Etika Keamanan Informasi

Etika Dalam Keamanan Informasi
Etika juga mendapat perhatian dalam pengembangan dan penggunaa sistem informasi. Masalah ini diidentifikasi oleh Richard Mason pada tahun 1986 yang mencakup privasi, akurasi, properti, dan akses, yang dikenal dengan akronim PAPA.

Ketika membahas tentang keamanan sistem informasi, kita selalu merujuk pada pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain. Pada saat kita membahas keamanan sistem informasi maka kita akan berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut. Sehingga pembicaraan tentang keamanan sistem tersebut maka kita akan berbicara 2 masalah utama yaitu :

1. Threats (Ancaman) atas sistem 
2. Vulnerability (Kelemahan) atas sistem
   

ANCAMAN (Threats)
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :

1. Ancaman Alam 
2. Ancaman Manusia 
3. Ancaman Lingkungan
   

Ancaman Alam
Yang termasuk dalam kategori ancaman alam terdiri atas :

• Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai, pencairan salju

• Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus

• Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut

Ancaman Manusia
Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :

• Malicious code

      Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures

• Social engineering

      Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor

• Kriminal

      Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan

• Teroris

      Peledakan, Surat kaleng, perang informasi, perusakan

Ancaman Lingkungan
Yang dapat dikategorikan sebagai ancaman lingkungan seperti :

• Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lama

• Polusi

• Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll

• Kebocoran seperti A/C, atap bocor saat hujan
  

Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks ancaman sehingga kemungkinan yang timbul dari ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman tersebut memiliki probabilitas serangan yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan seperti terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami mall function.

KELEMAHAN (Vulnerability)
Vulnerability adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.

Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :

1. Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman dan kelemahan 
2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang mengubah sistem dari keadaan normal menjadi keadaan abnormal 
3. Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak seimbang untuk dikembalikan dalam keadaan normal
   

Tindakan tersebutlah menjadikan bahwa keamanan sistem informasi tidak dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.
 
Serangan Terhadap Keamanan Sistem Informasi Non-repudiation aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangka bahwa dia telah mengirimkan email tersebut. Aspek ini sangat penting dalam hal electronic commerce. Penggunaan digital signature dan teknologi kriptografi secara umum dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital signature itu jelas legal. Hal ini akan dibahas lebih rinci pada bagian tersendiri. Serangan terhadap Keamanan Sistem Informasi, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari sudut peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia informasi. 

Menurut W.Stallings [27] ada beberapa kemungkinan serangan (attack):

• Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah “denial of service attack”.
• Interception: Pihak yang tidak berwenang berhasil mengakses aset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).
• Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari web site dengan pesan-pesan yang merugikan pemilik web site.
• Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam jaringan komputer. 

  
Menurut David  Icove  [13]  berdasarkan lubang keamanan,  keamanan dapat diklasifikasikan menjadi empat, yaitu: 

1. Keamanan yang bersifat fisik (physical security):  termasuk akses orang ke gedung, peralatan, dan media  yang digunakan. Beberapa bekas penjahat komputer (crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya  pernah diketemukan coretan password atau manual  yangdibuang tanpa dihancurkan. Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Denial of service, yaitu akibat yang  ditimbulkan sehingga servis tidak dapat diterima oleh pemakai juga dapat dimasukkan kedalam kelas ini. Denial of service dapat dilakukan misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan pesan-pesan (yang dapat berisi apa saja karena yang  diutamakan adalah banyaknya jumlah pesan). Beberapa waktu yang lalu ada lubang keamanan dari implementasi protokol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana sistem (host) yang  dituju  dibanjiri oleh  permintaan sehingga dia menjadi terlalu sibuk dan bahkan dapat berakibat macetnya sistem (hang). 
2. Keamanan yang berhubungan dengan orang (personel):  termasuk identifikasi, dan profil resiko dari orang yang  mempunyai akses (pekerja). Seringkali kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan istilah social engineering yang sering digunakan oleh kriminal untuk berpura-pura sebagaiorang yang  berhak mengakses informasi. Misalnya kriminal  ini berpura-pura sebagai pemakai yang lupa passwordnya   dan minta agar diganti menjadi kata lain.
3. Keamanan dari data dan media serta teknik komunikasi  (communications). Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang digunakan untuk  mengelola data. Seorang kriminal dapat memasang virus  atau trojan horse sehingga dapat mengumpulkan  informasi (seperti password) yang semestinya tidak berhak diakses.
4. Keamanan dalam operasi: termasuk prosedur yang  digunakan untuk mengatur dan mengelola sistem  keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).

Alvarizqi Cahya Saputra

Contact

Bagikan Artikel ini