Keamanan sistem

ETIKA DALAM SISTEM INFORMASI

A. Keamanan Dalam Sistem Informasi

Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain. Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut (lihat tulisan strategi pendekatan manajemen resiko dalam pengembangan sistem informasi). Sehingga pembicaraan tentang keamanan sistem tersebut maka kita akan berbicara 2 masalah utama yaitu :

1. Threats (Ancaman) atas sistem dan

2. Vulnerability (Kelemahan) atas sistem

Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi yaitu :

·       Efektifitas

·       Efisiensi

·       Kerahaasiaan

·       Integritas

·       Keberadaan (availability)

·       Kepatuhan (compliance)

·       Keandalan (reliability)

Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan dengan baik. Adapun kriteria yag perlu di perhatikan dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :

1. Akses kontrol sistem yang digunakan

2. Telekomunikasi dan jaringan yang dipakai

3. Manajemen praktis yang di pakai

4. Pengembangan sistem aplikasi yang digunakan

5. Cryptographs yang diterapkan

6. Arsitektur dari sistem informasi yang diterapkan

7. Pengoperasian yang ada 8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP) 9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan

10. Tata letak fisik dari sistem yang ada

Dari domain tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan berdasarkan ancaman dan kelemahan sistem yang dimiliki.

ANCAMAN (Threats)

Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :

1. Ancaman Alam

2. Ancaman Manusia

3. Ancaman Lingkungan

Ancaman Alam Yang termasuk dalam kategori ancaman alam terdiri atas :

·       Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai, pencairan salju

·        Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus

·       Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut

Otentikasi

Authentication atau Otentikasi adalah suatu proses atau tindakan untuk membuktikan atau menunjukkan sesuatu yang benar, asli, atau valid.  Teknologi otentikasi menyediakan kontrol akses untuk sistem dengan memeriksa atau melihat apakah kredensial pengguna cocok dengan kredensial di dalam database pengguna yang berwenang atau di server otentikasi data.

Pengguna biasanya diidentifikasi dengan ID pengguna, dan otentikasi dilakukan ketika pengguna memberikan kredensial apapun. Bentuk kredential ini misalnya kata sandi yang nantinya akan dicocokkan dengan ID pengguna tersebut. Sebagian besar pengguna terbiasa menggunakan kata sandi sebagai bagian dari informasi yang seharusnya hanya diketahui pengguna. Pengetahuan pengguna akan kata sandi ini disebut sebagai faktor otentikasi. Faktor otentikasi lainnya, dan bagaimana cara mereka digunakan untuk otentikasi dua faktor atau otentikasi multifaktor (MFA), akan dijelaskan di bawah ini.

Otentikasi dalam cybersecurity

Otentikasi memungkinkan organisasi menjaga keamanan jaringannya dengan hanya mengizinkan pengguna (atau proses) yang diautentikasi untuk mengakses sumber daya yang dilindungi. Sistem yang di lindungi ini dapat mencakup sistem komputer, jaringan, basis data, situs web, dan aplikasi atau layanan berbasis jaringan lainnya.

Setelah diautentikasi, pengguna atau proses biasanya juga mengalami proses otorisasi, untuk menentukan apakah entitas yang diautentikasi untuk diizinkan mengakses sumber daya atau sistem yang dilindungi. Seorang pengguna dapat diautentikasi tetapi tidak diberikan akses ke sumber daya jika pengguna tersebut tidak diberikan izin untuk mengaksesnya.

Istilah otentikasi dan otorisasi sering digunakan secara bergantian; sementara mereka sering diimplementasikan bersama. Tetapi otentikasi (authentication) dan otorisasi (authorization) mempunyai fungsi yang berbeda.

Sementara otentikasi adalah proses memvalidasi identitas pengguna terdaftar sebelum mengizinkan akses ke sumber daya yang dilindungi. Sedangkan otorisasi adalah proses memvalidasi bahwa pengguna yang diautentikasi telah diberi izin untuk mengakses sumber daya yang diminta. Proses di mana akses ke sumber daya tersebut dibatasi untuk sejumlah pengguna tertentu disebut kontrol akses.

Proses otentikasi selalu digunakan terlebih dahulu sebelum proses otorisasi.

Bagaimana otentikasi digunakan

User authentication occurs within most human-to-computer interactions outside of guest accounts, automatically logged-in accounts and kiosk computer systems. Secara umum, pengguna harus memilih nama pengguna atau ID pengguna dan memberikan kata sandi yang valid untuk mulai menggunakan sistem. Otentikasi pengguna mengotorisasi interaksi manusia-ke-mesin dalam sistem operasi dan aplikasi, serta jaringan kabel dan nirkabel untuk memungkinkan akses ke sistem, aplikasi, dan sumber daya yang terhubung ke jaringan dan internet.

Banyak perusahaan menggunakan otentikasi untuk memvalidasi pengguna yang masuk ke situs web mereka. Tanpa langkah keamanan yang tepat, data pengguna seperti nomor kartu kredit, serta data penting lainnya dapat jatuh ke tangan penjahat cyber.

Organisasi juga menggunakan otentikasi untuk mengontrol pengguna tertentu yang memiliki akses ke jaringan dan sumber daya perusahaan, serta untuk mengidentifikasi dan mengendalikan mesin dan server mana yang memiliki akses. Perusahaan juga menggunakan otentikasi untuk memungkinkan karyawan jarak jauh untuk mengakses aplikasi dan jaringan mereka dengan aman.

Untuk perusahaan dan organisasi besar lainnya, otentikasi dapat dilakukan dengan menggunakan sistem single sign-on (SSO), yang memberikan akses ke beberapa sistem dengan satu set kredensial login.

Cara kerja otentikasi

Selama proses otentikasi, kredensial yang diberikan oleh pengguna dibandingkan dengan yang ada dalam database informasi pengguna yang berwenang baik pada sistem operasi lokal atau melalui server otentikasi. Jika kredensial cocok, dan entitas yang diautentikasi diizinkan untuk menggunakan sumber daya, prosesnya selesai dan pengguna diberikan akses. Izin dan folder yang dikembalikan menentukan lingkungan yang dilihat pengguna dan cara dia dapat berinteraksi dengannya, termasuk jam akses dan hak-hak lain seperti jumlah ruang penyimpanan sumber daya.

Secara tradisional, otentikasi dilakukan oleh sistem atau sumber daya yang diakses; misalnya, server akan mengautentikasi pengguna menggunakan sistem kata sandi sendiri, diimplementasikan secara lokal, menggunakan ID login (nama pengguna) dan kata sandi. Pengetahuan tentang kredensial masuk dianggap menjamin bahwa pengguna tersebut asli. Setiap pengguna mendaftar pada awalnya (atau terdaftar oleh orang lain, seperti administrator sistem), menggunakan kata sandi yang ditetapkan atau dideklarasikan sendiri. Pada setiap penggunaan selanjutnya, pengguna harus mengetahui dan menggunakan kata sandi yang dinyatakan sebelumnya.

Namun, protokol aplikasi web, HTTP dan HTTPS, tidak memiliki kedudukan sendiri (stateless), yang berarti bahwa otentikasi ketat akan mengharuskan pengguna akhir mengautentikasi ulang setiap kali mereka mengakses sumber daya menggunakan HTTPS. Daripada membebani pengguna akhir dengan proses itu untuk setiap interaksi melalui web, sistem yang dilindungi sering mengandalkan otentikasi berbasis token, di mana otentikasi dilakukan sekali pada awal sesi. Sistem otentikasi mengeluarkan token otentikasi yang ditandatangani secara digital untuk aplikasi pengguna akhir, dan token itu ditambahkan ke setiap permintaan dari klien.

Otentikasi entitas untuk sistem dan proses dapat dilakukan menggunakan machine credentials yang berfungsi seperti ID dan kata sandi pengguna, kecuali kredensial dikirimkan secara otomatis oleh perangkat yang bersangkutan. Mereka juga dapat menggunakan sertifikat digital yang dikeluarkan dan diverifikasi oleh otoritas sertifikat sebagai bagian dari infrastruktur kunci publik untuk mengotentikasi identitas saat bertukar informasi melalui internet.