bab 10. sop dan audit keamanan - … · web viewpengaturan keamanan dalam sistem. untuk menjamin...
TRANSCRIPT
TUGAS RESUME 4
BAB 10. SOP DAN AUDIT KEAMANAN
Nama : Syifa Mutiara Sari
Kelas : 4KA23
Npm : 16115784
Dosen : Kurniawan B. Prianto, SKOM., SH, MM.
Mata Kuliah : Sistem Keamanan Teknologi Informasi
BAB 10. SOP DAN AUDIT KEAMANAN
1. Pengaturan Keamanan Dalam Sistem
Untuk menjamin keamanan dalam jaringan, perlu dilakukan perencanaan
keamanan yang matang berdasarkan prosedur dan kebijakan dalam keamanan jaringan.
Perencanaan tersebut akan membantu dalam hal-hal berikut ini:
Menentukan data atau informasi apa saja yang harus dilindungi
Menentukan berapa besar biaya yang harus ditanamkan dalam melindunginya
Menentukan siapa yang bertanggung jawab untuk menjalankan langkah-langkah
yang diperlukan untuk melindungi bagian tersebut
1.1 Metode Keamanan Jaringan
Ada 3 beberapa konsep yang ada dalam pembatasan akses jaringan, yakni sebagai
berikut:
Internal Password Authentication
Server-based password authentication
Firewall dan Routing Control
Menggunakan metode enkripsi
Pemonitoran terjadwal terhadap jaringan
1.2 Password
Untuk melakukan pengujian terhadap password yang dibuat. Ada utilitas yang
dapat digunakan untuk mengetes kehandalan password, yaitu dengan menggunakan
software seperti avior yang bertujuan untuk melakukan brute-force password.
Kewenangan akses bagi user lain dalam satu perusahaan perlu didokumentasikan, hal
ini dilakukan untuk memenuhi kebutuhan klien. Kewenangan user selain
administrator antara lain adalah memasukkan data-data terbaru sesuai dengan tujuan
tertentu untuk memenuhi kebutuhan klien.
1.3 Metode Enkripsi
DES : mekanisme enkripsi data yang sangat popular dan banyak digunakan.
Ada banyak implementasi perangkat lunak maupun perangkat keras DES.
DES melakukan transformasi informasi dalam bentuk plain text ke dalam
bentuk data terenkripsi yang disebut dengan ciphertext melalui algoritma
khusus dan seed value yang disebut dengan kunci. Bila kunci tersebut
diketahui oleh penerima, maka dapat dilakukan proses konversi dari ciphertext
ke dalam bentuk aslinya.
PGP (Pretty Good Privacy) : PGP dibuat oleh Phil Zimmerman, menyediakan
bentuk proteksi kriptografi yang sebelumnya belum ada. PGP digunakan
untuk melindungi file, email, dan dokumen-dokumen yang mempunyai tanda
digital dan tersedia dalam versi komersial mapun freeware.
SSL : SSL singkatan dari Secure Socket Layer adalah metode enkripsi yang
dikembangkan oleh Netscape untuk keamanan Internet. SSL mendukung
beberapa protokol enkripsi yang berbeda, dan menyediakan autentifikasi
client dan server. SSL beroperasi pada layer transport, membuat sebuah kanal
data yang terenskripsi sehingga aman, dan dapat mengenkrip berbagai tipe
data. Penggunaan SSL sering dijumpai pada saat berkunjung ke sebuah secure
site untuk menampilkan sebuah secure document dengan Communicator.
SSH : SSH adalah program yang menyediakan koneksi terenkripsi pada saat
melakukan login ke suatu remote system.
1.4 Monitor Jaringan
Ancaman pada jaringan yang perlu dimonitoring dan diwaspadai oleh
administrator jaringan antara lain adalah sebagai berikut:
Program perusak seperti virus, trojan, worm, dsb.
Denial of service
Scanning
MAC Address
IP Address
Selain NS Auditor :
GFI Network Server Monitoring
MRTG
Selain perangkat lunak, perangkat keras pun perlu dilakukan monitoring. Hal apakah
yang perlu diperhatikan dalam monitoring perangkat keras antara lain adalah sebagai
berikut:
Waktu respon perangkat keras
Kompatibilitas dengan perangkat lunak
1.5 Intrusion Detection System (IDS)
Intrusion Detection System (IDS) adalah sebuah sistem untuk mendeteksi
penyalahgunaan jaringan dan sumber daya komputer. IDS memiliki sejumlah sensor
yang digunakan untuk mendeteksi penyusupan. Contoh sensor meliputi:
Sebuah sensor untuk memonitor TCP request
Log file monitor
File integrity checker
IDS memiliki diagram blok yang terdiri dari 3 buah modul, sebagai berikut:
Modul sensor (sensor modul) Modul analisis (analyzer modul)
Modul basis data (database modul)
Sistem IDS bertanggung jawab untuk mengumpulkan dara-data dari sensor dan
kemudian menganalisisnya untuk diberikan kepada administrator keamanan jaringan.
Tujuannya adalah untuk memberikan peringatan terhadap gangguan pada jaringan
2. Analisa Resiko
Analisa resiko digunakan untuk memberi gambaran biaya perlindungan
keamanan, mendukung proses pengambilan keputusan yg berhubungan dengan
konfigurasi HW dan desain sistem SW, membantu perusahaan untuk fokus pada
penyediaan sumber daya keamanan, menentukan aset tambahan (orang, HW, SW,
infrastruktur, layanan), memperkirakan aset mana yang rawan terhadap ancaman,
memperkirakan resiko apa yang akan terjadi terhadap aset, menentukan solusi untuk
mengatasi resiko dengan penerapan sejumlah kendali.
Pendekatan Analisa Resiko:
Kuantitatif: pendekatan nilai finansial
Kualitatif: menggunakan tingkatan kualitatif
Bisa dilakukan secara bersama atau terpisah (pertimbangan waktu dan biaya).
2.1 4 Resppon Terhadap Resiko
Avoidance: pencegahan terjadinya resiko
Transfer: pengalihan resiko dan responnya ke pihak lain. Contoh: asuransi
Mitigation: pengurangan probabilitas terjadinya resiko dan/atau pengurangan
nilai resiko
Acceptance: penerimaan resiko beserta konsekuensi. Contoh: contingency
Plan
3. Pengembangan Audit Keamanan Dalam Sistem Komputer
3.1 Audit
Asosiasi akuntansi Amerika mendefinisikan auditing sebagai sebuah proses
sistemeatis untuk secara obyektif mendapatkan dan mengevaluasi bukti mengenai
pernyataan perihal tindakan dan transaksi bernilai ekonomi, untuk memastikan
tingkat kesesuaian antara pernyataan tersebut dengan kriteria yang telah ditetapkan,
serta mengkomunikasikan hasil-hasilnya pada para pemakai yang berkepentingan.
Auditing membutuhkan pendekatan langkah per langkah yang dibentuk dengan
perencanaan teliti serta pemilihan dan pelaksanaan teknik yang tepat dengan hati-hati.
Keterlibatan audit yaitu mengumpulkan, meninjau, dan mendokumentasikan bukti
audit.
3.2 Tujuan Audit
Berdasarkan According Institute of Internal Auditors (IIA), tujuan dari audit
internal adalah untuk mengevaluasi kecukupan dan efektifitas sistem pengendalian
internal perusahaan. Juga menetapkan keluasan dari pelaksanaan tanggung jawab
yang benar-benar dilakukan.
3.3 Standar Audit
Kelima standar lingkup audit IIA memberikan garis besar atas tanggung jawab
auditor internal :
1) Melakukan tinjauan atas keandalan dan integritas informasi operasional dan
keuangan, serta bagaimana hal tersebut diidentifikasi, diukur, diklasifikasi dan
dilaporkan.
2) Menetapkan apakah sistem telah didesain untuk sesuai dengan kebijakan
operasional dan pelaporan, perencanaan, prosedur, hukum, dan peraturan yang
berlaku.
3) Melakukan tinjauan mengenai bagaimana aset dijaga, dan memverifikasi
keberadaan aset tersebut.
4) Mempelajari sumber daya perusahaan untuk menetapkan seberapa efektif dan
efisien mereka digunakan.
5) Melakukan tinjauan atas operasional dan program perusahaan, untuk
menetapkan apakah mereka telah dilaksanakan sesuai rencana dan apakah
mereka dapat memenuhi tujuan-tujuan mereka.
3.4 KERANGKA UNTUKAUDIT KEAMANAN KOMPUTER
Jenis-jenis Kesalahan dan Penipuan:
Pencurian atau kerusakan yang tidak disengaja atashardware dan file
Kehilangan, pencurian, atau akses tidak sah ke program, file data, dan sumber
daya sistem lainnya
Modifikasi atau penggunaan secara tidak sah program dan file data
Jenis-jenis Prosedur Pengendalian :
Rencana keamanan/perlindungan informasi
Pembatasan atas akses secara fisik ke perlengkapan komputer
Pengendalian penyimpanan dan pengiriman data seperti enkripsi
Prosedur perlindungan dari virus
Menggunakan firewall
Rencana pemulihan dari bencana
Pemeliharaan pencegahan
Asuransi sistem informasi
Prosedur Audit:Tinjauan atas Sistem
Menginspeksi lokasi komputer
Wawancara dengan personil sistem informasi mengenai prosedur keamanan
Meninjau kebijakan dan prosedur
Memeriksa kebijakan asuransi apabila terjadi bencana atas sistem informasi
Memeriksa daftar akses sistem
Memeriksa rencana pemulihan dari bencana
Prosedur Audit: Uji Pengendalian
Mengamati prosedur akses ke lokasi komputer
Memverifikasi bahwa terdapat pengendalian dan pengendalian tersebut
berfungsi seperti dengan yang diharapkan
Menginvestigasi berbagai kesalahan atau masalah untuk memastikan mereka
ditangani dengan benar
Memeriksa berbagai uji yang sebelumnya telah dilaksanakan
Pengendalian Pengimbang:
Kebijakan yang baik dalam hal personalia
Penggunaan pengendalian secara efektif
Pemisahan pekerjaan yang tidak boleh disatukan
REFERENSI:
http://reza_chan.staff.gunadarma.ac.id/Downloads/files/57884/P11+-+SOP+
%26+Audit.pdf (Diakses 23 Oktober 2018)
http://dewi_anggraini.staff.gunadarma.ac.id/Downloads/files/46078/SOP+
%26+Audit+2.pdf (Diakses 23 Oktober 2018)
TUGAS RESUME 4
BAB 11 & 12 : PERMASALAHAN TREND DAN KEDEPAN
Nama : Syifa Mutiara Sari
Kelas : 4KA23
Npm : 16115784
Dosen : Kurniawan B. Prianto, SKOM., SH, MM
Mata Kuliah : Sistem Keamanan Teknologi Informasi
BAB 11 & 12 : PENGAMANAN WEB BROWSER
1. Digital Rights Management
Digital Right Management (DRM) system adalah istilah yang digunakan untuk
mengatur data digital dan memproteksinya dari user yang tidak mempunyai hak akses.
DRM dapat berasal dari banyak bentuk antara lain:
Dokumen
Gambar
Musik
Video
dan sebagainya
Data digital ini selanjutnya oleh pemiliknya diamankan agar hanya orang-orang
tertentu saja yang dapat mengaksesnya. Penerapan DRM dapat melibatkan banyak
metode bahkan setiap vendor besar seperti Sony, Microsoft, Apple, dan Adobe
mempunyai mekanisme sendiri. Sebagai contoh, Microsoft menerapkan DRM pada
produk Windows Media, Operating System Windows dan Microsoft Office.
1.2 Metadata
Beberapa metode untuk menerapkan DRM pada data digital dengan memasukkan
informasi tertentu pada bentuk metadata kedalam data tersebut. Informasi metadata
biasanya meliputi nama, informasi account atau e-mail. Metadata juga diterapkan
pada data komersial contohnya Apple’s iTunes yang meletakan data DRM yang
dimasukkan kedalam MPEG standard metadata.
1.3 Membangun DRM
Sistem DRM dibangun dengan menyatukan teknologi keamanan dalam satu bundel
system end-to-end yang melayani kepentingan dan kebutuhan pemilik, distributor,
pengguna dan pihak terkait lainnya. Dalam membangun DRM diperlukan dua
arsitektur kritis yang perlu dipertimbangkan. Pertama adalah arsitektur fungsional
yang melingkupi modul atau komponen tingkat tinggi yang secara bersama-sama
akan membentuk system end-to-end. Kedua adalah aristektur informasi yang
melingkupi pemodelan entitas-entitas dalam DRM dan hubungan antara entitas-
entitas tersebut.
Arsitektur Fungsional Kerangka kerja keseluruhan DRM dapat dimodelkan dalam
tiga area bahasan:
Intellectual Propierty (IP) Asset Creation and Capture: yakni suatu cara untuk
mengelola pembuatan/kreasi suatu konten sedemikian hingga mudah untuk diperjual-
belikan.
IP Asset Management: yakni suatu cara untuk mengelola dan memperjual-belikan
konten. Termasuk di dalamnya menerima suatu konten dari creator/pembuat kedalam
suatu sistem manajemen asset.
IP Asset Usage: yakni bsuatu cara untuk mengelola penggunaan konten pada saat
pertama kali diperjual-belikan. Termasuk di dalamnya mendukung kendala-kendala
yang terjadi pada perdagangan konten dalam suatu system desktop /software tertentu.
Arsitektur Informasi Arsitektur ini berhubungan dengan bagaimana cara agar entitas-
entitas yang ada dibuat modelnya dalam kerangka kerja keseluruhan DRM berikut
hubungan/relasi di antaranya. Bahasan yang penting mengenai kebutuhan yang
diperlukan untuk membangun model Informasi DRM yakni:
o Pemodelan entitas- entitas
o Pengidentifikasi dan Pemaparan entitas- entitas
o Pengekspresian pernyataan hakhak.
Setiap dokumen elektronik yang telah dibuat dan ingin memproteksi informasi
didalamnya maka dokumen elektronik tersebut dapat dilakukan proses DRM. Proses
ini melibatkan enkripsi berbasis Cryptography yang mempunyai public key dan
private key. Sistem yang menghasilkan public dan private key dapat berperan sebagai
license server. Secara umum, implementasi aplikasi yang menerapkan DRM dapat
menggunakan pendekatan arsitektur client-server. Server disini menyediakan servis
untuk melayani:
Menghasilkan public dan private key setiap dokumen elektronik yang akan
diterapkan DRM
Menghasilkan license yang berisi informasi hak apa saja dapat ditujukan pada
dokumen tersebut
Menyimpan semua data DRM setiap dokumen. Dalam hal ini dilakukan pada
bagian database server Semua komponen yang terlibat dimasukkan ke dalam
domain direktori yang sama sehingga sistem authentikasi dan authorisasi
dapat dikontrol secara terpusat.
1.4 DRM Server
DRM Server merupakan bagian terpenting untuk melakukan proses DRM pada
suatu dokumen elektronik. Komponen ini bertanggung jawab mengatur dokumen
elektronik yang akan diamankan termasuk manajemen cryptography key. Komponen
DRM Server meliputi:
DRM Server berbasis Web Service
DRM Database Server
Directory Service
CA Server
1.5 Privacy Engineering (PE)
Dalam bagian ini akan dibahas mengenai beberapa aspek yang berkaitan dengan
bagaimana privacy engineering diperlukan untuk memberikan solusi atas masalah
yang biasa dihadapi oleh DRM konvensional, namun terbih dahulu akan dijelaskan
aspek dasar/latarbelakang dari penggunaan PE. Aspek dasar/latar belakang PE Latar
belakang digunakannya PE sebagai suatu jawaban atas apa yang muncul dalam
transaksi bisnis yang berbasis Internet atau distribusi kontent dengan pasar yang
massal yang secara spesifik dibentuk oleh DRM. Sebagai contoh, suatu model
distribusi yang tidak menggunakan DRM, misalkan pada transaksi dasar, dimana
pengguna mendownload suatu produk digital dari situs web (disebut situs) distributor;
transaksi tersebut bisa atau tidak melibatkan pembayaran, dan apabila melibatkan,
maka pengguna akan menggunakan kartu kredit atau informasi pribadi lainnya yang
memungkinkan proses pembayaran terlaksana yang pada akhirnya pengguna
mendapatkan produk digital tersebut dan menggunakan sesuai yang dia inginkan.
Ada dua hal utama dari transaksi tersebut yang dapat menjadi ancaman dari sisi
privacy pengguna:
Pertama (yang merupakan tipikal dari kebanyakan perdagangan berbasis
Web), aktifitas Web-nya terawasi (misal, cookies client, log server, dll).
Kedua, yakni, data kartu kredit atau pembayaran lainnya dapat diketahui pihak
lain.
Namun kedua ancaman tersebut tidak ada kaitannya dengan konten itu sendiri.
Mengacu pada contoh kasus di atas, DRM diperlukan pada saat pasca download
terjadi, yakni pada setelah konten tersebut sudah berpindah tangan, dari pemilik ke
distributor ke pembeli/pengguna akhir. Strategi DRM Ada beberapa strategi DRM
yang berbeda-beda, baik model atau efek bagi privacy penggunanya.
1.6 Kesimpulan
Seiring dengan kemajuan teknologi baik peranghkat keras maupun lunak di era
distribusi berbasis Internet,DRM adalah suatu konsep yang diperlukan untuk
melengkapi transaksi komersial dan menjamin hak-hak stakeholder terpenuhi atau
menutupi celah yang tidak dapat ditutupi oleh kryptograpi dalam perlindungan hak
suatu konten digital. Namun DRM sendiri memerlukan suatu pendekatan, metode dan
teknik tertentu dalam melaksanakan tuga memberikan perlindungan atas hak-hak
stakeholder. Privacy engineering (PE) merupakan salah satu pendekatan agar DRM
dapat bekerja secara maksimal. Namun sekali lagi DRM dengan PE-nya tidak
menjamin sempurna alias 100% bahwa hak-hak stakeholder. Namun disisi lain, DRM
mempunyai kelemahan-kelemahan yang disebutkan oleh penentanngnya, karena
dianggap malah melanggar hak pengguna untuk mendapatkan informasi seluas-
luasnya, tanpa ada batasan yang mengekang. PE dalam DRM juga memerlukan
kesadaran bagi para stakeholder atau pihak terkait agar tidak sewenangwenang
menyalahgunakan hak masingmasing.
REFRENSI:
https://media.neliti.com/media/publications/131004-ID-digital-rights-management-
sebagai-solusi.pdf (Diakses 23 Oktober 2018)
http://didi.staff.gunadarma.ac.id/Publications/files/432/
PrivacyEngineeringdalamSistemDigitalRightManajemen.pdf (Diakses 23 Oktober
2018)
http://file.upi.edu/Direktori/FPMIPA/PRODI._ILMU_KOMPUTER/
196603252001121-MUNIR/Artikel_TIK/
Dampak_Teknologi_Informasi_dan_Komunikasi_dalam_Pendidikan.pdf (Diakses 23
Oktober 2018)