan informasi di org kecil sering menjadi tanggung jawab administrator keamanan tunggal. Organisasi semacam itu sering memiliki sedikit dalam cara kebijakan formal, perencanaan, atau tindakan keamanan, dan mereka umumnya outsource Web mereka kehadiran atau operasi perdagangan elektronik

Karena sumber daya organisasi yang lebih kecil sering kali terbatas, keamanan admin dapat menggunakan freeware atau 'hackerware' untuk menurunkan biaya dan menerapkan menilai keamanan. Keamanan pelatihan dan kesadaran biasanya dilakukan pada 1-on-1 dasar, dengan keamanan admin memberikan saran kepada pengguna jika diperlukan. Kebijakan yang kemungkinan besar akan mengeluarkan kebijakan khusus.
Perencanaan formal biasanya bagian dari perencanaan TI yang dilakukan oleh CIO.
Untuk keuntungan mereka, organisasi kecil menghindari ancaman justru karena ukuran mereka.Ancaman dari orang dalam juga kurang kemungkinan dalam lingkungan di mana setiap karyawan mengetahui setiap karyawan.

Program Security, Education, Traning and Awareness (SETA Program)

Program SETA dirancang dan dibangun untuk mengurangi insiden pelanggaran keamanan dalam sebuah organisasi atau perusahaan yang disengaja oleh karyawan, kontraktor, konsultan, vendor, dan mitra bisnis suatu perusahaan. Program ini terdiri tiga unsur antara lain :

  1. Pendidikan Keamanan
  2. Pelatihan Keamanan
  3. Kesadaran Keamanan

Program SETA mempunyai dua manfaat utama antara lain :

  1. Meningkatkan perilaku karyawan
  2. Mengaktifkan karyawan organisasi untuk terus bertanggung jawab atas tindakan yang mereka lakukan.

Masyarakat yang salah atau keliru biasanya diakui sebagai salah satu yang berhubungan dalam sistem paling lemah. Tujuan dari pengenalan, pelatihan dan pendidikan keamanan komputer adalah untuk mempertinggi keamanan dengan :

1. Dengan membangun pengetahuan mendalam, jika diperlukan untuk merancang, mengimplementasikan, atau menjalankan program keamanan untuk organisasi dan sistem.

2. Dengan mengembangkan ketrampilan dan pengetahuan sehingga pengguna komputer dapat melakukan pekerjaan mereka ketika menggunakan sistem TI lebih aman.

3. Dengan meningkatkan kesadaran akan kebutuhan untuk melindungi sumber daya

Pendidikan Keamanan

Pemberian pendidikan keamanan kepada karyawan suatu perusahaan karena kebanyakan karyawan tidak mempunyai latar belakang dan pengalaman mereka di bidang keamanan komputer. Tetapi lebih didorong untuk menggunakan metode pendidikan formal. Sejumlah lembaga pendidikan tinggi, termasuk perguruan tinggi dan universitas, menyediakan kursus formal dalam keamanan informasi. Dengan adanya pendidikan keamanan komputer ini akan menambah pengetahuan dan ketrampilan karyawan yang mengikuti program ini.

Pelatihan Keamanan

Dalam pelatihan keamanan komputer ini, para karyawan atau anggota organisasi yang mengikuti program ini diberikan informasi-informasi rinci dan instruksi-instruksi sehingga memungkinkan mereka untuk melakukan tugas dengan aman. Ada dua metode untuk menyesuaikan pelatihan bagi pengguna yaitu :

A.Pengguna dengan latar belakang fungsional:
1. Pengguna Umum (General user)
2. Pengguna Manajerial (Managerial user)
3. Pengguna Teknis
(Technical user). Pengguna teknis yang dapat dibagi lagi dengan kategori pekerjaan, fungsi dan teknologi produk.

B. Pengguna dengan tingkat keterampilan:
1. Novice
2. Intermediate
3. Advanced

Teknik-teknik pelatihan yang digunakan adalah program pelatihan yang baik, dengan metode penyampaian yang dapat diterima oleh peserta dan peserta dapat mengambil keuntungan dari teknologi pembelajaran dan praktik yang baik. Apabila metode yang digunakan tidak tepat, maka dapat menghambat transfer pengetahuan dan mengakibatkan pemborosan dan frustasi dan malah berakibat karyawan atau peserta tidak terlatih.

Pelatihan ini sering diperlukan untuk satu atau beberapa individu, bukan untuk kelompok besar sebab masih sangat jarang karyawan yang mempunyai posisi jabatan di bidang keamanan jaringan komputer. Praktik terbaik adalah peningkatan penggunaan pendek atau singkat , berorientasi pada tugas modul dan sesi pelatihan, tersedia selama minggu kerja normal, yang segera dan konsisten.

Pemilihan metode penyampaian pelatihan tidak selalu didasarkan pada hasil terbaik bagi peserta pelatihan. Sering kali faktor-faktor lain seperti anggaran, penjadwalan, dan kebutuhan dari organisasi yang datang terlebih dahulu.
• Satu-on-One
• Formal Kelas
• Computer-Based Training (CBT)
• Distance Learning / Web Seminar
• User Support Group
• On-the-Job Training
• Self-Study (Noncomputerized)

Memilih Pelatihan Staf

Untuk memberikan pelatihan karyawan, organisasi dapat menggunakan program pelatihan lokal, departemen pendidikan berkelanjutan, atau lembaga pelatihan eksternal lain. Dapat pula menyewa pelatih profesional, seorang konsultan, atau seseorang dari lembaga yang terakreditasi untuk melakukan pelatihan di tempat. Organisasi juga mengatur dan menyelenggarakan pelatihan di rumah menggunakan karyawan sendiri.

Pelaksana Pelatihan

Setiap perusahaan berusaha mengembangkan strategi sendiri di dasarkan pada teknik-teknik yang dibahas di atas, berikut langkah-langkah berikut :

a. Langkah 1: Mengidentifikasi lingkup program, tujuan, dan tujuan.

b. Langkah 2: Identifikasi pelatihan staf

c. Langkah 3: Identifikasi target khalayak.

d. Langkah 4: Memotivasi manajemen dan karyawan.

e. Langkah 5: Administer program.

f. Langkah 6: Menjaga program.

g. Langkah 7: Evaluasi program.

Keamanan Kesadaran

Salah satu program keamanan yang paling sering dilaksanakan, tetapi metode keamanan yang paling efektif adalah program kesadaran keamanan. Program kesadaran keamanan antara lain :

a. Set panggung untuk pelatihan dengan mengubah sikap organisasi menyadari pentingnya keamanan dan konsekuensi dari kegagalan

b. Mengingatkan pengguna prosedur yang harus diikuti.

Ketika mengembangkan program kesadaran, ada beberapa ide penting yang perlu untuk diingat :
a. Memfokuskan pada orang-orang baik sebagai bagian dari masalah dan sebagai bagian dari solusi.
b. Menghentikan penggunaan istilah teknis tetapi berbicara dengan bahasa yang dimengerti pengguna
d. Menggunakan setiap tempat yang tersedia untuk mengakses semua pengguna.
e. Menetapkan setidaknya satu tujuan belajar utama, negara dengan jelas, dan memberikan detail dan cakupan yang memadai untuk memperkuat pembelajaran itu. f.Jauhkan hal-hal yang ringan; menahan diri dari "khotbah" kepada pengguna.
g. Jangan membebani pengguna dengan terlalu banyak detail atau terlalu besar volume informasi.
h. Membantu pengguna memahami peran mereka dalam InfoSec dan bagaimana pelanggaran keamanan dapat mempengaruhi pekerjaan mereka.
i. Manfaatkan media komunikasi in house untuk menyampaikan pesan.
j. Buatlah program kesadaran formal; rencana dan mendokumentasikan semua tindakan.
k. Memberikan informasi yang baik awal, daripada informasi yang sempurna terlambat.

Perilaku dan Kesadaran Karyawan

Keamanan kesadaran dan pelatihan keamanan dirancang untuk memodifikasi perilaku karyawan yang membahayakan keamanan informasi organisasi. Kegiatan pelatihan dan kesadaran keamanan dapat dibatalkan apabila jika manajemen tidak menetapkan contoh yang baik. Pelatihan yang efektif dan program-program kesadaran membuat karyawan bertanggung jawab atas tindakan mereka.Penyebaran dan penegakan kebijakan menjadi lebih mudah ketika pelatihan dan program-program kesadaran di tempatnya.

Teknik-teknik Kesadaran

Kesadaran dapat mengambil bentuk yang berbeda untuk khalayak tertentu.
Sebuah program kesadaran keamanan dapat menggunakan berbagai metode untuk menyampaikan pesannya. Program kesadaran keamanan yang efektif perlu dirancang dengan pengakuan bahwa orang cenderung untuk berlatih setelah proses keluar (acclimation). Untuk alasan ini, teknik-teknik kesadaran harus kreatif dan sering berubah.
Mengembangkan komponen kesadaran keamanan
Banyak komponen kesadaran keamanan tersedia dengan sedikit atau tanpa biaya sedikitpun. Sebaliknya dapat menjadi amat mahal jika dibeli secara eksternal.
Keamanan komponen kesadaran termasuk item berikut:
• Video
• Poster dan spanduk
• Kuliah dan konferensi
• pelatihan berbasis komputer
• Newsletters
• Brosur dan selebaran
• pernik (kopi cangkir, pena, pensil, T-shirt)
• Bulletin papan


Tidak ada komentar:

Posting Komentar