Chief Security Officer

Chief Security Officer

A.      Pendahuluan

            Dengan berkembangnya internet yang semakin pesat, yang biasa digunakan oleh berbagai kalangan baik itu anak-anak maupun dewasa, dapat menimbulkan banyak dampak negative yang sangat merugikan kita baik itu perseorangan maupun perkelompok atau perusahaan. Dampak negative yang dapat ditimbulkan yaitu dapat berupa penipuan, pencurian data-data melalui internet dan lain-lain. Oleh karena itu, perusahaan membutuhkan  orang yang bertugas sebagai chief security officer yang akan membantu menjaga keamanan aset-aset perusahaan yang penting yang tidak boleh dibocorkan.

B.      Tinjauan Pustaka

The CSO adalah eksekutif bertanggung jawab untuk postur keamanan seluruh organisasi, baik fisik dan digital. OMS juga sering memiliki atau berpartisipasi erat di bidang terkait seperti perencanaan kelangsungan bisnis, pencegahan kerugian dan pencegahan penipuan, dan privasi.( http://www.csoonline.com)

Menurut  http://www.csoonline.com seorang chief security officer harus memiliki tanggung jawab sebagai berikut:

1.  Memimpin kegiatan manajemen risiko operasional untuk meningkatkan nilai perusahaan dan merek.
2. Mengawasi jaringan direksi keamanan dan vendor yang menjaga aset perusahaan, kekayaan intelektual dan sistem komputer, serta keselamatan fisik karyawan dan pengunjung.
3. Mengidentifikasi tujuan perlindungan, sasaran dan metrik konsisten dengan rencana strategis perusahaan.
4. Mengelola pengembangan dan implementasi kebijakan keamanan global, standar, pedoman dan prosedur untuk memastikan pemeliharaan keamanan. Tanggung jawab perlindungan fisik akan mencakup perlindungan aset, pencegahan kekerasan di tempat kerja, sistem kontrol akses, video surveillance, dan banyak lagi. Informasi tanggung jawab perlindungan akan mencakup arsitektur jaringan keamanan, akses jaringan dan pemantauan kebijakan, pendidikan karyawan dan kesadaran, dan banyak lagi.
5. Bekerja dengan para eksekutif lainnya untuk memprioritaskan inisiatif keamanan dan pengeluaran berdasarkan manajemen risiko yang sesuai dan / atau metodologi keuangan.
6. Menjaga hubungan dengan penegak hukum setempat, negara bagian dan federal dan instansi pemerintah terkait.
7. Mengawasi insiden perencanaan respon serta penyelidikan pelanggaran keamanan, dan membantu dengan hal-hal disiplin dan hukum yang terkait dengan pelanggaran tersebut sebagaimana diperlukan.
8. Bekerja dengan konsultan luar yang sesuai untuk audit keamanan independen.

Menurut  http://www.csoonline.com seorang chief security officer harus memiliki persyaratan atau kualifikasi sebagai berikut :

1. Harus menjadi pemimpin yang cerdas, pandai bicara dan persuasif yang dapat berfungsi sebagai anggota yang efektif dari tim manajemen senior dan yang mampu berkomunikasi berhubungan dengan keamanan konsep untuk berbagai staf teknis dan non-teknis.
2.  Harus memiliki pengalaman dengan perencanaan kesinambungan bisnis, audit, dan manajemen risiko, serta kontrak dan negosiasi vendor.
3. Harus memiliki pengetahuan yang kuat hukum yang bersangkutan dan komunitas penegakan hukum.
4. Harus memiliki pemahaman yang kuat tentang teknologi informasi dan keamanan informasi.

C.      Pembahasan

Dari segi keamanan komputer, Chief Security Officer adalah orang yang bertugas menjaga keamanan sistem komputer pada satu perusahaan supaya informasi dalam perusahaan tersebut tidak dapat diketahui oleh orang lain. Untuk menjadi seorang Chief Security Officer harus memiliki kepribadian yang baik agar dapat bekerja sama dengan rekan team untuk membantu sistem perusahaan. Seorang Chief Security Officer bertugas mengeluarkan peraturan-peraturan agar dipatuhi oleh pengguna sistem agar keamanan sistem terjamin. Seorang Chief Security Officer harus memiliki pengetahuan tentang hukum  supaya jika ada pemasalahan hukum yang terjadi misalnya pelanggaran hak cipta maka dia dapat membantu menyelesaikan permasalahan hukum tersebut.  

D.      Kesimpulan

Dengan adanya chief security officer maka keamanan data pada perusahaan kita dapat terbantu. Perusahaan-perusahaan yang ada saat ini pasti memiliki beberapa chief security officer karena adanya manfaat yang sangat dibutuhkan bagi perusahaan tersebut. Oleh karena itu perusahaan rela membayar mahal chief security officer tersebut   

E.       Daftar pusaka

http://www.csoonline.com/article/221739/what-is-a-chief-security-officer-

ASPEK KEAMANAN INTERNET

ASPEK KEAMANAN INTERNET

Ada 3 aspek keamanan internet yang biasa diperhatikan agar sistem komputer atau aplikasi yang dapat aman dari beberapa macam gangguan, yaitu :

1.       Aspek Teknis, dipandang dari internet yang adalah gabungan dari perangkat keras dan perangkat lunak teknologi informasi.  Dalam aspek teknis ada beberapa ancaman serangan yang mungkin dapat terjadi, antara lain:

a.       Malicious code, adalah kode jahat yang dibuat untuk tujuan merusak sistem komputer yang dimasukki nya. Ada beberapa klasifikasi dari malicious code, yaitu Virus, Worm, dan Trojan Horses.

b.      Vulnerabilities, adalah sebuah kelemahan atau celah yang dimiliki oleh sistem kita yang mengundang seseorang untuk masuk kedalam sistem kita. Salah satu contohnya adalah program-program error yang tingkat keamanannya belum terjamin dan bisa mengundang orang masuk melalui kelemahan atau celah tersebut.

c.       Spam adalah Tulisan-tulisan yang dikirim melalui email oleh orang lain yang sangat menganggu kenyaman kita karena dikirim secara terus-menerus. Contohnya yaitu iklan-iklan yang dikirim secara terus-menerus yang akan membuat kotak masuk email kita semakin banyak.

d.       Spyware adalah program yang dibuat oleh seseorang dengan tujuan merekam atau memata-matai aktivitas sistem komputer kita lalu data-datanya dikirim kembali ke pembuatnya. Spyware biasanya dimasukkan secara sengaja oleh seorang penjahat melalui internet. Atau juga program tersebut dipasang melekat pada sistem aplikasi gratis yang menarik bagi pengguna internet dan ketika kita mendownload secara tidak sengaja program tersebut masuk kedalam komputer kita. Salah satu contohnya adalah program keylogger.

e.      Phishing dan Identify theft  adalah seseorang melakukan pencurian data-data penting kita seperti user name dan password dengan cara melakukan penipuan. Salah satu contohnya,yaitu seorang penjahat mebuat website palsu yang sangat mirip dengan aslinya,seperti kita mengklik situs perbankan yang palsu tapi mirip dengan aslinya diinternet www. Bank Panin.com ketika kita memasukkan user name dan password, maka user name dan password kita terbaca atau tersimpan oleh situs tersebut dan dapat diketahui oleh pemilik website palsu.

2.       Aspek Bisnis dipandang dari segi bagaimana cara menjaga keamanan data-data dalam sistem komputer kita. Dalam aspek bisnis ada beberapa cara menjaga kerahasiaan dan keamanan data dari ancaman serangan yang mungkin dapat terjadi, antara lain:

a.       Manajemen Resiko adalah membuat dan mengidentifikasi resiko-resiko yang akan terjadi pada sistem komputer kita jika keamanannya tidak terjamin. Setelah mengidentifikasi kita harus membuat rencana cadangan untuk mengatasi permasalahan tersebut.

b.      Analisa keuntungan dan biaya adalah membandingkan biaya pengamanan dengan kerugian yang kita peroleh.

c.       Governance Requirements adalah membuat atau menyusun susunan daftar orang-orang yang menjaga keamanan sistem.

d.      Digital Asset Management adalah berusaha mengatur rencana pengamanan data-data digital yang kita miliki.

e.      Standard and Policy Enforcement adalah membuat peraturan atau kebijakan, standar keamanan sistem.

3.       Aspek Sosial dipandang dari segi penggunanya seringkali ceroboh dalam mengguna sistem sehingga memungkinkan adanya kerawanan sistem. contoh penanggulannya antara lain:

a.       Membuat aturan yang harus dipatuhi oleh seluruh karyawannya untuk menganti password secara periodic supaya sistem keamanannya terjamin.

b.      Pressure vs Education adalah memberikan pendidikan atau mengadakan seminar untuk karyawan mengenai dampak-dampak negative dari kebiasaan-kebiasaan pengguna komputer yang tidak baik. Atau membuat banyak tekanan kepada pegawai untuk menghilangkan  kebiasaan buruknya.

c.       Reward vs Punisment adalah memberikan penghargaan untuk orang yang membantu menjaga keamanan sistem. atau memberikan hukuman kepada yang tidak mematuhi peraturan atau tidak menjaga keamanan sistem kita.

Referensi :

·         http://ikc.depsos.go.id/populer/hendro-malcodes.php

·         http://ahmad-prayitno.com/2009/12/pengertian-vulnerability/

·         http://id.answers.yahoo.com/question/index?qid=20091019103004AAIJQBK

·           E-book Meneropong Isu Keamanan Internet oleh Richardus Eko Indrajit

Ancaman Keamanan Sistem Komputer

Ancaman Keamanan Sistem Komputer

Ancaman keamanan komputer ini semakin banyak beraneka ragam, karena komputer saat ini sudah terhubung dengan internet yang semakin berkembang dan penggunanya semakin banyak. Alasan mengapa anacaman keamanan komputer banyak terjadi melalui internet, antara lain :

1.       Internet user

Dikarenakan usernya semakin banyak dan karakteristik usernya yang beragam sehingga mengundang ancaman, serangan, atau kejahatan datang. Macam-macam karakteristik user internet, yaitu :  

·         Usernya tidak mau peduli

·         User yang sengaja mau diganggu

·         User tidak tau bahwa dirinya tidak aman

·         Dan lain-lain

2.       Transaction value

Dikarenakan nilai transaksi yang semakin besar dan relatif mahal sehingga mengundang ancaman, serangan, atau kejahatan datang.

3.       Interaction frequency

Dikarenakan banyaknya interaksi atau komunikasi yang biasa terjadi dengan menggunakan komputer melalui internet.  

4.       Community spectrum

Dikarenakan banyak memiliki komunitas yang dibentuk dari internet.

5.       Usage objectives

Dikarenakan internet digunakan dalam berbagai macam tujuan, seperti pengiriman data nasabah beserta data tabungannya, untuk pertukaran data perusahaan.  

 Contoh ancaman-ancaman yang biasa terjadi dari internet sebagai berikut :

·         Kita mendownload aplikasi-aplikasi gratis dari internet, kadang didalamnya terdapat sejumlah virus yang dapat membuat komputer kita menjadi lambat bekerja atau bahkan membuat komputer menjadi heng.

·         Kita masuk kedalam website perbankan yang palsu tetapi mirip-mirip dengan yang aslinya, kemudian kita memasukkan user name dan password internet banking kita sehingga dapat terbaca oleh pemilik situs yang  bukan asli perbankan, sehingga user name dan password kita diambil dan disalah gunakan oleh orang tersebut. Seperti  pada kasus website klikbca.com

Selain dari internet ancaman keamanan sistem komputer juga bisa oleh kesalahan si pengguna. Contoh yang sering terjadi sebagai berikut :

·         Dengan mencolok flaskdisk ke komputer lalu kita tidak memeriksa atau menscan apakah mempunyai virus atau nggak, tetapi kita langsung mengcopy data yang ada di flaskdisk ke komputer kita lalu membawa virus masuk ke komputer kita.

·         Anti virus yang kita pasang dalam komputer kita tidak pernah diupdate atau settingnya diatur sembarangan sehingga anti virus tidak bekerja secara efektif untuk mencegah virus masuk kedalam komputer.

Adapun 4 jenis domain kerawanan dan potensi serangan :

1.       Operating System attacks

Contoh kerawanan dan serangan yang dapat terjadi pada sistem operasi yaitu :

·         Sistem operasi yang digunakan perusahaan belum diuji keamanan secara keseluruhan sehingga menimbulkan lubang kerawanan yang dapat ditembusi oleh hacker jika terhubung dengan internet.  

·         Kita menginstal aplikasi windows pada mode “standar” sehingga keamanan sistem operasi tidak terjamin.

·         Kita menggunakan sistem operasi yang dapat dimasuki sejumlah virus, contohnya windows.

2.       Application-Level attacks

Contoh kerawanan dan serangan yang dapat terjadi pada sistem operasi yaitu :

·         Programmer yang bekerja secara cepat dalam membuat program sehingga dapat menimbulkan titik kerawanan pada sistem aplikasi akibat kecerobohan.

·         Programmer dalam membangun program menggunakan modul-modul program yang sudah jadi dan tidak ditest keamanan, sehingga menimbulkan kerawanan lagi.

3.       Shrink Wrap Code attacks

·         Programmer dalam membangun program menggunakan program yang sudah ada tetapi tidak memperhatikan keamanannya lalu sisa menambahkan modul-modul baru yang mungkin dapat bentrok dengan yang lain.  

4.       Misconfiguration attacks

·         Pengguna mengambil yang mudahnya saja, langsung menginstal  sistem secara standar dan mengatur sistemnya sembarang sehingga kerawanan muncul.

·         Pengguna mensetting program seperti anti virus secara sembarangan akibat kebodohan pengguna.  Contohnya mematikan anti virus, mematikan firewall dan lain-lain.

ASPEK TEKNIS, BISNIS, DAN SOSIAL DALAM KEAMANAN INTERNET

Menurut Richardus Eko Indrajit “Aspek teknis merupakan pendekatan karena menimbang bahwa pada tataran infrastruktur, internet tidak lain terbentuk dari gabungan sejumlah komponen teknis seperti komputer, router, hub, modem, database, aplikasi, printer, website, firewalls,dll yang membentuk sebuah jejaring raksasa, dimana secara bebas data dan informasi dapat dipertukarkan untuk beragam keputusan .

Aspek bisnis melihat internet sebagai suatu medium atau alat atau sarana berbagai pemangku kepentingan dalam usahanya untuk melakukan kegiatan pertukaran barang dan jasa.

Aspek sosial menekankan bahwa walau bagaimanapun juga, yang berinteraksi dalam internet adalah manusia – bukan robot atau mesin, sehingga harus diperhatikan pula aspek psikologis dan perilaku mereka sebagai individu yang berakal budi”.

Referensi :

1.       E-book Meneropong Isu Keamanan Internet oleh Richardus Eko Indrajit

2.       E-book Empat Domain Kerawanan Sistem  oleh Richardus Eko Indrajit

Keamanan Sistem Informasi

Pengertian keamanan sistem informasi adalah menjaga atau melindungi sistem dari ancaman yang datang dari luar seperti virus, spam, spyware,dan hacker.

Dikutip dari http://csepti.blogspot.com  mengatakan bahwa “Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah  penipuan (cheating)  atau,  paling  tidak,  mendeteksi  adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.

Selain itu keamanan sistem informasi bisa diartikan sebagai  kebijakan,   prosedur,   dan   pengukuran   teknis   yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian,  atau  kerusakan  fisik  terhadap  sistem  informasi.  Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan    teknik-teknik    dan    peralatan-peralatan    untuk mengamankan   perangkat   keras   dan   lunak   komputer,   jaringan komunikasi, dan data.”

Salah satu contoh yang dapat ditimbulkan akibat keamanan sistem informasi yang kurang memadai yang dikutip dari http://csepti.blogspot.com, yaitu :

“  Hitung kerugian apabila sistem informasi anda tidak bekerja selama 1jam, selama  1 hari,  1 minggu, dan  1 bulan.  (Sebagai perbandingkan, bayangkan jika server Amazon.com tidak dapat diakses selama beberapa hari. Setiap harinya dia dapat menderita kerugian beberapa juta dolar.)”

Keamanan sistem meliputi 3 jenis :

1.       Confidentiality = Kerahasiaan data atau Duplikasi data. Ancaman yang dapat menyerang kerahasiaan data, seperti :

·         Unauthorized disclosure and theft, yaitu data yang ada dalam sistem komputer diculik oleh hacker untuk diumumkan, dibocorkan atau diperjual belikan ke pihak lain.

·         Unauthorized use, yaitu data yang ada dalam sistem komputer diculik oleh hacker untuk kepentingan pribadi.

2.       Availability = ketersediaan data dalam sistem jika dibutuhkan sewaktu - waktu. Ancaman yang dapat menyerang kerahasiaan data, seperti  :

·         Unauthorized destruction and denial of service, yaitu data yang ada dalam sistem komputer dirusak oleh hacker sehingga datanya hilang atau rusak. Ataupun dengan cara lain sistemnya dirusak oleh hacker dengan memasukkan virus sehingga komputer bekerja menjadi lama sampai komputer error atau heng. Atau menyerang secara fisik, yaitu dengan membakar hard disk sistem komputer.

3.       Integrity = data yang ada dalam sistem komputer benar-benar asli tidak diubah-ubah oleh seseorang secara tidak sah. Ancaman yang dapat menyerang kerahasiaan data, seperti :

·         Unauthorized modification, yaitu data yang ada dalam sistem komputer dapat diubah oleh hacker. Contoh seperti berikut : awalnya saya mempunyai uang senilai 10.000 rupiah lalu saya menyusup kesistem komputer dan merubah data tabungan saya dengan menambah beberapa nol, misalnya 000. Kemudian bank mendapatkan kerugian akibat perubahan data tersebut, yaitu sebesar 9.990.000.

Menurut http://lina-embun.blogspot.com, ada kriteria yag perlu di perhatikan dalam masalah keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :

1.       Akses kontrol sistem yang digunakan

2.       Telekomunikasi dan jaringan yang dipakai

3.       Manajemen praktis yang di pakai

4.       Pengembangan sistem aplikasi yang digunakan

5.       Cryptographs yang diterapkan

6.       Arsitektur dari sistem informasi yang diterapkan

7.       Pengoperasian yang ada

8.       Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)

9.       Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan

10.   Tata letak fisik dari sistem yang ada

Ada 3 aspek keamanan yaitu :

1.       Technology (Technical Aspect) : aspek keamanan ini dapat menyerang availability atau ketersediaan data dalam sistem dengan mengirimkan virus kedalam sistem komputer yang dapat merusak atau menghilangkan data-data yang ada dalam sistem komputer.

2.       People (Social Aspect) : aspek keamanan ini dapat menyerang confidentiality atau kerahasiaan data dalam sistem dengan membeberkan data-data penting dan rahasia kita ke pihak lain dengan cara masuk tanpa izin ke dalam sistem oleh pihak luar, kemudian data tersebut dijual ke para pesaing kita atau digunakan secara pribadi.

3.       Context / Content Applications (Business Aspects) : aspek keamanan ini dapat menyerang integrity atau kebenaran data dalam sistem dengan bekerja sama dengan pihak dalam untuk melakukan perubahan data seenak-enaknya yang dapat merugikan perusahaan dan dapat membantu menguntungkan pihak lain.

Klasifikasi keamanan sistem informasi ada 3 macam :

1.       Secrecy yaitu perlindungan terhadap terjadinya kebocoran data, dan menjamin keaslian data tersebut dari ancaman pembocoran data-data rahasia yang kita miliki oleh pihak lain.

2.       Integrity yaitu pencegahan terhadap terjadinya perubahan yang tidak sah terhadap data dari ancaman perubahan data oleh pihak lain yang tidak sah.

3.       Necessity yaitu pencegahan terhadap terjadinya keterlambatan memproses data atau kegagalan dalam pemberian pelayanan yang di butuhkan oleh pengguna sistem dari ancaman masuknya sejumlah virus.

 Sumber :

• http://lina-embun.blogspot.com/2011/12/keamanan-sistem-informasi.html
• http://csepti.blogspot.com/2012/01/keamanan-sistem-informasi.html