ETIKA DALAM SISTEM
INFORMASI
A. Keamanan Dalam Sistem Informasi
Jika
kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang
dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan
lain-lain. Padahal berbicara masalah keamanan sistem informasi maka kita akan
berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut
(lihat tulisan strategi pendekatan manajemen resiko dalam pengembangan sistem
informasi). Sehingga pembicaraan tentang keamanan sistem tersebut maka kita
akan berbicara 2 masalah utama yaitu :
1.
Threats (Ancaman) atas sistem dan
2.
Vulnerability (Kelemahan) atas sistem
Masalah
tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem
informasi yaitu :
· Efektifitas
· Efisiensi
· Kerahaasiaan
· Integritas
· Keberadaan
(availability)
· Kepatuhan
(compliance)
· Keandalan
(reliability)
Untuk
menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan
dengan baik. Adapun kriteria yag perlu di perhatikan dalam masalah keamanan
sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu
:
1.
Akses kontrol sistem yang digunakan
2.
Telekomunikasi dan jaringan yang dipakai
3.
Manajemen praktis yang di pakai
4.
Pengembangan sistem aplikasi yang digunakan
5.
Cryptographs yang diterapkan
6.
Arsitektur dari sistem informasi yang diterapkan
7.
Pengoperasian yang ada 8. Busineess Continuity Plan (BCP) dan Disaster Recovery
Plan (DRP) 9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10.
Tata letak fisik dari sistem yang ada
Dari
domain tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan
berdasarkan ancaman dan kelemahan sistem yang dimiliki.
ANCAMAN (Threats)
Ancaman
adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang
dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul
dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :
1.
Ancaman Alam
2.
Ancaman Manusia
3.
Ancaman Lingkungan
Ancaman
Alam Yang termasuk dalam kategori ancaman alam terdiri atas :
· Ancaman
air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai,
pencairan salju
· Ancaman Tanah, seperti : Longsor, Gempa bumi,
gunung meletus
· Ancaman
Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
Otentikasi
Authentication atau Otentikasi
adalah suatu proses atau tindakan untuk membuktikan atau menunjukkan sesuatu
yang benar, asli, atau valid. Teknologi otentikasi menyediakan kontrol
akses untuk sistem dengan memeriksa atau melihat apakah kredensial pengguna
cocok dengan kredensial di dalam database pengguna yang berwenang atau di server otentikasi data.
Pengguna biasanya diidentifikasi dengan ID pengguna, dan otentikasi dilakukan
ketika pengguna memberikan kredensial apapun. Bentuk kredential ini misalnya
kata sandi yang nantinya akan dicocokkan dengan ID pengguna tersebut. Sebagian
besar pengguna terbiasa menggunakan kata sandi sebagai bagian dari informasi
yang seharusnya hanya diketahui pengguna. Pengetahuan pengguna akan kata sandi
ini disebut sebagai faktor otentikasi. Faktor
otentikasi lainnya, dan bagaimana cara mereka digunakan untuk otentikasi dua
faktor atau otentikasi multifaktor (MFA), akan dijelaskan di bawah
ini.
Otentikasi
dalam cybersecurity
Otentikasi memungkinkan organisasi
menjaga keamanan jaringannya dengan hanya mengizinkan pengguna (atau proses)
yang diautentikasi untuk mengakses sumber daya yang dilindungi. Sistem yang di
lindungi ini dapat mencakup sistem komputer, jaringan, basis data, situs web, dan aplikasi atau layanan berbasis
jaringan lainnya.
Setelah diautentikasi, pengguna atau
proses biasanya juga mengalami proses otorisasi, untuk menentukan apakah entitas yang diautentikasi untuk diizinkan mengakses
sumber daya atau sistem yang dilindungi. Seorang pengguna dapat diautentikasi
tetapi tidak diberikan akses ke sumber daya jika pengguna tersebut tidak
diberikan izin untuk mengaksesnya.
Istilah otentikasi dan otorisasi sering digunakan secara bergantian; sementara
mereka sering diimplementasikan bersama. Tetapi otentikasi (authentication) dan
otorisasi (authorization) mempunyai fungsi yang berbeda.
Sementara otentikasi adalah proses
memvalidasi identitas pengguna terdaftar sebelum mengizinkan akses ke sumber
daya yang dilindungi. Sedangkan otorisasi adalah proses memvalidasi bahwa
pengguna yang diautentikasi telah diberi izin untuk mengakses sumber daya yang
diminta. Proses di mana akses ke sumber daya tersebut dibatasi untuk sejumlah
pengguna tertentu disebut kontrol akses.
Proses otentikasi selalu digunakan
terlebih dahulu sebelum proses otorisasi.
Bagaimana
otentikasi digunakan
User authentication occurs within most human-to-computer
interactions outside of guest accounts, automatically logged-in accounts and kiosk computer systems. Secara umum, pengguna harus
memilih nama pengguna atau ID pengguna dan memberikan kata sandi yang valid
untuk mulai menggunakan sistem. Otentikasi pengguna mengotorisasi interaksi
manusia-ke-mesin dalam sistem operasi dan aplikasi, serta jaringan kabel dan
nirkabel untuk memungkinkan akses ke sistem, aplikasi, dan sumber daya yang
terhubung ke jaringan dan internet.
Banyak perusahaan menggunakan
otentikasi untuk memvalidasi pengguna yang masuk ke situs web mereka. Tanpa
langkah keamanan yang tepat, data pengguna seperti nomor kartu kredit, serta
data penting lainnya dapat jatuh ke tangan penjahat cyber.
Organisasi juga menggunakan otentikasi untuk mengontrol pengguna tertentu yang
memiliki akses ke jaringan dan sumber daya perusahaan, serta untuk
mengidentifikasi dan mengendalikan mesin dan server mana yang memiliki akses.
Perusahaan juga menggunakan otentikasi untuk memungkinkan karyawan jarak jauh
untuk mengakses aplikasi dan jaringan mereka dengan aman.
Untuk perusahaan dan organisasi besar
lainnya, otentikasi dapat dilakukan dengan menggunakan sistem single sign-on (SSO), yang memberikan akses ke
beberapa sistem dengan satu set kredensial login.
Cara
kerja otentikasi
Selama proses otentikasi, kredensial
yang diberikan oleh pengguna dibandingkan dengan yang ada dalam database
informasi pengguna yang berwenang baik pada sistem operasi lokal atau melalui server otentikasi. Jika kredensial
cocok, dan entitas yang diautentikasi diizinkan untuk menggunakan sumber daya,
prosesnya selesai dan pengguna diberikan akses. Izin dan folder yang
dikembalikan menentukan lingkungan yang dilihat pengguna dan cara dia dapat
berinteraksi dengannya, termasuk jam akses dan hak-hak lain seperti jumlah
ruang penyimpanan sumber daya.
Secara tradisional, otentikasi
dilakukan oleh sistem atau sumber daya yang diakses; misalnya, server akan mengautentikasi
pengguna menggunakan sistem kata sandi sendiri, diimplementasikan secara lokal,
menggunakan ID login (nama pengguna) dan kata sandi. Pengetahuan tentang
kredensial masuk dianggap menjamin bahwa pengguna tersebut asli. Setiap
pengguna mendaftar pada awalnya (atau terdaftar oleh orang lain, seperti
administrator sistem), menggunakan kata sandi yang ditetapkan atau
dideklarasikan sendiri. Pada setiap penggunaan selanjutnya, pengguna harus
mengetahui dan menggunakan kata sandi yang dinyatakan sebelumnya.
Namun, protokol aplikasi web, HTTP dan HTTPS, tidak memiliki kedudukan sendiri (stateless), yang berarti bahwa otentikasi ketat akan
mengharuskan pengguna akhir mengautentikasi ulang setiap kali mereka mengakses
sumber daya menggunakan HTTPS. Daripada membebani pengguna akhir dengan proses
itu untuk setiap interaksi melalui web, sistem yang dilindungi sering
mengandalkan otentikasi berbasis token, di mana otentikasi dilakukan sekali pada awal sesi.
Sistem otentikasi mengeluarkan token otentikasi yang ditandatangani secara digital untuk aplikasi pengguna
akhir, dan token itu ditambahkan ke setiap permintaan dari klien.
Otentikasi entitas untuk sistem dan
proses dapat dilakukan menggunakan machine
credentials yang berfungsi seperti ID dan kata sandi pengguna,
kecuali kredensial dikirimkan secara otomatis oleh perangkat yang bersangkutan.
Mereka juga dapat menggunakan sertifikat digital yang dikeluarkan dan
diverifikasi oleh otoritas sertifikat sebagai bagian dari infrastruktur kunci
publik untuk mengotentikasi identitas saat bertukar informasi melalui internet.