TINGKAT INFORMASI

Mekanisme kontrol terhadap akses merupakan suatu konsep perlindungan data yang efektif untuk melindungi data dari pihak yang tidak berwenang atau dimodifikasi tanpa ijin. Banyak model mekanisme kontrol terhadap akses data / Mandatory Access Control ( MAC ) yang telah dipakai oleh perusahaan besar, seperti : Bell LaPadula ( Bell & LaPadula, 1975, 1996 ) atau Biba ( 1977 ). Kebijakan ini sangat bermanfaat bagi komputer pribadi dan perusahaan – perusahaan yang sangat kecil dengan jaringan yang kecik pula. Akan tetapi, pemeliharan tidak dapat dilepas dari hal ini. Banyak konsep – konsep yang inovatif, seperti Chinese Wall model ( Brewer & Nash, 1989 ) dimana menerapkan akses kontrol, terutama dibagian bisnis yang berhubungan langsung dengan data – data yang sensitif dan data – data kerjasama klien.

Sekarang ini, model yang banyak digunakan oleh perusahaan adalah model Role-based access control ( RBAC ) ( Sandhu,. 1996; Sandhu, Ferraiolo, & Kuhn, 2000 ). Model ini memberikan hal yang lebih dibandingkan dengan model yang lainnya. RBAC mempunyai aspek yang tidak berubah / statis dan dinamis.

Pertama, SSD ( Static Separation of duties ) berbasis kepada user-role membership ( Gavrila & Barkley, 1998 ). Hal ini berarti pemakai mempunyai hak sebagai member dari 1 bagian saja, dan dilarang untuk menjadi member dalam bagian yang lainnya.

Kedua, DSD ( Dynamic Separation of Duties ) berbasis kepada peraturan aktivasi / role activation. Hal ini digunakan ketika pengguna lebih berwenang untuk peran-peran yang harus tidak dapat diaktifkan secara bersamaan. DSD diperlukan untuk melarang user untuk menghindari persyaratan kebijakan dengan mengaktifkan peran lain.

Mengamankan Infrastruktur

SMEs seringkali menghadapi dua tantangan, yaitu :

Mereka perlu untuk mengamankan infrastruktur mereka. Hal ini sangatlah penting dikarenakan para pelanggan menginginkan kepercayaan apakah data mereka telah terjamin aman dan terlindungi atau tidak.

Mereka perlu untuk mengamankan solusi yang telah mereka berikan kepada klien. Hal yang paling sulit dari perusahaan kecil penyedia layanan IT adalah membuktikan bahwa mereka sanggup untuk mengimplementasikan solusi yang berskala besar yang dapat mencapai tingkatan keamanan.

Penutup

Seperti yang telah kita bahas, keamanan perusahaan perlu ditempatkan ke dalam 4 tingkatan ( tingkat organisasional, tingkat workflow, tingkat informasi, dan tingkat teknikal ). Untuk ke depannya, SMEs mungkin akan lebih banyak diserang oleh para hacker / para pengacau / mata – mata perusahaan, dikarenakan walaupun SMEs menggunakan IT, mereka hanya memberikan perlindungan secara mendasar saja. Hal ini berbeda dengan perusahaan besar yang memberikan perlindungan extra kepada sistem IT mereka.

TINGKATAN ALUR

Tingkatan Alur ( Workflow Level )

Tidak hanya perusahaan besar saja yang menggunakan workflow management untuk mengoptimalisasikan proses inti bisnis mereka, begitu pula dengan perusahaan SMEs. Dalam konteks keamanan, ada 2 aspek utama dalam workflow, yaitu : keamanan dan ketergantungan dari workflow, dan keamanan dan ketergantungan workflow.

Keamanan dan Ketergantungan dari Workflow

Sistem proses bisnis selalu berubah dari waktu ke waktu, dimana dapat diorganisir dengan 2 tahap yang sederhana, yaitu :

1. Tahap mengembangkan ( development phase ).

2. Tahap penggunaan ( use phase ).

Keamanan dan Ketergantungan Workflow

Pemeliharaan sistem dapat dilakukan dalam beberapa tingkatan seperti yang tertera di gambar.

Dalam gambar tersebut, setiap tingkatan yang berbeda dalam proses pemeliharaan server ditunjukkan :

1. Tingkatan 1 menggambarkan tentang aspek – aspek dasar, seperti menginstall patch baru dan melakukan update antivirus

2. Tingkatan 2 menggambarkan tentang tugas – tugas tambahan, seperti menutup akses dan membuang layanan yang tidak diperlukan, serta membuat perencanaan cadangan.

3. Tingkatan 3 menggambarkan tentang meningkatan keamanan dan ketergantungan.

Next : Tingkat informasi

PENDEKATAN PRAGMATIS

Pendekatan Pragmatis untuk SMEs

Donald Pipkin ( 2000 ) mempunyai suatu pendekatan yang menarik, dengan beberapa perubahan, dimana pendekatan ini sangat bermanfaat dan cocok untuk perusahaan kecil, walaupun pada awalnya pendekatan ini hanyalah untuk perusahaan besar saja. Model keamanan terdiri dari 5 aspek, yaitu :

Inspeksi

Hal yang paling penting dalam mengembangkan kebijaksanaan keamanan informasi adalah menentukan kunci dari proses dan fungsi – fungsi dari perusahaan yang penting, apa yang mereka perlukan, serta interaksi satu sama lain. Aspek ini terdiri dari 5 tahap, yaitu :

- Persediaan sumber daya.

Terdiri dari persediaan perlengkapan perusahaan, sumber daya, dan aset. Setelah mengidentifikasi aset yang ada, pemilik perusahaan harus ditetapkan untuk menyusun tanggung jawab.

- Penilaian terhadap ancaman.

Mengidentifikasi apa yang mengancam aset yang telah diidentifikasi. Ada 5 klasifikasi umum, yaitu : kesalahan manusia, bencana alam, kegagalan sistem, tindakan yang jahat, dan kerusakan yang terjadi bersama – sama.

- Analisis kehilangan.

Potensi masalah seperti penyerangan, pencurian data dan informasi, penghapusan informasi dan data, penyingkapan informasi, informasi yang rusak, pencurian perangkat lunak dan perangkat keras, atau gangguan terhadap sistem. Analisis ini menempatkan nomor – nomor dimana potensi yang paling mengancam diletakkan paling atas.

- Identifikasi kerentanan.

Setelah tahap ke dua dan ke tiga, kita harus melakukan pemetaan terhadap kerentanan yang mungkin terjadi, seperti dimana letak kelemahan perusahaan, sampai ke bagian teknikal ( desain keamanan yang cacat, implementasi yang tidak benar, dan penyalahgunaan ) atau kelemahan organisasi.

- Penugasan keamanan.

Ada 4 kategori, yaitu : penghindaran mitigasi, transferensi, atau penerimaan.

- Evaluasi keadaan sekarang.

Setelah semua tahap dijalankan, semua hasil harus dinilai dan diuji coba .

Perlindungan

Terdiri dari 5 tahap, yaitu :

- Kewaspadaan.

Pelatihan terhadap kewaspadaan, dimana dapat membantu meningkatkan keamanan perusahaan secara signifikan, tidak harus dilakukan setiap saat, tetapi cukup 1 tahun 1 kali saja / secara berkala. Pelatihan ini dapat mengurangi kesuksesan virus untuk menyerang sistem perusahaan dikarenakan kesalahan manusia ( membuka email yang berisi virus, website yang mempunyai virus ) dan rekaya sosial.

- Akses.

Akses terhadap sumber daya perusahaan. Dalam banyak kasus, para karyawan terlalu leluasa untuk melakukan akses terhadap banyak area.

- Otentikasi dan otorisasi.

Banyak SMEs yang membuat penggunaan secara tidak terbatas terhadap kapabilitas sistem operasi, sedikit menggunakan teknologi tambahan. Hal ini biasanya telah merupakan lompatan besar ke depan jika otentikasi dan otorisasi di evaluasi ulang dan ditingkatkan dengan membuat penggunaan terhadap akses kontrol teknologi ke dalam sistem operasi saat ini, seperti Kerberos, Active Directory, atau konsep lain yang mirip.

- Ketersediaan.

Klasifikasi terhadap model ketersediaan dapat membantu SMEs dalam menemukan perlindungan terhadap ekonomi yang wajar.

- Kerahasiaan.

Kerahasiaan merupakan hal yang sangat penting, baik itu dalam perusahaan besar maupun kecil. Metode yang benar dalam menjaga kerahasiaan harus dikembangkan demi menjaga kehilangan informasi.

Deteksi

Aspek ini untuk membuat perusahaan untuk dapat mendeteksi potensi penyerang, arah serangan, dan teknologi untuk melawan serangan tersebut. Ada 3 aspek, yaitu :

- Mengklasifikasi tipe dari penganggu / penyerang.

Seperti, siapa kira – kira yang bisa menyerang dari luar ? seberapa keras persaingan dalam perusahaan ? apakah sumber daya perusahaan menarik perhatian dari luar ?

- Menghitung medote gangguan.

Setelah mengklasifikasi tipe – tipe dari penyerang, kita harus mengidentifikasi medote penyerangan seperti apa yang akan dilakukan dan kemudian untuk dievaluasi.

- Menaksir deteksi intrusi

IDS ( Intrusion Detection Systems ) atau Intrusion Prevention Systems ( IPS ) biasanya mahal dan memerlukan karyawan yang intensif untuk melakukan pengawasan secara 24 x 7, dan hal ini sangat memberatkan SMEs. SMEs masih dapat mengatasi masalah ini dengan meningkatkan kapabilitas infrastruktur perangkat keras.

Reaksi.

Bagaimana respon perusahaan terhadap adanya kekacauan dalam sistem keamanan. Respon terhadap sistem keamanan merupakan bagian yang penting dalam kelangsungan berjalannya proses bisnis, dimana SMEs biasanya tidak perduli terhadap bagian ini untuk dikembangkan.

Refleksi

Setelah bencana terhadap keamanan diatasi, tahap berikutnya adalah kita harus melakukan follow up terhadap sistem dan membuat proses bisnis kembali berjalan secara normal. Apabila belum diatasi, mereka harus diatasi secara sesegera mungkin. Peningkatan harus selalu dievaluasi dan diperiksa untuk interaksi terhadap area – area dalam keamanan IT. Aspek tersebut terdiri dari 1 tahap utama, yaitu :

- Dokumentasi dan evaluasi kejadian.

Hal ini dilakukan untuk membuat suatu perencanaan atau respon apabila hal tersebut terjadi kembali.

- Pemegang saham.

Menurut Anderson ( 2001 ), kebijakan keamanan IT dalam SMEs harus tidak hanya mempertimbangkan kebutuhan untuk keamanan informasi dari sisi teknikal saja, tetapi juga harus mempertimbangkan dari sisi sosial, dimana hal ini mempengaruhi peraturan tentang kebijakan informasi yang ada di perusahaan. Pemegang saham dalam SMEs dapat diidentifikasi sebagai berikut :

1. Pembuat keputusan +

o Dia harus percaya kepada administrator

o Dia harus mendesain kebijakan keamanan atau paling tidak melakukan evaluasi terhadap proposal yang ada tanpa memiliki latar belakang pemahaman akan teknikal.

o Dia harus bertanggung jawab untuk kebijakan yang dibuat.

o Dia harus menyeimbangkan kekuasaan antara administrator dan pemakai.

o Dia harus bisa menentukan hubungan mana yang dapat dipercaya dan melaksanakan hal tersebut.

Pembuat keputusan harus dapat membuat dan mengembangkan strategi mereka untuk dapat mengatasi permasalahan yang ada. Mereka harus menemukan suatu cara untuk menyeimbangkan kekuasaan antara para pemegang saham dan mengimplementasikan suatu konsep kepercayaan dimana mereka dapat menggantungkan nasibnya dan tidak bergantung kepada para karyawan atau perusahaan penyedia jasa layanan IT.

1. Administrator IT +

Dalam SMEs, administrator bertanggung jawab untuk hampir semua bagian dalam permasalahan teknik, baik itu dari mengganti tinta printer, merubah akses karyawan dalam sistem, menyiapkan dan memelihara jaringan internet, membuat website, dan sebagainya. Karena banyaknya tugas administrator, mereka sering kali mengabaikan keamanan. Biasanya perusahaan akan memperkuat keamanan mereka setelah mereka mengalami masalah keamanan yang serius. Karena keterbasan personel dalam IT, maka biasanya ada 3 cara untuk mengatasi hal ini, yaitu :

o Tidak adanya administrator yang berdedikasi

Satu dari banyak karyawan mengatur jaringan IT diluar tugas utama nya.

o Satu administrator yang berdedikasi

Hal ini meningkatkan ketergantungan manajemen terhadap adanya administrator dalam sistem.

o Lebih dari 1 administrator yang berdedikasi

Hal ini mengurangi ketergantungan kepada satu administrator dan mengizinkan adanya pengendalian bersama dan tanggung jawab yang bertumpuk.

2. Pengguna +

Kira – kira sebanyak 77% informasi perusahaan dicuri oleh karyawannya sendiri. Dalam SMEs, kontrol akses terhadap sistem biasanya lebih rendah daripada perusahaan besar, dan hal ini menyebabkan ancaman terhadap pencurian informasi lebih besar. Dan juga biasanya para karyawan yang secara tidak langsung telah membuka jalan bagi para hacker ataupun ancaman – ancaman yang ada, seperti membuka file attachment yang berisi Trojan / virus, mengikuti link yang tidak jelas dalam website yang membawa hacker masuk, dan sebagainya.

3. Konsultan luar

Menggunakan konsultan luar untuk mengatasi masalah keamanan perusahaan dapat menjadi suatu cara yang baik daripada menggantungkan diri kepada satu atau beberapa personel IT ataupun bergantung kepada satu perusahaan penyedia layanan IT saja. Memiliki auditor keamanan dalam waktu yang berkelanjutan, seperti satu atau dua kali dalam satu tahun akan mengurangi ketergantungan perusahaan terhadap administrator IT secara efektif.

Auditor account harus bisa untuk melacak semua aktifitas yang dilakukan oleh para pemakai dan administrator, dan mempunyai akses ke semua sejarah aktifitas sistem. Administrator harus tidak mempunyai akses ke dalam account auditor. Ada 6 tahap yang dapat dilakukan, yaitu :

1. Menentukan peraturan auditor ( sedikitnya 2 orang )

2. Mengubah account administrator ke account auditor atau hal yang mempunyai kemiripan.

3. Memindahkan semua administrator dari suatu kelompok administrator ke dalam kelompok yang telah diubah dimana kelompok ini tidak mempunyai kekuasaan dalam mengubah atau menghapus data sejarah / log files.

4. Account Administrator windows dibuka dan diubah passwordnya dengan yang baru.

5. Auditor pertama menentukan passwordnya.

6. Auditor yang lain melakukan hal yang sama seperti pada nomor 5.

Seperti sistem multi-key lock, tidak ada auditor yang dapat masuk dan menggunakan account auditor tanpa auditor yang lain. Sistem ini mungkin tidak praktis, tetapi sistem ini mempunyai kelebihan, yaitu : murah, mudah untuk diimplementasikan, dan tanggung jawab dapat didistribusikan secara merata.

next : workflow level

STANDAR KEAMANAN

Standar Keamanan IT bagi SME's

Keamanan IT mempunyai standarisasi yang harus diikuti untuk dapat mencapai kriteria bahwa keamanan IT tersebut terjaga.

Kerangka keamanan informasi, seperti :

1. Common Criteria,

2. COBIT,

3. MARION,

4. IT Infrastructure Library ( ITIL ),

5. ISO / IEC 17799 : 2000,

6. British Standard ( BS ) 7799,

7. Code of Practice ( COP ),

8. Guidelines on the Management for IT Security ( GMITS ) ISO / IEC 13335,

9. German IT Baseline Protection Manual;

semua di atas merupakan struktur keamanan yang dikembangkan untuk perusahaan besar atau institusi kepemerintahan untuk menjaga kualitas dari pelayanan dan keamanan.

Dengan adanya kerumitan, kompleksitas, hal ini sulit untuk diadaptasi oleh SMEs. Karena itu, diperlukan pendekatan yang lebih untuk mencakup semua area yang perlu untuk diatur penempatannya, akan tetapi sekali lagi hal ini akan sulit dikarenakan adanya budget dana ke sistem IT yang kecil. Berikut akan dibahas bagaimana mengatasi hal ini.

next : Pendekatan Pragmatis untuk SME's

Perbandingan antara SME dan Perusahaan Besar

Dalam persaingan global yang sangat ketat ini, SME hanya bisa sukses dan bertahan dalam posisinya, apabila SME benar – benar memberikan solusi, perhatian dan pelayanan penuh terhadap para pelanggan mereka. Jika hal ini tidak dilakukan, SME akan sulit untuk tetap berada pada posisinya. Mengembangkan produk – produk dan layanan mereka akan terasa sulit, dikarenakan oleh keuangan yang tidak memadai, serta tidak adanya penelitian dan rencana jangka panjang terhadap pengembangan produk dan layanan. Kebanyakan SME merupakan perusahaan keluarga. Pada dasarnya, pendekatan mereka terhadap para pelanggan termasuk baik dan pihak manajemen mengetahui cara – cara untuk melakukan hal demikian. Akan tetapi, pada umumnya, mereka mempunyai pengetahuan yang minim tentang bagaimana cara untuk mengorganisir proses bisnis. Mereka selalu berpendapat bahwa perusahaan mereka bukanlah perusahaan yang menjadi sasaran bagi para hacker.

Pandangan ini salah. Hacker tidak melihat perusahaan tersebut besar atau tidak untuk menjadi sasaran mereka. Berbagai aktivitas kriminal seperti spamming, pembajakan kartu kredit, distrubusi data, video illegal, gambar – gambar, atau perangkat lunak / software merupakan hal yang umum dilakukan oleh para hacker. Mereka tidak melihat perusahaan tersebut seperti apa dan bagaimana, mereka hanya memikirkan bagaimana cara membuat uang secara cepat dengan melakukan hack terhadap sistem perusahaan tersebut. Dengan adanya perlindungan yang sangat rendah dari SMEs terhadap sistem, maka SMEs menjadi sasaran yang sangat empuk bagi para hacker. Tidak hanya hacker, SMEs juga harus bersiap – siap dengan adanya serangan dari dalam, yaitu dari para pegawai mereka sendiri, sampai dengan mata – mata industri terhadap akses data – data penting perusahaan. Dengan adanya kesulitan dalam keuangan yang dialami oleh SMEs, SMEs tidak terlalu siap dengan adanya serangan – serangan dari para hacker dan mata – mata industri.

next : Standar Keamanan IT bagi SME's

Implementing IT Security for SME's

Implementing IT Security for Small and Medium Enterprises

Abstrak

Sekarang ini, tidak hanya perusahaan besar saja yang menerapkan IT / mengimplementasikan IT ke dalam perusahaan mereka, tetapi begitu juga dengan perusahaan kecil dan perusahaan menengah ( small and medium enterprises ). Dengan menerapkan IT, berarti perusahaan juga harus menerapkan keamanan bagi sistem IT mereka. Dan hal ini berarti mereka harus mengeluarkan dana yang tidak sedikit untuk mengamankan sistem IT mereka. Untuk perusahaan besar, tentu hal ini tidaklah begitu sulit untuk dilaksanakan. Akan tetapi, untuk perusahaan kecil, hal ini menjadi kendala tersendiri bagi mereka. Rata – rata / pada umumnya, perusahaan kecil hanya melakukan pengamanan IT secara ala kadarnya, yaitu dengan melakukan update secara berkala software antivirus dan memasang software firewall untuk memblokir akses – akses dari pihak yang tidak berwenang.

Hal – hal seperti kebijakan strategi, pencurian informasi, kelanjutan kelangsungan bisnis, kontrol terhadap akses, dan banyak aspek lainnya tidak terlalu ditanggapi atau diperdulikan, kecuali hal tersebut benar – benar mengancam keamanan perusahaan. Untuk mencegah hal tersebut, setiap 4 tingkatan perusahaan yang ada harus ditempatkan dengan tepat.

4 tingkatan tersebut adalah :

1. Organizational level; bagian – bagian dari standar yang sudah ada berguna untuk mengatasi masalah yang ada dalam organizational level.

2. Workflow level; membuat model dari proses bisnis dan kemudian menempatkan keamanan dalam account dapat meningkatkan keandalan dan peningkatan dalam workflow level.

3. Information level; akses kontrol yang berbasis pada peraturan yang ada.

4. Technical level; pengukuran dalam keamanan standar yang ada ( antivirus, firewall, dsb ) perlu ditempatkan dan diatur dengan sedemikian rupa sesuai dengan kebijakan keamanan perusahaan.

Pembuka

Baik perusahaan besar maupun perusahaan SMEs bergantung kepada infrastruktur IT yang handal untuk menopang kesuksesan bisnis mereka. E-commerce yang baru dianggap dapat memberikan dampak yang signifikan terhadap perusahaan dengan menawarkan kesempatan yang lebih terbuka dalam pasar untuk dapat bersaing dengan perusahaan lainnya / pesaing.

Dibandingkan dengan perusahaan besar, SMEs memiliki sumber daya yang lebih sedikit dan kewawasan dalam sektor keamanan sistem IT mereka. Biasanya, infrastruktur IT mereka hanya diawasi dan diatur oleh satu atau beberapa karyawan saja, dan juga dengan pengalaman serta pengetahuan yang minim / dasar terhadap sistem keamanan IT.

Menurut Avizienis, Laprie, Randell, dan Landwehr ( 2004 ), aspek keamanan meliputi ketersediaan ( availability), kerahasiaan ( confidentiality ), dan integritas ( integrity ). Sedangkan, atribut utama dari ketergantungan ( dependability ) adalah ketersediaan ( availability ), keandalan (reliability ), keamanan ( safety ), integritas ( integrity ), dan perawatan ( maintainability ).

Dari hari ke hari, proses inti bisnis dari perusahaan perlu diatur dan dijalankan sesuai dengan strategi perusahaan. Admin IT harus mengetahui, informasi seperti apa dan infrastruktur seperti apa yang perlu untuk diamankan, baik itu informasi yang berada pada bagian logical level dan information level, sampai ke keamanan dalam technical level, seperti : keamanan jaringan, software antivirus, dan perangkat keras / hardware.

berikut akan dibahas tentang perbedaan antara SME's dengan Perusahaan besar =)