cara menghilangkan internet positif

Jika pada saat kita searching di internet lalu membuka salah satu situs dan ternyatu situs tersebut tidak bisa dibuka karena di blok atau keluar internet positif tentu hal tersebut sangat menjengkelkelkan. Ada beberapa penyebab kenapa situs tersebut keluar peringatan internet positif saat kita buka, penyebab keluar internet positif antara lain adalah situs tersebut mengandung konten porno grafi/aksi, judi online, atau situs tersebut tidak mengandung dua hal yang tadi, tapi iklan yang ada dalam situs itu terditeksi mengandung unsur yang tadi disebutkan makanya keluar internet positif.

Jika kamu dihadapkan pada permasalahan diatas, yaitu situs yang ingin kamu buka keluar peringatan

internet positif maka kamu tidak perlu khawatir, pada kesempatan ini kita akan membahas bagaimana
cara membuka situs yang ada tanda internet positif-nya.

1 dari 2: Cara Membuka Internet Positif Dengan Add-ons AnonymoX Di Mozila Firefox

1. Buka Mozilla Firefox Kamu
2. Setelah itu klik Tools lalu pilih Add-ons, atau tekan Ctrl+Shift+A supaya cepat
3. Setelah halaman add-ons terbuka cari "AnonymoX" di kotak pencarian, Kemudian klik "Install"
   
   
4. Jika proses Install-nya sudah selesai, pasti akan ada tulisan "Restart Now" seperti gambar di bawah:
   
   
5. Terakhir silahkan klik "Restart"

Jika berhasil pasti ada tanda seperti huruf X di mozila kamu, lihat gambar:

Gambar dibawah ini adalah salah satu situs yang sebelumnya di block oleh Internet Positif, dan setelah saya pasang Add-ons Anonymox, saya coba tes buka ternyata langsung bisa dibuka

Supa lebih jelas, silahkan lihat videonya dibawah tulisan ini.

2 dari 2: Cara Membobol Internet Positif Dengan Google Chrome

Untuk bisa membuka situs yang di blok  Internet Positif di browser Google Chrome  yaitu dengan cara mengganti Proxy yang ada pada Google Chrome. Caranya seperti berikut:
1. Buka Google Chrome kamu
2. Klik  "Setting" yang ada di pojok kanan atas Google Chrome kamu

3. Setelah itu klik  "Show Advanced Settings"
4. Lalu pilih "Network" >> "Change Proxy Settings"

5. Jika sudah pasti keluar pop-up LAN, lalu klik "LAN Setting"

6. Kemudian centang "Use a proxy server for your LAN" dan "Bypass proxy server"

7. Setelah itu buka freeproxylists.net untuk mencari Proxy gratis dan di isi pada kolom "Address" dan "Port"

8. Dari list Proxy tersebut silahkan pilih salah satu, terserah kamu mau yang mana
9. Lalu masukkan IP Address di kolom "Address" dan Port di kolom "Port" kamu

Sampai di langkah 9  kamu sudah berhasil dan bisa membuka situs yang di blok oleh Internet Positif.

Selain cara diatas ada cara yang lebih mudah untuk membuka internet positif di Google Chrome. Caranya adalah:
Pertama buka alamat www.unblock-proxy.com 

Lalu masukkan alamat url situs yang terkena internet positif kemudian klik "Go". Situs yang terblokir langsung bisa di buka. 
Supaya lebih jelas, Tonton saja videonya di bawah ini. atau (Lihat langsung di youtube)


Source: http://mbo-cybercity.blogspot.co.id/2015/06/Cara-Membuka-Internet-Positif-Di-Mozilla-dan-Google-Chrome.html#ixzz47fXT3CTJ

SETTING DASAR HOTSPOT MIKROTIK

Setting Dasar Hotspot Mikrotik

Kategori: Fitur & Penggunaan

Router Mikrotik memiliki banyak fitur, salah satu fitur yang cukup populer dan banyak digunakan adalah Hotspot. Kita sering menemukan sinyal internet wifi yang di password. Jadi jika ingin mengakses wifi tersebut harus tahu password-nya terlebih dahulu. Namun berbeda dengan Hotspot, kebanyakan wifi hotspot tidak di password dan semua user bisa connectdan akan diarahkan ke halaman login di Web Browser. Tiap user bisa login dengan username dan password yang berbeda-beda. Metode semacam inilah yang sering kita temukan di Kampus, wifi Cafe, Sekolah, Kantor, maupun area publik lainnya.

Sebenarnya hotspot tidak hanya bisa diaplikasikan untuk jaringan wireless saja, namun juga bisa untuk jaringan kabel. Kelebihan Hotspot adalah kita dapat mengkonfigurasi jaringan yang hanya bisa digunakan dengan username dan password tertentu. Kita juga dapat melakukan manajemen terhadap user-user tersebut. Misalnya, mengatur durasi total penggunaan hotspot per user, membatasi berapa besar data yang dapat di download tiap user, mengatur konten apa saja yang boleh diakses user, dll.

Hotspot merupakan fitur gabungan dari berbagai service yang ada di Mikrotik, antara lain :

• DHCP server, digunakan untuk memberi layanan IP otomatis ke user
• Firewall NAT, untuk mentranslasi IP user ke IP yang bisa dikenali ke internet
• Firewall filter, untuk memblock user yang belum melakukan login
• Proxy, untuk memberikan tampilan halaman login 
• dan sebagainya

Tetapi beruntungnya, service-service tersebut tidak perlu kita buat secara manual. Bagaimana langkahnya, bisa dijabarkan sebagai berikut :

Buka di menu IP > Hotspot > Hotspot Setup.

Dengan menekan tombol Hotspot Setup, wizard Hotspot akan menuntun kita untuk melakukan setting dengan menampilkan kotak-kotak dialog pada setiap langkah nya.

 

Langkah pertama, kita diminta untuk menentukan interface mana Hotspot akan diaktifkan. Pada kasus kali ini, Hotspot diaktifkan pada wlan1, dimana wlan1 sudah kita set sebagai access point (ap-bridge). Selanjutnya klik Next.

 

Jika di interface wlan1 sudah terdapat IP, maka pada langkah kedua ini, secara otomatis terisi IP Address yang ada di wlan1. Tetapi jika belum terpasang IP, maka kita bisa menentukan IP nya di langkah ini. Kemudian Klik Next. 

 

Langkah ketiga, tentukan range IP Address yang akan diberikan ke user (DHCP Server). Secara default, router otomatis memberikan range IP sesuai dengan prefix/subnet IP yang ada di interface. Tetapi kita bisa merubahnya jika dibutuhkan. Lalu klik Next.

 

Langkah selanjutnya, menentukan SSL Certificate jika kita akan menggunakan HTTPS untuk halaman loginnya. Tetapi jika kita tidak memiliki sertifikat SSL, kita pilihl none, kemudian klik Next

Jika diperlukan SMTP Server khusus untuk server hotspot bisa ditentukan, sehingga setiap request SMTP client diredirect ke SMTP yang kita tentukan. Karena tidak disediakan smtp server, IP 0.0.0.0 kami biarkan default. Kemudian klik Next.

Di langkah ini, kita meentukan alamat DNS Server. Anda bisa isi dengan DNS yang diberikan oleh ISP atau dengan open DNS. Sebagai contoh, kita menggunakan DNS Server Google. Lalu klik Next.

 

Selanjutnya kita diminta memasukkan nama DNS untuk local hotspot server. Jika diisikan, nantinya setiap user yang belum melakukan login dan akan akses ke internet, maka browser akan dibelokkan ke halaman login ini. Disini DNS name sebaiknya menggunakan format FQDN yang benar. Jika tidak diisikan maka di halaman login akan menggunakan url IP address dari wlan1. Pada kasus ini, nama DNS-nya diisi "hotspot.mikrotik.co.id". Lalu klik Next.

 

Langkah terakhir, tentukan username dan pasword untuk login ke jaringan hotspot Anda. Ini adalah username yang akan kita gunakan untuk mencoba jaringan hotspot kita.
Sampai pada langkah ini, jika di klik Next maka akan muncul pesan yang menyatakan bahwa setting Hotspot telah selesai.

 

Selanjutnya kita akan mencoba mengkoneksikan laptop ke wifi hotspot yang sudah kita buat. Kemudian buka browser dan akses web sembarang (pastikan Anda mengakses web yang menggunakan protokol http, karena hotspot mikrotik belum mendukung untuk redirect web yang menggunakan https), maka Anda akan dialihkan ke halaman login hotspot seperti pada gambar berikut ini:

Untuk mencobanya, silahkan coba login dengan username dan password yang telah Anda buat pada langkah sebelumnya. Jika berhasil login maka akan membuka halaman web yang diminta dan membuka popup halaman status Hotspot. 

KEAMANAN INFORMASI

1. A.    Pendahuluan

Masalah keamanan merupakan   salah satu aspek penting dari sebuah sistem informasi.Sayang sekali masalah keamanan ini seringkali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi.Seringkali masalah keamanan berada di urutan kedua, atau bahkan diurutan terakhir dalam daftar hal-hal yang dianggap penting.Apa bila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.

Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual.Hal ini dimungkinkan dengan perkembangan  pesat di bidang teknologi komputer dan telekomunikasi.

Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan  hanya  boleh  diakses  oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat  menimbulkan  kerugian  bagi  pemilik  informasi. Sebagai  contoh, banyak  informasi  dalam  sebuah  perusahaan  yang  hanya  diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya  informasi  tentang  produk  yang  sedang  dalam  development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.

A.1 Pengertian Keamanan Sistem Informasi

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah  penipuan (cheating)  atau,  paling  tidak,  mendeteksi  adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.

Selain itu keamanan sistem informasi bisa diartikan sebagai  kebijakan,   prosedur,   dan   pengukuran   teknis   yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian,  atau  kerusakan  fisik  terhadap  sistem  informasi.  Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan    teknik-teknik    dan    peralatan-peralatan    untuk mengamankan   perangkat   keras   dan   lunak   komputer,   jaringan komunikasi, dan data.

A.2 Pentingnya Keamanan Sistem Informasi

Seringkali  sulit  untuk  membujuk  management  perusahaan  atau  pemilik sistem informasi untuk melakukan investasi di bidang keamanan. Di tahun 1997 majalah Information Week melakukan survey terhadap 1271 sistem atau network manager di Amerika Serikat. Hanya 22% yang menganggap keamanan sistem informasi sebagai komponen sangat penting (“extremely important”). Mereka lebih mementingkan “reducing cost” dan “improving competitiveness”  meskipun  perbaikan  sistem  informasi  setelah  dirusak justru dapat menelan biaya yang lebih banyak. Meskipun sering terlihat sebagai besaran yang tidak dapat langsung diukur dengan uang  (intangible), keamanan sebuah sistem informasi sebetulnya dapat diukur dengan besaran yang dapat diukur dengan uang  (tangible). Dengan adanya ukuran yang terlihat, mudah-mudahan pihak management dapat mengerti pentingnya investasi di bidang keamanan.

1. B.    Keamanan Informasi

Keamanan informasi menggambarkan usaha untuk melindungi komputer dan non peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh orang yang tidak bertanggungjawab.Keamanan informasi dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan integritas di dalam sumber daya informasi dalam suatu perusahaan.Masalah keamanan informasi merupakan salah satu aspek penting dari sebuah sistem informasi.Akan tetapi, masalah keamanan ini kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi.Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”.Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat essensial bagi suatu organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi).Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi.

Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi.  Jaringan komputer seperti LAN(Local Area Network) dan internet, memungkinkan untuk menyediakan informasi secara cepat.Hal ini menjadi salah satu alasan perusahaan mulai berbondong-bondong membuat LAN untuk sistem informasinya dan menghubungkan LAN tersebut ke Internet.Terhubungnya komputer ke internet membuka potensi adanya lubang keamanan(security hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik.

Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama yaitu:

1. 1.    Kerahasiaan

Melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang tidak berhak. Inti utama dari aspek kerahasiaan adalah usaha untuk menjaga informasi dari orang-orang yang tidak berhak mengakses.Privacy lebih kearah data-data yang sifatnya privat.Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy adalah dengan menggunakan teknologi kriptografi.Kriptografi adalah ilmu yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanan informasi seperti keabsahan, integritas data, serta autentikasi data.

1. Ketersediaan

Aspek ini berhubungan dengan  metode untuk menyatakan bahwa informasi benar-benar asli, atau orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud. Masalah pertama untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi watermarking dan digital signature.Watermarking juga dapat digunakan untuk menjaga intelektual property, yaitu dengan menandatangani dokumen atau hasil karya pembuat. Masalah kedua biasanya berhubungan dengan akses control, yaitu berkaitan dengan pembatasan orang-orang yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bahwa memang dia adalah pengguna yang sah atau yang berhak menggunakannya.

1. 3.    Integritas

Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa izin. Sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan.

1. C.      Ancaman Virus

Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus.Virus adalah sebuah program komputer  yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem informasi merupakan serangan yang dapat muncul pada sistem yang digunakan. Serangan dapat diartikan sebagai “tindakan yang dilakukan denganmenggunakan metode dan teknik tertentu dengan berbagai tools yang diperlukansesuai dengan kebutuhan yang disesuaikan dengan objek serangan tertentu baikmenggunakan serangan terarah maupun acak“. Serangan yang terjadi terhadapsebuah sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration.Dalam materi keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin canggih dan sangat sulit di prediksi dan dideteksi.Beberapa contoh serangan yang dapat mengancam sebuah sistem adalah sebagai berikut :

• Virus

Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun 1980-an, virus berkembang pesat seiring dengan pesatnya perkembangan teknologi komputer. Virus selalu menemukan dan menyesuaikan diri untuk menyebarkan dirinya dengan berbagai macam cara. Pada dasarnya, virus merupakan program komputer yang bersifat “malicious” (memiliki tujuan merugikan maupun bersifat mengganggu pengguna sistem) yang dapat menginfeksi satu atau lebih sistem komputer melalui berbagai cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user” sebagai pengguna komputer. Kerusakan yang dapat ditimbulkan pun bermacam-macam mulai dari yang mengesalkan sampai kepada jenis kerusakan yang bersifat merugikan dalam hal finansial. Dilihat dari cara kerjanya, virus dapat dikelompokkan sebagai berikut:

ü  Overwriting Virus – merupakan penggalan program yang dibuat sedemikian rupa untuk menggantikan program utama (baca: host) dari sebuah program besar sehingga dapat menjalankan perintah yang tidak semestinya.

ü  Prepending Virus – merupakan tambahan program yang disisipkan pada bagian awal dari program utama atau “host” sehingga pada saat dieksekusi, program virus akan dijalankan terlebih dahulu sebelum program yang sebenarnya dijalankan.

ü  Appending Virus – merupakan program tambahan yang disisipkan pada bagian akhir dari program (host) sehingga akan dijalankan setelah program sebenarnya tereksekusi.

ü  File Infector Virus – merupakan penggalan program yang mampu memiliki kemampuan untuk melekatkan diri (baca: attached) pada sebuah file lain, yang biasanya merupakan file “executable”, sehingga sistem yang menjalankan file tersebut akan langsung terinfeksi.

ü  Boot Sector Virus – merupakan program yang bekerja memodifikasi program yang berada di dalam boot sector pada cakram penyimpan (baca: disc) atau disket yang telah diformat. Pada umumnya, sebuah boot sector virus akan terlebih dahulu mengeksekusi dirinya sendiri sebelum proses “boot-up” pada komputer terjadi, sehingga seluruh “floppy disk” yang digunakan pada komputer tersebut akan terjangkiti pula, hal ini sering terjadi pada USB Flashdisk.

ü  Multipartite Virus – merupakan kombinasi dari Infector Virus dan Boot Sector Virus dalam arti kata ketika sebuah file yang terinfeksi oleh virus jenis ini dieksekusi, maka virus akan menjangkiti boot sector dari hard disk atau partition sector dari computer tersebut, dan sebaliknya.

ü  Macro Virus - menjangkiti program “macro” dari sebuah file data atau dokumen (yang biasanya digunakan untuk “global setting” seperti pada template Microsoft Word) sehingga dokumen berikutnya yang diedit oleh program aplikasi tersebut akan terinfeksi pula oleh penggalan program macro yang telah terinfeksi sebelumnya.

Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah disebabkan oleh campur tangan pengguna. Campur tangan yang dimaksud misalnya dilakukan melalui penekanan tombol pada keyboard, penekanan tombol pada mouse, penggunaan USB pada komputer, pengiriman file via email, dan lain sebagainya. (Richardus eko indrajit : seri artikel “aneka serangan didunia maya ).

• Worms

Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah “virus” merupakan program malicious yang dirancang terutama untuk menginfeksi komputer yang berada dalam sebuah sistem jaringan. Walaupun sama-sama sebagai sebuah penggalan program, perbedaan prinsip yang membedakan worms dengan virus adalah bahwa penyebaran worm tidak tergantung pada campur tangan manusia atau pengguna. Worms merupakan program yang dibangun dengan algoritma tertentu sehingga mampu untuk mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa melalui bantuan maupun keterlibatan pengguna. Pada mulanya worms diciptakan dengan tujuan untuk mematikan sebuah sistem atau jaringan komputer. Namun belakangan ini telah tercipta worms yang mampu menimbulkan kerusakan luar biasa pada sebuah sistem maupun jaringan komputer, seperti merusak file-file penting dalam sistem operasi, menghapus data pada hard disk, menghentikan aktivitas komputer , dan hal-hal destruktif lainnya. Karena karakteristiknya yang tidak melibatkan manusia, maka jika sudah menyebar sangat sulit untuk mengontrol atau mengendalikannya. Usaha penanganan yang salah justru akan membuat pergerakan worms menjadi semakin liar tak terkendali untuk itulah dipergunakan penanganan khusus dalam menghadapinya.

• Trojan Horse

Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang digunakan untuk merebut kota Troy yang dikelilingi benteng yang kuat. Pihak penyerang membuat sebuah patung kuda raksasa yang di dalamnya memuat beberapa prajurit yang nantinya ketika sudah berada di dalam wilayah benteng akan keluar untuk melakukan peretasan dari dalam. Ide ini mengilhami sejumlah hacker dan cracker dalam membuat virus atau worms yang cara kerjanya mirip dengan fenomena taktik perang ini, mengingat banyaknya antivirus yang bermunculan maka mereka menciptakan sesuatu yang tidak dapat terdeteksi oleh antivirus.

Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis Trojan Horse, antara lain:

ü  Remote Access Trojan - kerugian yang ditimbulkan adalah komputer korban dapat diakses menggunakan remote program.

ü  Password Sending Trojan - kerugian yang ditimbulkan adalah password yang diketik oleh komputer korban akan dikirimkan melalui email tanpa sepengetahuan dari korban serangan.

ü  Keylogger - kerugian yang ditimbulkan adalah ketikan atau input melalui keyboard akan dicatat dan dikirimkan via email kepada hacker yang memasang keylogger.

ü  Destructive Trojan – kerugian yang ditimbulkan adalah file-file yang terhapus atau hard disk yang diformat oleh Trojan jenis ini.

ü  FTP Trojan – kerugian yang terjadi adalah dibukanya port 21 dalam sistem komputer tempat dilakukannya download dan upload file.

ü  Software Detection Killer – kerugiannya dapat mencium adanya programprogram keamanan seperti zone alarm, anti-virus, dan aplikasi keamanan lainnya.

ü  Proxy Trojan – kerugian yang ditimbulkan adalah di-“settingnya” komputer korban menjadi “proxy server” agar digunakan untuk melakukan “anonymous telnet”, sehingga dimungkinkan dilakukan aktivitas belanja online dengan kartu kredit curian dimana yang terlacak nantinya adalah komputer korban, bukan komputer pelaku kejahatan.

D.  Ancaman Keamanan Sistem Informasi

Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi.Pada kenyataannya ancaman dapat bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan. Ancaman juga dapat terjadi secara sengaja ataupun tidak sengaja..Ancaman selama ini hanya banyak di bahas dikalangan akademis saja.Tidak banyak masyarakat yang mengerti tentang ancaman bagi keamanan sistem informasi mereka. Masyarakat hanya mengenal kejahatan teknologi dan dunia maya hanya apabila sudah terjadi “serangan“ atau “attack”. Sebuah hal yang perlu disosialisasikan dalam pembahasan tentang keamanan sistem terhadap masyarakat adalah mengenalkan “ancaman” kemudian baru mengenalkan ‘serangan’ kepada masyarakat. Perlu di ketahui bahwa serangan dimulai dengan ancaman, dan tidak akan ada serangan sebelum adanya ancaman. Serangan dapat diminimalisir apabila ancaman sudah diprediksi dan dipersiapkan antisipasi sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui metode -metode penilaian resiko dari sebuah ancaman. Ada beberapa metode yang digunakan dalam mengklasifikasikan ancaman, salah satunya adalah Stride Method ( metode stride ) . STRIDE merupakan singkatan dari:

• Spoofing

Menggunakan hak akses / Mengakses sistem dengan menggunakan identitas orang lain .

• Tampering

Tanpa mempunyai hak akses namun dapat mengubah data yang ada didalam database.

• Repudiation

Membuat sebuah sistem atau database dengan sengaja salah, atau sengaja menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi sehingga dapat digunakan untuk mengakses sistem pada suatu saat.

• Information disclosure

Membuka atau membaca sebuah informasi tanpa memiliki hak akses atau membaca sesuatu tanpa mempunyai hak otorisasi.

• Denial of service

Membuat sebuah sistem tidak bekerja atau tidak dapat digunakan oleh orang lain.

• Elevation of priviledge

Menyalahgunakan wewenang yang dimiliki untuk mengakses sebuah sistemuntuk kepentingan pribadi.

Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila seseorang diketahui membawa senjata tajam kemanapun dia pergi maka dapat dikatakan orang tersebut dapat merupakan ancaman bagi orang lain. Hal lain didunia nyata adalah pada saat diketahui seseorang membawa kunci T di sakunya maka dapat disimpulkan orang tersebut adalah merupakan ancaman bagi orang lain yang membawa kendaraan bermotor. Didalam dunia keamanan sistem atau dunia teknologi informasi seseorang dapat dikatakan berpotensi sebagai ancaman apabila memiliki hal sebagai berikut:

a)      Kewenangan tinggi untuk login kedalam sebuah sistem.

b)      Memiliki hak akses ( password ) seseorang yang dia ketahui dari berbagai sumber.

c)      Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian dibidang itu.

d)     Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem tersebut.

E.  Pengamanan Sistem Informasi

Pada umunya, pengamanan dapat dikategorikan menjadi dua jenis:pencegahan (preventif) dan pengobatan (recovery). Usaha pencegahandilakukan agar sistem informasi tidak memiliki lubang keamanan,sementara usaha-usaha pengobatan dilakukan apabila lubangkeamanan sudah dieksploitasi.Pengamanan sistem informasi dapat dilakukan melalui beberapalayer yang berbeda.Misalnya di layer “transport”, dapat digunakan“Secure Socket Layer” (SSL).Metoda ini misalnya umum digunakanuntuk Web Site. Secara fisik, sistem anda dapat juga diamankan dengan menggunakan “firewall” yang memisahkan sistem andadengan Internet. Penggunaan teknik enkripsi dapat dilakukan ditingkat aplikasi sehingga data-data anda atau e-mail anda tidakdapat dibaca oleh orang yang tidak berhak.

1. Mengatur akses (Access Control)

Salah satu cara yang umum digunakan untuk mengamankaninformasi adalah dengan mengatur akses ke informasi melaluimekanisme “access control”. Implementasi dari mekanisme ini antaralain dengan menggunakan “password”.Di sistem UNIX, untuk menggunakan sebuah sistem atau komputer,pemakai diharuskan melalui proses authentication denganmenuliskan “userid” dan “password”. Informasi yang diberikan ini

dibandingkan dengan userid dan password yang berada di sistem.Apabila keduanya valid, pemakai yang bersangkutan diperbolehkanmenggunakan sistem.Apabila ada yang salah, pemakai tidak dapatmenggunakan sistem. Informasi tentang kesalahan ini biasanyadicatat dalam berkas log. Besarnya informasi yang dicatatbergantung kepada konfigurasi dari sistem setempat.Misalnya, adayang menuliskan informasi apabila pemakai memasukkanuseriddan password yang salah sebanyak tiga kali. Ada juga yang langsungmenuliskan informasi ke dalam berkas log meskipun baru satu kalisalah. Informasi tentang waktu kejadian juga dicatat.Selain itu asal hubungan (connection) juga dicatat sehingga administrator dapatmemeriksa keabsahan hubungan.

1. Memilih password

Dengan adanya kemungkinan password ditebak, misalnya denganmenggunakan program password cracker, maka memilih passwordmemerlukan perhatian khusus.Berikut ini adalah daftar hal-hal yang sebaiknya tidak digunakan sebagai password.

• Nama anda, nama istri / suami anda, nama anak, ataupun nama

  kawan.

•   Nama komputer yang anda gunakan.

•   Nomor telepon atau plat nomor kendaran anda.

•   Tanggal lahir.

•   Alamat rumah.

• Nama tempat yang terkenal.

•   Kata-kata yang terdapat dalam kamus (bahasa Indonesia maupun bahasa Inggris)

• Hal-hal di atas ditambah satu angka
• Password dengan karakter yang sama diulang-ulang.

1. Memasang Proteksi

Untuk lebih meningkatkan keamanan sistem informasi, proteksidapat ditambahkan. Proteksi ini dapat berupa filter (secara umum)dan yang lebih spesifik adalah firewall. Filter dapat digunakanuntuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet. Sebagai contoh, di sistem UNIX ada paket program“tcpwrapper” yang dapat digunakan untuk membatasi akses kepadaservis atau aplikasi tertentu. Misalnya, servis untuk “telnet” dapatdibatasi untuk untuk sistem yang memiliki nomor IP tertentu, atau memiliki domain tertentu. Sementara firewall dapat digunakanuntuk melakukan filter secara umum.Untuk mengetahui apakah server anda menggunakan tcpwrapperatau tidak, periksa isi berkas /etc/inetd.conf.Biasanya tcpwrapperdirakit menjadi “tcpd”.Apabila servis di server anda (misalnyatelnet atau ftp) dijalankan melalui tcpd, maka server andamenggunakan tcpwrapper.Biasanya, konfigurasitcpwrapper (tcpd)diletakkan di berkas /etc/hosts.allow dan /etc/hosts.deny.

1. Firewall

Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal (Lihat Figure 4.1 on page 55).Informasi yang keluar atau masuk harus melalui firewall ini.Tujuan utama dari firewall adalah untuk menjaga (prevent) agarakses (ke dalam maupun ke luar) dari orang yang tidak berwenang(unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewallbergantung kepada kebijaksanaan (policy) dari organisasi yangbersangkutan, yang dapat dibagi menjadi dua jenis:

•      apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted)

•      apa-apa yang tidak dilarang secara eksplisit dianggapdiperbolehkan (permitted)

       Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan konfigurasi dari firewall makaakses dapat diatur berdasarkan IP address, port, dan arah informasi.Detail dari konfigurasi bergantung kepada masing-masing firewall.Firewall dapat berupa sebuah perangkat keras yang sudahdilengkapi dengan perangkat lunak tertentu, sehingga pemakai(administrator) tinggal melakukan konfigurasi dari firewall tersebut.Firewall juga dapat berupa perangkat lunak yang ditambahkankepada sebuah server (baik UNIX maupun Windows NT), yangdikonfigurasi menjadi firewall.Dalam hal ini, sebetulnya perangkatkomputer dengan prosesor Intel 80486 sudah cukup untuk menjadifirewall yang sederhana.

Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering danfungsi proxy. Keduanya dapat dilakukan pada sebuah perangkatkomputer (device) atau dilakukan secara terpisah.Beberapa perangkat lunak berbasis UNIX yang dapat digunakanuntuk melakukan IP filtering antara lain:

• ipfwadm: merupakan standar dari sistem Linux yang dapatdiaktifkan

pada level kernel

• ipchains: versi baru dari Linux kernel packet filtering yangdiharapkan

dapat menggantikan fungsi ipfwadm

Fungsi proxy dapat dilakukan oleh berbagai software tergantungkepada jenis proxy yang dibutuhkan, misalnya web proxy, rloginproxy, ftp proxy dan seterusnya. Di sisi client sering kalaidibutuhkan software tertentu agar dapat menggunakan proxyserver ini, seperti misalnya dengan menggunakan SOCKS. Beberapaperangkat lunak berbasis UNIX untuk proxy antara lain:

• Socks: proxy server oleh NEC Network Systems Labs

• Squid: web proxy server

Informasi mengenai firewall secara lebih lengkap dapat dibaca padareferensi [19, 24] atau untuk sistem Linux dapat dilakukan denganmengunjungi web site berikut: <http://www.gnatbox.com>.

1. Pemantau adanya serangan

Sistem pemantau (monitoring system) digunakan untuk mengetahuiadanya tamu tak diundang (intruder) atau adanya serangan (attack).Nama lain dari sistem ini adalah “intruder detection system” (IDS).Sistem ini dapat memberitahu administrator melalui e-mail maupunmelalui mekanisme lain seperti melalui pager.Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya denganmemonitor logfile. Contoh software IDS antara lain:

• Autobuse, mendeteksi probing dengan memonitor logfile.

• Courtney, mendeteksi probing dengan memonitor packet yang lalu

  lalang

• Shadow dari SANS

1. Pemantau integritas sistem

Pemantau integritas sistem dijalankan secara berkala untuk mengujiintegratitas sistem. Salah satu contoh program yang umumdigunakan di sistem UNIX adalah program Tripwire. Program paketTripwire dapat digunakan untuk memantau adanya perubahan padaberkas. Pada mulanya, tripwire dijalankan dan membuat databasemengenai berkas-berkas atau direktori yang ingin kita amati beserta“signature” dari berkas tersebut. Signature berisi informasi mengenaibesarnya berkas, kapan dibuatnya, pemiliknya, hasil checksumatauhash (misalnya dengan menggunakan program MD5), dansebagainya. Apabila ada perubahan pada berkas tersebut, makakeluaran dari hash functionakan berbeda dengan yang ada didatabase sehingga ketahuan adanya perubahan.

1. Audit: Mengamati Berkas Log

Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatatdalam berkas yang biasanya disebut “logfile” atau “log” saja. Berkaslog ini sangat berguna untuk mengamati penyimpangan yangterjadi. Kegagalan untuk masuk ke sistem (login), misalnya,tersimpan di dalam berkas log. Untuk itu para administratordiwajibkan untuk rajin memelihara dan menganalisa berkas logyang dimilikinya.

1. Backup secara rutin

Seringkali tamu tak diundang (intruder) masuk ke dalam sistem danmerusak sistem dengan menghapus berkas-berkas yang dapatditemui.Jika intruder ini berhasil menjebol sistem dan masuksebagai super user (administrator), maka ada kemungkinan diadapat menghapus seluruh berkas.Untuk itu, adanya backup yangdilakukan secara rutin merupakan sebuah hal yang esensial.Bayangkan apabila yang dihapus oleh tamu ini adalah berkaspenelitian, tugas akhir, skripsi, yang telah dikerjakan bertahun-tahun.Untuk sistem yang sangat esensial, secara berkala perlu dibuatbackup yang letaknya berjauhan secara fisik.Hal ini dilakukan untuk menghindari hilangnya data akibat bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackupakan tetapi diletakkan pada lokasi yang sama, kemungkinan dataakan hilang jika tempat yang bersangkutan mengalami bencanaseperti kebakaran.Untuk menghindari hal ini, enkripsi dapat digunakan untukmelindungi adanya sniffing. Paket yang dikirimkan dienkripsi

dengan RSA atau IDEA sehingga tidak dapat dibaca oleh orangyang tidak berhak. Salah satu implementasi mekanisme ini adalahSSH (Secure Shell). Ada beberapa implementasi SSH ini, antara lain:

•   SSH untuk UNIX (dalam bentuk source code, gratis)

• SSH untuk Windows95 dari Data Fellows (komersial)http://www.datafellows.com/

•   TTSSH, yaitu skrip yang dibuat untuk Tera Term Pro (gratis,untuk Windows 95)

http://www.paume.itb.ac.id/rahard/koleksi

•   SecureCRT untuk Windows95 (shareware / komersial)

1. Penggunaan Enkripsi untuk meningkatkan keamanan

Salah satau mekanisme untuk meningkatkan keamanan adalahdengan menggunakan teknologi enkripsi.Data-data yang andakirimkan diubah sedemikian rupa sehingga tidak mudah disadap.Banyak servis di Internet yang masih menggunakan “plain text”untuk authentication, seperti penggunaan pasangan userid danpassword.Informasi ini dapat dilihat dengan mudah oleh programpenyadap (sniffer).Contoh servis yang menggunakan plain text antara lain:

• akses jarak jauh dengan menggunakan telnet dan rlogin

• transfer file dengan menggunakan FTP

• akses email melalui POP3 dan IMAP4

• pengiriman email melalui SMTP

• akses web melalui HTTP

Penggunaan enkripsi untuk remote akses (misalnya melalui sshsebagai penggani telnet atau rlogin) akan dibahas di bagiantersendiri.

10.  Telnet atau shell aman

Telnet atau remote login digunakan untuk mengakses sebuah “remotesite” atau komputer melalui sebuah jaringan komputer.Akses inidilakukan dengan menggunakan hubungan TCP/IP denganmenggunakan userid dan password.Informasi tentang userid danpassword ini dikirimkan melalui jaringan komputer secara terbuka.Akibatnya ada kemungkinan seorang yang nakal melakukan“sniffing” dan mengumpulkan informasi tentang pasangan useriddan password ini.

1. F.   Kebijakan Keamanan Sistem Informasi

Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam melaksanakan tugasnya.Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam melaksanakan tugasnya.Kebijakan keamanan sistem informasi biasanya disusun oleh pimpinan operasi beserta pimpinan ICT (Information Communication Technology) dnegan pengarahan dari pimpinan organisasi. Rangkaian konsep secara garis besar dan dasar bagi prosedur keamanan sistem informasi adalah:

1. Kemanan sistem informasi merupakan urusan dan tanggung jawab semua karyawan

Karyawan diwajibkan untuk memiliki “melek” keamanan informasi.Mereka harus mengetahui dan dapat membayangkan dampak apabila peraturan keamanan sistem informasi diabaikan.Semua manajer bertanggung jawab untuk mengkomunikasikan kepada semua bawahannya mengenai pengamanan yang dilakukan di perusahaan dan meyakinkan bahwa mereka mengetahui dan memahami semua peraturan yang diterapkan di perusahaan dan bagiannya.

1. Penetapan pemilik sistem informasi

Akan berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem (atau sistem) yang bertanggung jawab atas keamanan sistem dan data yang dipakainya.Ia berhak untuk mengajukan permintaan atas pengembangan sistem lebih lanjut atau pembetulan di dalam sistem yang menyangkut bagiannya. Personel ini merupakan contact person dengan bagian ICT (Information Communication Technology).

1. Langkah keamanan harus sesuai dengan peraturan dan undang-undang

Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undang-undang yang telah ditetapkan yang berkaitan dengan proteksi data, computer crime, dan hak cipta.

1. Antisipasi terhadap kesalahan

Dengan meningkatkan proes transaksi secara online dan ral time dan terkoneksi sistem jaringan internaisonal, transaksi akan terlaksanaka hanya dalam hitunngan beberapa detik dan tidak melibatkan manusia. Transaksi semacam ini apabila terjadi kesalahan tidak dapat langsung diperbaiki atau akan menyita banyak waktu dan upaya untuk memperbaikinya. Antisipasi dan pencegahan dengan tindakan keamanan yang ketat akan memberikan garansi atas integritas, kelanjutan, dan kerahasiaan transaksi yang terjadi. Tindakan pecegahan tambahan harus diimplementasikan agar dapat mendeteksi dan melaporkan kesalahan yang terjadi sehingga kejanggalan dapat ikoreksi secepat mungkin.

1. Pengaksesan ke dalam sistem harus berdasarkan kebutuhan fungsi

User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem sesuai dnegan prinsip “need to know”. Pemilik sistem harus bertanggung jawab atas pemberian akses ini.

1. Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di sistem informasi

Sistem computer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai demi kepentingan bisnis perusahaan.Data perusahaan hanya diperbolehkan dipakai untuk bisnis perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan terhadap data tersebut.

1. Pekerjaan yang dilakukan oleh pihak ketiga

Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh perusahaan, maka perusahaan harus dilindungi oleh keamanan atas informasi perusahaan.Di dalam kontrak harus didefinisikan agar pihak ketiga mematuhi peraturan dan keamanan sistm informasi perusahaan.Manajemen harus bertanggung jawab agar pihak ketiga mematuhi dan mengikuti peraturan keamanan yang telah ditentukan.

1. Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem informasi

Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan, dianjurkan agar diadakan pemisahan secara fungsional antara pengembang sistem, pengoperasian sistem harian dan pemakai akhir. Untuk mencapai tujuan ini, pihak ICT terutama bagian pengembangan sistem tidak dibenarkan apabila ia menangani administrasi yang menyangkut keamanan sistem.

1. Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan (change request)

Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk pengembangan dan implementasi sistem baru. Setiap permintaan perubahan program harus disertai alasan yang kuat serta keuntungan yang akan didapatkan dan pemohon harus dapat meyakini manajer terkait dan pemilik sistem mengenai perubahan ini. Oleh karena itu, sangat penting apabila semua pihak yang terkait harus menandatangani “change request” sebelum kegiatan ini dimulai.

10.  Sistem yang akan dikembangkan harus sesuai dnegan standart metode pengembangan sistem yang diemban oleh organisasi

Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan. Tidak dibenarkan apabila programer membuatnya dengan bermacam-macam bahasa pemograman.Patut dipertimbangkan semua risiko keamanan beserta penanggulannya di dalam sistem.Sebelum sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keadaan keamanan di dalam aplikasi tersebut.

11.  Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identiitasnya (user-ID)

Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang dilakukan dengan ID ini akan terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang berdampak akan mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik user-ID ini. 

Studi Kasus : INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) MENGGUNAKAN STANDAR ISO/IEC 27001:2005

1. LATAR BELAKANG

Banyak instansi/institusi memiliki kumpulan data dan informasi penting yang harus dikelola dengan benar, dijaga kerahasiannya, integritasnya dan ketersediaannya, agar data atau informasi hanya dapat diakses oleh yang berwenang, tidak diubah oleh siapapun yang tidak berhak. Informasi harus akurat, dan tersedia saat dibutuhkan.

2. RUMUSAN MASALAH

Adakah suatu sistem pengelolaan keamanan informasi yang terstandar, yang dapat diimplementasikan dengan baik, sehingga dapat melindungi aset penting perusahaan, sekaligus dapat mengarahkan kinerja karyawan, meningkatkan kepercayaan publik, karena perusahaan dapat menjamin kerahasiaan, integritas, dan ketersedian informasi?

3. BATASAN MASALAH

Topik pembahasan dibatasi pada “bagaimana implementasi ISMS sesuai standar ISO/IEC 27001:2005” dengan membuat perhitungan terhadap resiko keamanan (security risk assessment).

Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:

ANCAMAN KEAMANAN ICT

MENGAPA DIPERLUKAN KEAMANAN INFORMASI?

•       Keamanan informasi memproteksi informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil rugi perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha.
• Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh yang benar.

UK business network attack unauthorized outsider in the last year

Hasil survey ISBS tahun 2008 menunjukkan bahwa terdapat banyak jaringan bisnis di Inggris (UK) telah mendapatkan serangan dari luar(31% perusahaan besar mendapat ancaman percobaan pembobolan jaringan, 11% perusahaan kecil menengah, 13% telah terjadi penyusupan dalam jaringan perusahaan besar dan 4% pada perusahaan kecil).

DASAR MANAJEMEN KEAMANAN INFORMASI INFORMASI SEBAGAI ASET

• Informasi merupakan salah satu aset penting bagi sebuah perusahaan atau organisasi, (memiliki nilai tertentu bagi perusahaan atau organisasi).
• Kerahasiaan dan integritas informasi dapat menjamin kelangsungan bisnis perusahaan atau organ isasi.
• Perlindungan terhadap informasi dengan meminimalisir kerusakan karena kebocoran system keamanan informasi, mempercepat kembalinya investasi dan memperluas peluang usaha.

JENIS INFORMASI YANG PERLU DILINDUNGI

• Electronic files

-         Software files

-         Data files

• Paper documents

-         Printed materials

-         Hand written notes

-         Photographs

• Recordings

-         Video recordings

-         Audio recordings

• Communications

-          Conversations

-         Telephone

-         Conversations

-         Cell phone

-         Conversations

-         Face to face

-         conversations

• Messages

-         Email messages

-         Fax messages

-         Video messages

-         Instant messages

-          Physical messages

PERLUKAH KEAMANAN INFORMASI BAGI PERUSAHAAN?

Bagaimana perusahaan/organisasi mempersiapkan diri dan mengimplementasikan sistem manajemen keamanan informasi yang sesuai dengan kondisi perusahaan/organisasi, sesuai kebutuhan dan kemampuan serta ber-standar nasional/internasional.

BAGAIMANA MEMULAI PERLINDUNGAN KEAMANAN INFORMASI?

• Implementasi Best Practice
• Nasional atau Internasional ?
• Cakupan ISMS

BAGAIMANA MENGANALISIS KEBUTUHAN KEAMANAN INFORMASI?

• ISO IEC 27001:2005 GAP Analysis Tool
• Risk Assesment Tools
• Risk Management

BEST PRACTICE

• Best Practices IT & Security International Standard:

1.     BS7799 milik Inggris

2.     ISO/IEC 17799 : 2005

3.     ISO/IEC 27001 : 2005

4.     BSI IT baseline protection manual

5.     COBIT

6.     GASSP (GenerallyAccepted System Security Principles)

7.     ISF Standard of good practice

8.     ITIL

• SNI 27001:2009 (Standar Indonesia)

MODEL OF AN ISMS

IDENTIFIKASI YANG DIPERLUKAN

1.    Mengidentifikasi kebutuhan bisnis di masa depan

2.   Mengidentifikasi resiko jika mengalami kegagalan menerapkan sistem keamanan

3.     Mengidentifikasi jenis-jenis informasi yang perlu dilindungi,

4.    Inventarisasi kekayaan (bangunan, hardware,software, sdm, intelektual, sistem, disain, dll) yang perlu dilindungi.

5.    Mengidentifikasi kelayakan dokumen yang dijadikan standar keamanan, dan kondisi sumber daya man usia yang mengelola.

6.    Melakukan penilaian terhadap upaya perlindungan aset (sdm, bangunan, peralatan, teknologi, sistem, informasi, HaKI, dll)

7.   Melakukan pengamatan untuk mempelajari kondisi jaringan komputer

8.   Melakukan scanning terhadap kemungkinan ditemukannya vulnerability di sistem jaringan komputer yang digunakan.

9.   Melakukan pentration testing sebagai tindak lanjut apabila ditemukanvulnerability.

10.Mendokumentasi langkah penanganan dan kesiapan apabila nantinya ditemukan vulnerability yang baru pada sistem keamanan jaringan komputer dan informasi yang dikelola.

11.Melakukan perancangan/perbaikan ”security policy” yang digunakan,

12.Apabila belum ada dokumen yang dijadikan acuan standar keamanan, maka perlu dibuat security policy yang disesuaikan dengan kondisi di lingkungan Perusahaan/Instansi.

HAL-HAL YANG PERLU DIPERSIAPKAN

• Identifikasi kesiapan instansi untuk menerapkan Best Practice Standar Sistem Manajemen Keamanan Informasi
• Mempersiapkan mental karyawan untuk menghadapi perubahan budaya kerja, bila jadi implementasi Best Practice Standar Sistem Manajemen Keamanan Informasi
• Merpersiapkan konsultan dan team leader untuk membantu/mensukseskan implementasi Standar Sistem Manajemen Keamanan Informasi
• Pendekatan ke pimpinan,untuk mendapatkan dukungan. seperti : SK tugas, penetapan, dll

KESULITAN-KESULITAN

• Menyamakan persepsi tentang pentingnya keamanan dan kesadaran untuk terlibat dalam proses penerapan pemilihan metode pendekatan untuk risk assessment,
• Melakukan identifikasi resiko,
• Memperkirakan resiko, dan
• Memilih kendali yang tepat untuk diterapkan.
• pimpinan perusahaan/organisasi tidak memahami pentingnya mengelola keamanan informasi,
• tidak memahami keterkaitan antara keamanan informasi dengan kepercayaan publik terhadap jaminan layanan yang diberikan.

11 CONTROL CLAUSE

• Security policy.
• Organization of information security.
• Asset management.
• Human resources security.
• Physical and environmental security.
• Communications and operations management.
• Access control.
• Information system acquisition, development, and maintenance.
• Information security incident management.
• Business continuity management.
• Compliance.

CAKUPAN ISMS

• Information Security Management System (ISMS) merupakan sebuah kesatuan sistem yang disusun berdasarkan pendekatan resiko bisnis, untuk pengembangan, implementasi, pengoperasian, pengawasan, pemeliharaan serta peningkatan keamaan informasi perusahaan.
• Information Security sering menjadi tantangan besar bagi para praktisiinformation security untuk dapat “dijual” ke manajemen dan para “decision maker”.

HASIL PENILAIAN

Contoh Hasil identifikasi kondisi jaringan

• >Awalnya, jaringan komputer di instansi dibangun tanpa perencanaan yang matang.
• Organisasi belum mempersiapkan diri untuk mengantisipasi ekspansi bisnis yang berkembang dengan sangat pesat, Perencanaan pengembangan menyedot energy sumberdaya perusahaan yang terbatas, dan pada akhirnya perusahaan akan memilih program atau resource mana yang akan dikembangkan terlebih dulu.
• >Salah satu sumberdaya yang mungkin memperoleh urutan belakang untuk dikembangkan atau mendapat perhatian khusus adalah infrastruktur IT khususnya jaringan komputer.

Topologi Network yang direncanakan

Kelayakan dokumen yang dijadikan standar keamanan, dan kondisi sumber daya manusia yang mengelola.

• Saat ini instansi belum memiliki dokumen standar untuk mengelola keamanan jaringan maupun informasi yang dimiliki,
• ”security policy” yang coba ditetapkan selama ini hanya berupa aturan-aturan yang coba ditetapkan berdasarkan pengetahuan administrator jaringan, atau network engineer.
• Banyak aturan belum tertulis dan ditetapkan oleh pimpinan namun di implementasikan oleh administrator, hanya berdasarkan keinginan pribadi.

Assesment

• Staf teknis pengelola infrastruktur jaringan Departemen IT 2-3 orang, tidak akan mampu melayani dan mengamankan infrastrukturjaringan yang sudah besar,
• Fasilitas komputer tidak dipelihara dengan baik, tidak ada sosialisasi pemanfaatan jaringan komputer yang ada, penggunaan jaringan belum efektif.
• Staf teknis biasanya bekerja berdasarkan kom plain dari staf/karyawa n atau permintaan pimpinan, Pekerjaan yang sudah dikerjakan (sesuai rencana), sering tidak didokumentasi.
• Tidak ada job description tertulis, biasanya masing-masing staf bekerja berdasarkan kebiasaan (rutinitas) dan memiliki tugas lain selain tugas utama dimasing-masing bagian.

Vulnerability di sistem jaringan komputer 

Hasil pengamatan topologi jaringan

• Hasil pengamatan topologi jaringan dan capture / monitoring jaringan dari access point dibeberapa titik, mengindikasikan masih buruknya topologi jaringan
• Tingkat keamanan fisik dan logisnya masih rendah. Hal ini dapat menimbulkan ancaman yang serius terhadap layanan, data dan informasi yang terdapat di jaringan lokal.
• Ancaman-ancaman datang dari dalam maupun dari luar, dikarenakan beberapa komputer gateway maupun server, memiliki IP Publik yang terhubung langsung dengan jaringan internet
• Menurut administrator jaringan, firewall yang diterapkan pada node-node yang terhubung langsung ke internet, masih sangat minim (konfigurasi minimal).

HAL YANG HARUS DISADARI DARI ISMS

• Information Security adalah sebuah proses bukan produk, sebuah proses yang bertujuan untuk mengidentifikasi dan meminimalkan resiko sampai ke tingkat yang dapat diterima, proses tersebut harus dapat dikelola. ISMS tidak spesifik mengarah kesalah satu industri.
• ISMS merupakan sebuah kerangka kerja dalam business planperusahaan, bukan sekedar program IT Departemen. ISMS dapat dimodifikasi dan diterapkan di berbagai industri dan organisasi, seperti: perbankan, pemerintahan, manufaktur, dan lain-lain.

LANGKAH-LANGKAH UNTUK MENDESAIN ISMS

• Langkah pertama adalah memilih kerangka kerja yang sesuai dengan industri/perusahaan yang akan di aplikasikan (diimplementasikan).
• Lang kah kedua penyamaan terminology supaya tidak ada area abu-abu (yang tidak dipahami) pada saat ISMS sudah dijalankan.
• Langkah ketiga Authorization dan ownership, sebelum di implementasikan, maka pimpinan dari organisasi tersebut harus memberikan komitmen dan dukungan yang kuat agar proses implementasi policy dan prosedur ISMS dapat dijalankan dengan baik dan benar oleh seluruh jajaran pimpinan dan karyawan.
• Langkah keempat Environment, untuk mengimplementasikan ISMS harus mengerti betul environment dimana ISMS akan dibangun, baik dari sisi organ isasi atau teknologi yang ada disana.

ENAM LANGKAH PERSIAPAN DALAM MEMBANGUN ISMS

1.     Risk assessment

2.     Top down approach

3.     Functional roles

4.     Write the policy

5.     Write the standards

6.     Write guidelines and procedures

KESIMPULAN

• ISO/IEC 27001 dapat diimplementasikan sebagai Information Security Management System (ISMS).
• ISO/IEC 27001:2005 mencakup semua jenis organisasi/perusahaan (seperti perusahaan swasta, lembaga pemerintahan, atau lembaga nirlaba).
• ISO/IEC 27001:2005 menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara serta mendokumentasikan ISMS dalam konteks resiko bisnis organisasi/perusahaan keseluruhan.