Sistem Keamanan Komputer

Table of Contents

Sistem Keamanan Komputer

 

Sistem Keamanan Komputer

 

Variasi  Pengukuran Keamanan
Ukuran keamanan cukup memungkinkan dipastikan untuk menyediakan perlindungan berkesinambungan tentang fasilitas komputer dan fasilitas fisik lain, memelihara integritas dan privacy data file, serta menghindari kerusakan atau kerugian.
Keamanan mengukur fokus pada keamanan fisik dan keamanan data atau informasi. Dalam hal ini terdapat dua kategori yaitu (1) keamanan untuk semua sumber daya fisik kecuali fasilitas komputer dan (2) keamanan untuk fasilitas perangkat keras komputer. Sistem keamanan komputer merupakan bagian dari SPI perusahaan secara keseluruhan, yang meliputi:
1) Lingkungan Pengendalian
Merupakan dasar keefektifan seluruh sistem pengendalian. Faktor-faktor yang terkait dengan lingkungan pengendalian adalah:
  • Filosofi manajemen dan gaya manajemen. Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Hubungan yang baik harus dibina dengan seluruh karyawan. Moral yang rendah dapat menyebabkan tingginya probabilitas terjadinya kecurangan. Komunikasi yang baik dengan karyawan dapat mengurangi masalah rendahnya moral. Keseluruhan karyawan harus mendapatkan pendidikan mengenai keamanan sistem informasi, agar meningkatkan perhatian karyawan terhadap sistem informasi.
  • Struktur organisasi. Suatu hal yang penting adalah, harus dibuat satu garis wewenang yang jelas untuk menentukan siapa yang bertanggungjawab mengambil keputusan terkait dengan perangkat lunak akuntansi dan prosedur akuntansi. Sebagaimana telah didiskusikan, harus ada orang yang bertanggung jawab terhadap sistem keamanan komputer. Dalam banyak organisasi, akuntansi, komputansi, dan pemrosesan data semuanya diorganisir dibawah CIO (Chief Information Officer).
  • Dewan direksi dan komitenya. Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui pemilihan auditor internal. Idealnya, auditor internal seharusnya memiliki pengalaman yang baik terkait dengan keamanan komputer. Komite audit harus berkonsultasi secara berkala dengan auditor eksternal dan manajemen puncak terkait dengan kinerja chief security officer dan sistem keamanan komputer.
  • Metode pembagian otoritas dan tanggung jawab. Yaitu tanggung jawab semua posisi harus didokumentasikan dengan hati-hati menggunakan struktur organisasi, manual kebijakan, deskripsi pekerjaan, dan lain sebagainya.
  • Aktivitas pengendalian manajemen. Yaitu dengan menyusun anggaran terkait dengan menyusun anggaran terkait dengan akuisisi, biaya operasi, dan penggunaan sistem teknologi informasi. Pengendalian anggaran penting dalam lingkungan komputer karena ada kecenderungan di banyak perusahaan untuk mengeluarkan biaya terlalu banyak dalam teknologi informasi. Karyawan sering meminta perangkat keras yang lebih baik, perangkat lunak, dan jasa yang sebenarnya tidak mereka butuhkan.
  • Fungsi audit internal. Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi kebutuhan perusahaan yang terus berkembang. Chief security officer harus membangun kebijakan keamanan yang relevan dengan sistem yang ada saat ini dan relevan dengan perubahan sistem yang terjadi.
  • Kebijakan dan praktik personalia. Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, dan pengecekan ganda semua merupakan praktik personalia yang penting. Praktik personalia terkait dengan perekrutan dan pemecatan karyawan juga merupakan hal yang penting. Pemutusan hubungan kerja dengan karyawan harus dilakukan dengan sangat hati-hati karena karyawan yang di-PHK tercatat sebagai pelaku utama dalam sabotase.
  • Pengaruh eksternal. Sistem informasi perusahaan harus sesuai dengan hukum dan regulasi local. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data dan juga mengatur pengiriman informasi ke negara lain. Kegagalan untuk memberikan keamanan yang memadai di salah satu dari area ini akan dapat menjadi suatu tuntutan kriminal.
2) Pengendalian Ancaman Aktif
Cara utama untuk mencegah ancaman aktif yang berkaitan dengan penipuan dan sabotase adalah dengan mengimplementasikan urutan lapisan dan pengendalian akses. Pengendalian ini meliputi:
  • Pengendalian akses lokasi. Tujuan pengendalian akses lokasi ialah untuk memisahkan secara fisik individu yang tidak berwenang dari sumber daya komputer. Semua ruangan yang berisi peralatan komputer atau data yang sensitif harus memiliki pintu yang terkunci.  Lebih baik jika kunci tersebut diprogram sehingga pintu dapat menolak kunci yang tidak memiliki hak akses. Lokasi data dan peralatan sebisa mungkin harus dirahasiakan.
  • Pengendalian akses sistem. Tujuan pengendalian akses sistem adalah untuk mengecek keabsahan pengguna dengan menggunakan sarana seperti ID pengguna, password, alamat Internet Protocol (IP), dan perangkat-perangkat keras. Sementara pengertian dari pengendalian akses sistem sendiri ialah suatu pengendalian dalam bentuk perangkat lunak yang didesain untuk mencegah penggunaan sistem yang ilegal. Dalam beberapa sistem operasi, untuk setiap account diberi batasan maksimum akses yang melanggar keamanan dalam kurun waktu tertentu, dengan sistem ini, memasukkan password yang salah akan dianggap sebagai pelanggaran keamanan.
  • Pengendalian akses file. Pengendalian akses file merupakan upaya pencegahan akses ilegal ke data file dan program. Pengendalian akses file yang paling fundamental ialah pembuatan petunjuk dan prosedur legal untuk mengakses dan mengubah file. Batasan khusus harus diberikan kepada programmer yang memang memiliki pengetahuan untuk mengubah program. Semua program penting harus disimpan di dalam file terkunci. Ini berarti program dapat dijalankan, tetapi tidak dapat diubah. Hanya bagian keamanan yang dapat mengetahui password untuk membuka file program.
3) Pengendalian Ancaman Pasif
Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati listrik. Pengendalian ini meliputi:
  • Pengendalian preventif, yaitu dengan melakukan pengawasan dan redudancy.
  • Pengendalian korektif, yaitu dengan melakukan backup file yang memadai, sehingga file yang penting dalam dilindungi.
4) Keamanan internet
Keamanan internet merupakan permasalahan yang cukup penting bagi perusahaan karena koneksi perusahaan dengan internet memberi peluang bagi perusahaan untuk menjadi sasaran setiap hacker yang ada. Kerentanan terkait dengan internet dapat muncul sebagai akibat dari kelemahan-kelemahan berikut ini:
  • Sistem operasi atau konfigurasi sistem operasi. Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya, setiap kelemahan di dalam keamanan sistem operasi juga menjadi kelemahan keamanan web server. Untuk alasan inilah administrator keamanan harus mengamankan sistem operasi.
  • Web server atau konfigurasi web server. Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu memonitor buletin terkait dengan informasi dan pembaharuan keamanan perihal konfigurasi web server.
  • Jaringan privat. Risiko khusus terjadi saat sebuah server web diletakkan pada sebuah komputer utama yang dihubungkan dengan berbagai komputer pemakai melalui jaringan LAN, dan hacker bisa menyerang satu komputer melalui komputer yang lain.
  • Berbagai program server. Banyak komputer utama server web yang bukan saja menjalankan server web tetapi juga server lainnya, termasuk server FTP, server mail, dan server kontrol jarak jauh.
  • Prosedur keamanan secara umum. Suasana keamanan yang secara keseluruhan baik adalah  salah satu hal yang sangat penting. Perangkat lunak keamanan yang terbaik di dunia tidak akan banyak membantu jika administrator sistem tidak menegakkan kebijakan keamanan.
Beberapa tujuan kunci dari pengukuran keamanan adalah :
1) Perlindungan dari akses ilegal.
2) Perlindungan dari bencana.
3) Perlindungan dari  gangguan dan  interuptions.
4) Perlindungan dari akses yang tidak dikenal.
5) Perlindungan dari kerugian atau perubahan tidak pantas.
6) Pemulihan dan rekonstruksi data yang hilang..