Aspek Keamanan Informasi
Seorang professional dalam bidang
keamanan informasi akan berfokus untuk mencapai dan melindungi confidentiality,
integrity, dan availability (CIA). Ketiga hal tersebut merupakan
prinsip dasar pada keamanan informasi. Ketika kita ingin membangun sebuah
sistem yang aman, ketiga hal tersebutlah yang dijadikan sebagai acuan yang
harus dicapai dan dilindungi. Mari kita bahas 3 prinsip dasar keamanan
informasi tersebut satu per satu secara lebih mendalam.
- Confidentiality
Maksudnya secara singkat sama dengan
arti katanya yaitu kerahasian. Kerahasian dalam hal ini adalah informasi yang
kita miliki pada sistem/database kita, adalah hal yang rahasia dan pengguna
atau orang yang tidak berkepentingan tidak dapat melihat/mengaksesnya. Atau
dengan kata lain, hanya pihak yang berhak dan berwenang saja yang dapat
mengakses informasi tersebut. Untuk itu kebanyakan organisasi umumnya
mengklasifikasikan informasi/data untuk mengakomodir tercapainya confidentiality.
Klasifikasinya yaitu internal use only (hanya digunakan di
lingkungan internal perusahaan), public (biasanya disebarkan melaui website
atau media sosial perusahaan), dan confidential (sangat rahasia,
contohnya data-data terkait planning, finansial, business process, dll).
Ancaman yang muncul dari pihak yang
tidak berkepentingan terhadap aspek confidentiality antara lain:
- password strength (lemahnya password yang digunakan, sehingga mudah ditebak ataupun di-bruteforce)
- malware (masuknya virus yang dapat membuat backdoor ke sistem ataupun mengumpulkan informasi pengguna)
- social engineering (lemahnya security awareness pengguna dimana mudah sekali untuk ‘dibohongi’ oleh attacker, yang biasanya adalah orang yang sudah dikenalnya).
Cara yang umum digunakan untuk
menjamin tercapainya aspek confidentiality adalah dengan menerapkan
enkripsi. Enkripsi merupakan sebuah teknik untuk mengubah file/data/informasi
dari bentuk yang dapat dimengerti (plaintext) menjadi bentuk yang tidak
dapat dimengerti (ciphertext), sehingga membuat attacker sulit
untuk mendapatkan informasi yang mereka butuhkan. Enkripsi harus dilakukan pada
level media penyimpanan dan transmisi data.
Masih ingatkah kalian dengan berita
pada awal Desember 2016 tentang berhasil diretasnya google,
yahoo,
dailymotion, yang
berakibat tercurinya data-data pengguna mereka? Hal tersebut merupakan contoh
dari rusaknya aspek confidentiality pada keamanan informasi.
- Integrity
Integrity maksudnya adalah data
tidak dirubah dari aslinya oleh orang yang tidak berhak, sehingga konsistensi,
akurasi, dan validitas data tersebut masih terjaga. Dengan bahasa lain, integrity
mencoba memastikan data yang disimpan benar adanya, tidak ada pengguna yang
tidak berkepentingan atau software berbahaya yang
mengubahnya. Integrity berusaha untuk memastikan data diproteksi dengan aman
dari ancaman yang disengaja (serangan hacker) maupun ancaman yang tidak
disengaja (misal. kecelakaan).
Integrity dapat dicapai dengan:
- menerapkan strong encryption pada media penyimpanan dan transmisi data.
- menerapkan strong authentication dan validation pada setiap akses file/akun login/action yang diterapkan. Authentication dan validation dilakukan untuk menjamin legalitas dari akses yang dilakukan.
- menerapkan access control yang ketat ke sistem, yaitu setiap akun yang ada harus dibatasi hak aksesnya. Misal tidak semua memiliki hak akses untuk mengedit, lainnya hanya bisa melihat saja.
Contoh mudah dan umum dari rusaknya integrity
terkait keamanan informasi adalah pada proses pengiriman email.
Alice mengirimkan email ke Bob. Namun ketika email dikirim, di tengah jalan Eve
meng-intercept email tersebut dan mengganti isi emailnya kemudian baru
diteruskan ke Bob. Bob akan mengira bahwa email tersebut benar dari Alice
padahal isinya telah terlebih dahulu dirubah oleh Eve. Hal tersebut menunjukkan
aspek integrity dari email yang dikirim oleh Alice telah hilang/rusak.
- Availability
Maksud dari availability adalah
memastikan sumber daya yang ada siap diakses kapanpun
oleh user/application/sistem yang membutuhkannya. Sama seperti
aspek integrity, rusaknya aspek availability dari
sistem juga bisa diakibatkan karena faktor kesengajaan dan faktor accidental
(kecelakaan). Faktor kesengajaan bisa dari serangan Denial of Service
(DoS), malware, maupun hacker/cracker. Untuk faktor accidental
(kecelakaan) bisa karena hardware failure (rusak atau tidak
berfungsi dengan baiknya hardware tersebut), konsleting listrik,
kebakaran, banjir, gempa bumi, dan bencana alam lainya.
Untuk memastikan tercapainya aspek availability,
organisasi perusahaan bisa menerapkan:
- disaster recovery plan (memiliki cadangan baik tempat dan resource, apabila terjadi bencana pada sistem)
- redundant hardware (misal memiliki banyak power supply)
- RAID (salah satu cara untuk menanggulangi disk failure)
- data backup (rutin melakukan backup data)
Untuk contoh dari rusaknya
aspek availability sistem baru-baru ini adalah steam,
platform distribusi game digital terbesar di dunia, tidak bisa
diakses atau mengalami server down oleh serangan Distributed
Denial of Service (DDoS). Padahal pada waktu tersebut steam sedang
dibanjiri pengunjung karena sedang mengadakan winter sale.
Mobile Security
Menurut
G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan
(cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang
berbasi informasi dimana informasinya sendiri tidak memiliki arti fisik.
Lawrie
Brown menyarankan menggunakan “Risk Management Model” untuk menghadapi ancaman
(managing threats). Ada tiga komponen yang memberikan kontribusi kepada Risk,
yaitu Asset, Vulnerabilities, dan Threats.
Disisi
lain aplikasi mobile terus bermunculan mulai dari aplikasi informasional hingga
transaksional.
Pengertian
keamanan pada sistem mobile
Keamanan
sistem adalah sebuah sistem yang di gunakan untuk mengamankan sebuah smartphone
atau mobilephone dari segala gangguan dan ancaman yang tidak di inginkan
(keamanan data, informasi dan hardware)
Sedangkan
mobile adalah sebuah benda yang berteknologi tinggi dan dapat bergerak tanpa
menggunakan kabel.
Ancaman pada Mobile Security
Tabel Kontribusi terhadap Risk
Nama Komponen
|
Contoh dan keterangan
|
Assets (aset)
|
- hardware
- software
-
dokumentasi
-
data
-
komunikasi
-
lingkungan
-
manusia
|
Threats (ancaman)
|
- pemakai (users)
- teroris
- kecelakaan (accidents)
- crackers
- penjahat kriminal
- nasib (acts of God)
- intel luar negeri (foreign
intelligence)
|
Vulnerabilities (kelemahan)
|
- software bugs
-
hardware bugs
- radiasi (dari layar, transmisi)
- tapping, crosstalk
- unauthorized users
- cetakan, hardcopy atau print
out
- keteledoran (oversight)
- cracker via telepon
- storage media
|
Beberapa
kasus yang berhubungan serangan terhadap keamanan informasi yaitu :
–
Juni 2001. Peneliti di UC Berkeley dan University of Maryland berhasil menyadap
data-data yang berada pada jaringan wireless LAN (IEEE 802.11b) yang mulai
marak digunakan oleh perusahaan-perusahaan
–
Maret 2005. Seorang mahasiswi dari UCSB dituduh melakukan kejahatan mengubah
data-data nilai ujiannya (dan beberapa mahasiswa lainnya). Dia melakukan hal
tersebut dengan mencuri identitas dua orang profesor. Identity theft memang
merupakan sebuah masalah yang cukup pelik.
–
Juni 2001. Seorang pengguna Internet Indonesia membuat beberapa situs yang
mirip (persis sama) dengan situs yang dia buat menggunakan nama domain yang
mirip dengan klikbca.com, yaitu klikbca.com
Sang
user mengaku bahwa dia dapat memperoleh PIN dari beberapa nasabah BCA yang
salah mengetikkan nama situs layanan Internet banking tersebut.
–
16 Oktober 2001. Sistem BCA yang menggunakan VSAT terganggu selama beberapa
jam. Akibatnya transaksi yang menggunakan fasilitias VSAT, seperti ATM, tidak
dapat dilaksanakan. Tidak diketahui (tidak diberitakan) apa penyebabnya. Jumlah
kerugian tidak diketahui.
–
Maret 2005. Indonesia dan Malaysia berebut pulau Ambalat. Hacker Indonesia dan
Malaysia berlomba-lomba untuk merusak situs-situs negara lainnya. Beberapa
contoh halaman web yang dirusak disimpan di situs http://www.zone-h.org.
Untuk
menanggulangi resiko (Risk) tersebut dilakukan apa yang disebut
“countermeasures” yang dapat berupa :
- Usaha untuk mengurangi Threat
- Usaha untuk mengurangi Vulnerability
- Usaha untuk mengurangi impak (impact)
- Mendeteksi kejadian yang tidak bersahabat (hostile event)
- Kembali (recover) dari kejadian
7
Tips Meningkatkan Keamanan dari berbagai Ancaman:
- Keamanan internet
Salah
satu hal yang paling penting dalam melindungi Android kamu adalah dengan mengamankan
jaringan. Cobalah untuk menghindari menggunakan WiFi publik setiap kali kamu
melakukan sesuatu yang penting seperti melakukan perbankan online.
Ada
cara pengaturan Android yang sederhana apabila kamu ingin melindungi perangkat
yang dimiliki dari pencurian data melalui jaringan yang kamu gunakan untuk
berinternet.
Sebuah
layanan bernama Virtual Private Network (VPN) akan membantu kamu mengenkripsi
semua jaringan hotspot yang digunakan ketika kamu sedangbertransaksi melalui
internet. Kamu bisa menggunakan aplikasi VPN yang disediakan di Google Play
Store.
- Jangan simpan semua kata sandi kamu
Hindari
menyimpan semua password atau kata sandi pada perangkat kamu terutama untuk
aplikasi yang berhubungan dengan perbankan atau aplikasi pembayaran lainnya.
- Lindungi e-mail
Android
Privacy Guard atau APG merupakan cara pengaturan Android sebagai solusi untuk
mengenkripsi e−mail yang sangat ampuh dalam mencegah hacker mengambil data-data
kamu. Gunakan APG bersamaan dengan aplikasi e−mail K−9. Ini adalah bentuk
kerjasama yang akan mengamankan email kamu saat akan mengirim pesan.
- Kuncilah ponsel
Kamu
dapat mengatur penguncian ponsel dengan cara masuk ke dalam menu pengaturan
(Settings) dan pilih Security. Di fasilitas ini kamu dapat menentukan tipe
kunci yang akan digunakan, seperti slider, pola geser, PIN, password, atau
bahkan dengan foto wajah (khusus Android 4.1 ke atas).
- Pastikan aplikasi aman
Setiap
aplikasi akan membutuhkan akses ke beberapa fasilitas yang ada di ponsel
Android kamu. Semua hak akses yang diminta aplikasi dapat kamu lihat di bagian
Settings > Apps, lalu tap aplikasi yang ingin diihat. Dari setiap aplikasi
yang kamu pilih, lihatlah bagian Permissions.
Sebaiknya
kamu juga memasang aplikasi antivirus atau antimalware. Ada cukup banyak
aplikasi antivirus, misalnya AVG AntiVirus, AVAST, Lockout, Norton Security,
McAfee AntiVirus, Android AntiVirus, atau NQ Mobile Security & Antivirus
yang bisa kamu unduh.
- Amankan Browser Kamu
Beberapa
browser yang ada di Android, seperti Google Chrome atau Firefox, memiliki opsi
untuk mengaktifkan ‘Do Not Track’ (DNT) terhadap protokol HTTP. Dengan
demikian, beberapa situs yang memanfaatkannya (biasanya layanan iklan) tidak
akan mencatat setiap apa yang anda kunjungi.
Walaupun
masih belum banyak situs yang menerapkan opsi DNT, kamu tetap dapat
mengaktifkannya. Di Google Chrome, tap ikon Preferences > Settings >
Privacy > ‘Do Not Track’. Kemudian aktifkan dengan mengganti OFF menjadi ON.
Sedangkan di Firefox for Android, masuklah ke Preferences > Settings, di
sana sudah aktif item
- Aktifkan fitur Anti Maling
Beberapa
fitur di aplikasi antivirus versi mobile saat ini sudah banyak yang menerapkan
fasilitas antimaling-nya (Anti-Theft). Di antaranya adalah Avast, AVG, Norton,
Kaspersky, McAfee, Avira, ESET, dan lainnya. Dengan memanfaatkan fitur dari
Android Device Manager dari Google. Dengan fitur dari aplikasi ini, ponsel kamu
yang hilang akan menunjukkan pesan dan nomor kontak yang sebelumnya dimasukkan
oleh kamu, sekaligus mengunci ponsel kamu dengan kata sandi baru.
Referensi
