PHYSICAL
SECURITY & LOGICAL SECURITY
A. PHYSICAL SECURITY
Keamanan adalah hal yang sangat penting
untuk diorganisasikan, dan didalam keamanan itu sendiri keamann fisik adalah
yang tidak kalah pentingnya.
Physical Security atau keamanan fisik
membahas ancaman, kerawanan dan tindakan yang dapat diambil untuk mamberi
perlindungan fisik tehadap sumber daya organisasi dan informasi yang sensitif.
Sistem keamanan fisik sering mengacu pada tindakan yang diambil untuk
melindungi sistem, gedung dan infrastruktur pendukung yang terkait terhadap
ancaman yang berhubungan dengan lingkungan fisik. Secara singkat Physical
Security dapat diartikan sebagai keamanan infrastruktur teknologi informasi
secara fisik.
Metodologi Keamanan
Metodologi Keamanan
Dalam metodology keamanan ada tingkatan
level keamanan yang harus diperhatikan
ü Level
0 –> Keamanan fisik
ü Level
1 –> Keamanan database, data, komputer, peralatan & aplikasi
ü Level
2 –> Keamanan jaringan
ü Level
3 –> Keamanan informasi
ü Level
4 –> Keamanan
-
Daftar
Physical security
1. Company
Surroundings
Sebuah
perusahaan besar biasanya memiliki sistem keamanan yang terstruktur dengan
sangat baik. Untuk memasuki wilayah perusahaan dibutuhkan hak akses yang sah,
dan hanya orang-orang tertentu saja yang memiliki hak tersebut.
Beberapa
cara mengamankan daerah sekitar perusahaan:
ü
Pagar
/ gerbang
ü
Tembok
tinggi
ü
Penjaga
ü
Menggunakan
alarm keamanan
2. Reception
Posisi
seorang resepsionis harus diperhatikan, karena orang luar perusahaan dapat
dengan mudah untuk melihat dan mengetahui segala aktivitas yang dilakukan
resepsionis terhadap komputer perusahaan. Sebaiknya:
ü
Posisi
monitor komputer tidak menghadap ke orang luar
ü
Tidak
meninggalkan komputer dalam keadaan menyala
3. Server
Komputer
server pada sebuah perusahaan adalah bagian yang paling penting, karena dalam
komputer tersebut tersimpan data-data penting (rahasia) perusahaan.
Perlindungan terhadap komputer server dapat dilakukan dengan 2 cara:
Pertama:
Perlindungan data pada computer server, biasanya dari serangan virus dan spy.
Disarankan untuk menginstall antivirus dan sering-sering untuk mengpdatenya.
Kedua:
Perlindungan fisik komputer server dari berbagai serangan, khususnya dari
serangan bencana alam.
4. Workstation
area
Workstation
area merupakan tempat yang sangat rawan untuk keamanan data, karena orang dapat
dengan mudah untuk mengambil data dari komputer milik orang lain. Sebaiknya
kita melakukan pengamanan dengan cara:
ü
Tidak
meninggalkan meja kerja dengan keadaan komputer menyala, komputer harus dalam
keadaan terkunci
ü
Gunakan
kamera CCTV
ü
Tidak
meninggalkan usb / media drives lainnya masih terhubung ke komputer
5. Wireless
access points
Keberadaan
alat wireless access points sudah semakin meluas dan dibutuhkan pengamanan yang
lebih ketat. Untuk mencegah akses-akses yang tidah sah, sebaiknya wireless
access harus lebih terjaga/ terjamin. Lakukanlah hal-hal berikut:
ü
Nyalakan
WEP encryption
ü
Access
point harus menggunakan password
ü
Password
harus cukup kuat sehingga tidak mudah untuk dicrack
6. Access
control
Access
control digunakan untuk mencegah panggunaan akses yang tidak sah terhadap
area-area operasional sensitif perusahaan. Pengontrolan dapat dilakukan dengan
cara:
ü
Kartu
pengenal yang dilengkapi chip
7. Computer
equipment maintenance
Pemeliharaan
komputer secara rutin sangat disarankan, karena dapat membuat komputer tahan
lama dan tetap stabil untuk jangka waktu yang panjang. Sebaiknya:
ü
Perusahaan
memiliki orang-orang yang terlatih dan bertanggungjawab dalam bidang
maintenance
ü
Tidak
membiarkan orang luar perusahaan untuk melakukan maintenance
8. Wiretapping
Wiretapping
adalah tindakan secara diam-diam mendengarkan pembicaraan orang lain melalui
saluran telepon. Biasa dikenal dengan istilah penyadapan. Pengamanan dapat
dilakukan dengan
ü
Tidak
membiarkan kabel berserakkan sembarangan, susun kabel secara rapih
ü
Lindungi
kabel dengan pelindung kabel
9. Remote
access
Remote
access dapat mempermudah pegawai untuk mengakses komputer perusahaan dari luar
perusahaan. Namun sebaiknya penggunaan remote access ini dihindari karena
keamanan dari remote access sangat rendah dan rentan terhadap pencurian data.
Keamanan
fisik memilki tingkat kerentanan, ancaman yang berbeda dari keamanan informasi.
Keamanan fisik lebih cenderung kepada perusakan fisik, penyusup, isu
lingkungan, pencurian, dan vandalisme. Etika seorang yang ahli dalam bidang
keamanan melihat kedalam keamanan informasi, mereka berpikir tentang bagaimana
seseorang dapat masuk kedalam lingkunagn yang ia tidak memilki hak melalui
port, modem, atau wireless access point.
Tetapi
ketika yang ahli dalam bidang keamanan melihat kedalam keamanan fisik, mereka
akan berpikir bagaimana orang dapat secara fisik masuk ke lingkungan kompuer
dan menyebabkan berbagai kerusakan. Ancaman yang mungkin terjadi dalam keamanan
fisik dapat dibagi menjadi beberapa katagori:
1)
Ancaman
alam. Seperti banjir, gempa bumi, badai dan tornado, kebakaran, kondisi
temperatur, dan lain sebagainya.
2)
Ancaman
sistem. Seperti distribusi tegangan, gangguan komunikasi, gangguan ke berbagai
sumber daya lainnya seperti air, uap air, gas dan lain sebagainya.
3)
Ancaman
yang dibuat manusia. Orang yang tidak memilki akses (internal maupun
eksternal), ledakan bom, dendam pegawai, kesalahan dan kecelakaan pegawai,
vandalisme, penipuan, pencurian, dan lain sebagainya.
4)
Ancaman
bermotivasi politik. Mogok kerja, kerusuhan, pemberontak, serangan teroris,
pemboman, dan sebagainya.
B. LOGICAL
SECURITY
Logical
security merupakan jenis kontrol dalam sebuat sistem informasi yang berikaitan
dengan aturan pengaksesan pengguna sesuai dengan wewenang yang
diberikan/ditentukan dalam penggunaan data/informasi serta program-program
sistem informasi. Maka dari itu logical security banyak berhubungan dengan user-ID
untuk setiap pengguna sistem informasi.
1. Logical
security bertujuan untuk
Melindungi
data/informasi yang tersimpan di dalam perangkat sistem informasi, dari
perusakan
atau penghancuran yang dilakukan baik disengaja maupun tidak
disengaja.
Menghindari
dan mendeteksi perubahan terhadap data/informasi yang dilakukan oleh pihak
tidak berwenang, serta menjaga agar informasi tidak disebarkan kepada pihak
yang tidak
berwenang.
2. Aplikasi
Logical Security
Terdapat beberapa pengaplikasian logical security terhadap sistem
informasi yang pada umumnya aplikasi tersebut juga diimplementasikan ke dalam
beberapa sistem aplikasi lainnya. Pengaplikasian tersebut diantaranya user-ID,
password, access level, closed menu.
a) User-id
Tujuan
dari user-ID adalah untuk mengidentifikasi pengguna yang memiliki otoritas
untuk mengakses sistem informasi. Sebelumnya sistem harus mendapatkan data
semua user-ID yang akan disimpan pada basisdata sistem informasi. User-ID merupakan
perisai pertama terhadap pengaksesan sistem. Setiap user-ID harus
diidentifikasi oleh satu data yang bersifat unik (biasanya berupa kunci utama
dalam sebuah basisdata). Beberapa data yang biasanya termasuk ke dalam user-ID diantaranya:
1)
Username
Username
merupakan data yang menidentifikasi setiap pengguna. Username lebih baik
bersifat unik untuk dapat mengidentifikasi setiap pengguna. Username dapat
dibuat menggunakan kodifikasi. Sebagai contoh username dengan nilai BDGCSAP001
(BDG = Bandung, CS = Customer Service, AP = Agus Putra, 001 = Nomor urut
apabila ada pengguna yang bekerja di bagian yang sama dan nama yang sama).
2)
Password
Password
juga merupakan bagian dari data set user-ID. Tetapi dalam materi ini akan
dibahas secara terpisah di sub bab berikutnya. Password merupakan kunci untuk
masuk ke dalam sistem atau mendapatkan akses.
3)
Initial
Menu
Initial
menu merupakan informasi menu apa saja yang akan ditampilkan pada sebuah sistem
informasi berkaitan dengan hak akses setiap pengguna. Sebagai contoh pada
sistem informasi akademik, menu untuk bagian akademik dengan menu untuk guru
harus berbeda. Daftar menu yang dapat ditampilkan untuk setiap jenik hak akses
dapat disimpan dalam basis data atau juga dapat diseleksi langsung menggunakan kode
program.
4)
Output
Queue
Menentukan
arah output dari setiap proses yang harus dikirimkan oleh sistem.
5)
Special
Authorities
terdapat
seorang pengguna yang diberikan wewenang tambahan untuk mengakses data atau
proses, dapat didefinisikan di bagian special authorities.
6)
Password
change date
Tanggal
setiap ada perubahan password harus selalu terekam atau tersimpan.
7)
Access Levels
Menentukan hak
pengaksesan untuk setiap level pengguna yang berkaitan dengan data dan program (modul). Pembahasan lebih lengkap ada pada sub bab berikutnya.
b) Password
Password
berkaitan dengan user-ID, untuk membuktikan bahwa pengguna memiliki wewenang
untuk memaki dan masuk ke dalam sistem. Oleh karena itu setiap pengguna sebelum
masuk ke dalam sistem informasi harus mengetik/memasukan username beserta password.
Untuk menghindari percobaan pengaksesan oleh pengguna yang tidak memiliki
wewenang, harus dikontrol dengan mengkombinasikan kontrol preventif dan
pendeteksian. Hal tersebut dapat dilakukan dengan cara:
1. Ditentukan
batasan kesalahan dalam memasukan username dan password (misalnya sebanyak 3
kali). Apabila sudah melebihi batas tersebut maka secara otomatis username yang
berkaitan dinonaktifkan oleh sistem. Dapat juga dinonaktifkan terminal yang
dipakai apabila tidak akan menggangu proses sistem informasi lainnya. Untuk
fasilitas pengaktifan dapat diterapkan pada sistem administrator. Kontrol ini
juga dapat memberikan informasi terhadap pemilik sistem bahwa adanya aktifitas
percobaan pengaksesan sistem secara illegal.
2. Percobaan
tersebut harus direkam di log file. Dimana nantinya secara berkala harus
diaudit untuk menginvestigasi beberapa penyebabnya.
Sistem
informasi yang baik akan merekam semua kegiatan pengguna (diwakili oleh user-ID
setiap pengguna). Contohnya sistem akan merekam user-ID (beserta tanggal
kejadian) yang melakukan perubahan dan penghapusan terhadap data
c) Access
level
Setelah
pengguna berhasil masuk ke dalam sistem dengan menggunakan user-ID dan
passwordnya, maka sistem hanya akan menyediakan data dan informasi yang sesuai
dengan level akses pengguna tersebut. Selain itu modul-modul yang digunakan
juga sesuai dengan level akses. Oleh karena itu rincian tingkat pengaksesan
harus diimplementasikan ke dalam sistem. Berikut beberapa level akses yang umum
diterapkan, diantaranya:
1.
No
Access
Tingkat
pengaksesan ini berarti pengguna tidak diizinkan memakai program beserta
datanya. Sebagai default, semua file dan program memiliki tingkat pengaksesan
ini.
2.
Execute
Tingkat
pengaksesan ini berlaku untuk program yang diizinkan untuk dijalankan oleh
pengguna.
3.
Read
Only
Pengguna
hanya diperbolehkan untuk menjalankan program yang diakses dengan membaca atau
mencetak beberapa file yang berkaitan dengan program tersebut. Akan tetapi
tidak diberikan akses untuk memodifikasi dan/atau menghapus data yang ada pada
file tersebut.
4.
Modify/Update
Pengguna
diberikan akses untuk memodifikasi data yang ada pada file.
5.
Delete
Pengguna
diberikan akses untuk menghapus data yang ada pada file.
6.
Add/Write
Memungkinkan
pengguna untuk menambahkan record ke dalam file.
7.
Owner
Memungkinkan pengguna
memberikan hak pengaksesan terhadap file-file atau/dan menjalankan
program-program tertentu kepada pengguna lain.
d) Clodes
menu
Closed
menu merupakan informasi menu apa saja yang akan ditampilkan pada sebuah sistem
informasi berkaitan dengan hak akses setiap pengguna. Setiap pengguna akan
diberikan menu program sesuai hak akses yang sudah ditentukan. Sebagai contoh
pada sistem informasi akademik, menu untuk bagian akademik dengan menu untuk
guru harus berbeda. Daftar menu yang dapat ditampilkan untuk setiap jenik hak
akses dapat disimpan dalam basis data atau juga dapat diseleksi langsung
menggunakan kode program.
Tidak ada komentar:
Posting Komentar