PRESSURE VS EDUCATION

PENDAHULUAN

Dengan perkembangan teknologi zaman sekarang, orang-orang dapat dengan mudah berkomunikasi satu sama lain tanpa perlu bersusah payah lagi bertemu dan saling tatap muka. Dengan adanya internet, orang-orang mampu melakukan hampir segala sesuatu yang dapat dilakukan pada dunia nyata, seperti berbelanja secara online, membeli tiket pesawat, memesan kamar hotel, melihat peta, informasi yang dibutuhkan dan masih banyak lagi yang lain.

Perkembangan seperti ini pun memunculkan pihak-pihak yang dapat merugikan organisasi-organisasi atau perusahaan-perusahaan baik itu dari pihak eksternal organisasi atau perusahaan maupun pihak internal organisasi atau perusahaan.

Agar keamanan perusahaan atau organisasi dapat setidaknya meningkat, maka dapat dilakukan cara pressure vs education pada suatu perusahaan. Pressure vs education adalah salah satu cara dari keamanan sistem informasi dari tiga aspek, yaitu aspek teknis, aspek bisnis dan aspek sosial, pressure vs education sendiri termasuk pada aspek sosial.

Aspek sosial sendiri berarti pengamanan sistem informasi dari serangan merusak atau merugikan berdasarkan dari sisi manusianya. Karena jika pada aspek teknis dan aspek bisnis keamanan sistem informasi sudah tidak diragukan tetapi sisi manusianya masih dapat dihasut atau dikecohkan, maka tetap saja sistem informasi tidak akan aman.

TINJAUAN PUSTAKA

Antara memberikan “tekanan” atau pressure terhadap seluruh karyawan untuk mendapatkan hasil yang cepat dengan memilih pendekatan edukatif yang lebih lambat namun akan jauh lebih efektif (Richardus Eko Indrajit, Meneropong Isu Keamanan Internet.pdf)

PEMBAHASAN

Yang dimaksud dengan pressure atau tekanan adalah dengan memberikan tekanan bagi para karyawan perusahaan untuk mengikuti aturan atau kebijakan mengenai keamanan sistem informasi yang dibuat oleh perusahaan. Dengan memberikan tekanan pada karyawan untuk patuh dengan aturan atau kebijakan keamanan sistem informasi perusahaan maka secara tidak langsung akan meningkatkan keamanan sistem dari perusahaan itu, tetapi karena ini adalah cara yang menekan karyawan, tentunya akan menyebabkan sedikit ketidaknyamanan pada pihak karyawan, meskipun cara ini terkesan "kasar" karena ada unsur "pemaksaan" tetapi hal ini dilakukan agar keamanan sistem informasi di suatu perusahaan atau organisasi dapat meningkat. Dan lama kelamaan para karyawan akan terbiasa dengan cara ini.

Tetapi jika cara ini menyebabkan ketertekanan yang lama untuk para karyawan, sebaiknya memberikan cara education atau edukasi. Dengan melakukan cara edukasi ini, karyawan akan dituntun atau diajarkan secara perlahan mengenai pentingnya menjalankan prosedur keamanan dalam perusahaan agar tidak sampai dirusak oleh pihak luar maupun dalam. Meskipun cara ini lambat karena harus melatih para karyawan untuk disiplin melakukan prosedur keamanan, tetapi lambat laun akan menjadi efektif dan tentunya tidak memberikan kesan "tertekan" atau "keterpaksaan" untuk pihak karyawan.

KESIMPULAN

Berdasarkan dari pembahasan diatas, dapat ditarik kesimpulan bahwa sebenarnya kedua cara tersebut mampu meningkatkan keamanan sistem informasi suatu perusahaan atau organisasi tetapi melalui cara yang berbeda, yang satu dengan cara "tekanan" dan yang satunya lagi dengan cara mengedukasi karyawan agar peduli terhadap keamanan sistem informasi dan menjaga dengan baik rahasia perusahaan. Tetapi perlu berhati-hati jika menggunakan cara pressure karena bisa saja karyawan kita tidak tahan dengan metode itu. Sebaiknya menggunakan metode edukasi atau education karena meskipun lambat, memerlukan biaya (jika menggunakan pelatihan) dan perlu waktu untuk melatih para karyawan, tetapi akan menjadi efektif pada akhirnya dan tentunya karyawan kita tidak akan merasa tertekan.

DAFTAR PUSTAKA

E-Book Meneropong Isu Keamanan Internet oleh Richardus Eko Indrajit

ANCAMAN KEAMANAN INTERNET

Keamanan ber-internet saat ini sudah mulai meresahkan para pengguna internet, karena dalam dunia maya atau internet saat ini sudah seperti dunia nyata kita yang mempunyai berbagai jenis kejahatan yang disebabkan karena MENINGKATNYA PENGGUNA INTERNET (INTERNET USERS), MENINGKATNYA NILAI TRANSAKSI (TRANSACTION VALUE), MENINGKATNYA FREKUENSI INTERAKSI (INTERACTION FREQUENCY), MENINGKATNYA BERBAGAI MACAM KOMUNITAS  (COMMUNITIES SPECTRUM) dan MENINGKATNYA PENGGUNAAN KARENA TUJUAN TERTENTU (USAGE OBJECTIVES) yang pengertian dari kelima faktor tersebut sudah dipaparkan pada tulisan sebelumnya. Nah, selain dari kelima faktor yang telah dipaparkan, ada juga berdasarkan dari aspek-aspek tertentu, seperti:

1) Aspek Teknis

Pada aspek ini serangan-serangannya biasanya seperti:

a) Malicious Code

adalah jenis serangan yang berupa script / code yang dibuat dengan tujuan merusak sistem komputer atau menghapus data / file penting tertentu atau memperlambat kinerja komputer. Contohnya seperti virus atau worm. Perbedaan virus dengan worm adalah virus tak kelihatan tetapi mampu mengobrak-abrik data komputer kita, sedangkan worm terlihat dan biasanya berbentuk copy-an dari suatu data dan lebih dari satu copy-an dimana hal tersebut mampu memperlambat komputer kita jika tidak ditangani.

b) Vulnerabilities

adalah jenis serangan yang memanfaatkan lubang-lubang atau celah-celah yang terdapat pada sistem kita, entah itu celah pada fisik sistem atau celah pada sisi software. Contohnya seperti versi OS Windows yang merilis versi-versi seperti SP 1 (Service Pack 1), SP 2 (Service Pack 2) dimana hal ini gunanya untuk memperbaiki celah-celah pada sisi software OS tersebut.

c) Spam and Spyware

Spam adalah serangan yang sebenarnya tidak membahayakan, tetapi sangat mengganggu penggunanya dikarenakan gangguannya yang selalu memunculkan hal yang sama terus-menerus yang pastinya sangat menjengkelkan. Sedangkan Spyware adalah serangan yang menyusup dan tidak diketahui oleh korbannya yang biasanya dapat merugikan pengguna tertentu yang memiliki data-data yang bersifat sensitif. Misalkan pada warnet, kita tidak mengetahui software apa yang telah ada pada komputer warnet yang bisa saja merugikan kita, seperti keylogger. Software keylogger ini mampu merekam apa yang telah kita ketik pada keyboard, bisa jadi kita mengurus masalah yang membutuhkan username dan password dimana hal tersebut sangat berbahaya jika dilakukan di warnet.

d) Phishing and Identify Theft

adalah jenis serangan yang mengarahkan korban ke situs yang dibuat untuk menjebak (Phishing) dan mengambil identitas sang korban (Identify Theft). Contohnya kita sedang ber-internet dan mengklik salah satu link dari suatu situs yang tanpa kita ketahui ternyata sebuah Phishing, yang awalnya kita ingin masuk ke link (contohnya) www.bankmandiri.co.id, tetapi malah nyasar ke link lain www.bankmandiiri.co.id yang dimana link ini telah menjadi sarana untuk menjebak kita (Phishing) dan karena kelalaian kita, memasukkan identitas penting yang ternyata akan dapat digunakan oleh pelaku kejahatan (Identify Theft).

Selain serangan-serangan diatas, biasanya juga kejahatan terjadi karena keisengan yang dilakukan para pengangguran yang memiliki banyak waktu untuk bereksperimen.

Adapun cara-cara untuk mencegah serangan-serangan diatas, seperti memasang antispyware, antivirus, malware blocking, mengupdate software, enkripsi data, mengaktifkan firewall, dll.

2) Aspek Bisnis

Dalam aspek bisnis mengamankan organisasi dari ancaman-ancaman internet yang ada dapat dilakukan dengan cara-cara seperti, pengarsipan, audit TI, manajemen keamanan, sertifikasi standard, dll. Cara-cara seperti ini dapat mengamankan data-data penting dari suatu organisasi.

Adapun yang dilakukan untuk menunjang cara-cara pengamanan diatas, seperti:

a) Manajemen Resiko

Membuat dan mengidentifikasi resiko-resiko apa yang dapat menyerang keamanan sistem dan merencanakan cara mengatasinya.

b) Analisa Biaya

Mempertimbangkan biaya yang dikeluarkan untuk pengamanan suatu sistem dan memikirkan biaya mana yang lebih besar dikeluarkan jika suatu sistem berhasil dirusak seseorang / sekelompok orang.

c) Mematuhi Peraturan

Dengan mematuhi peraturan-peraturan keamanan organisasi maka hal ini dapat lebih meminimalisir resiko kerusakan keamanan sistem. 

d) Manajemen Aset Digital

Mengantisipasi resiko keamanan dengan membuat arsip dalam bentuk data dan disimpan pada suatu tempat yang aman dapat juga menjadi salah satu cara untuk pengamanan. Contohnya seperti menyimpannya pada harddisk external.

3) Aspek Sosial

Selain dari kedua aspek diatas, ancaman keamanan juga datang dari bagian sosial. Jika manusia memiliki pemikiran untuk tidak merusak, maka tingkat keamanan suatu sistem juga akan setidaknya lebih meningkat. Tetapi pada kenyataannya dikarenakan perkembangan zaman, manusia mengembangkan teknologi yang dapat menggiurkan untuk mencoba sesuatu yang dapat merugikan orang lain, walaupun tidak semuanya melakukan hal yang sama.

Untuk mengantisipasi hal-hal yang merusak keamanan, berikut ada beberapa hal yang dapat kita lakukan, yakni:

a) Policy vs Design

Antara membuat kebijakan / aturan yang mengharuskan seluruh karyawan untuk mematuhinya atau dengan membuat sistem yang mengharuskan penggunanya untuk mengganti password secara berkala agar keamanan sistem dapat terjamin.

b) Reward vs Punishment

Jika seorang karyawan mampu mematuhi peraturan organisasi yang berlaku atau melaporkan seseorang yang tidak mematuhi peraturan akan diberikan hadiah. Sedangkan yang tidak mematuhi peraturan akan diberikan hukuman agar karyawan kembali mengikuti aturan yang ada.

Sumber:

E-Book Meneropong Isu Keamanan Internet oleh Richardus Eko Indrajit

TREND DAN POTENSI KEJAHATAN KOMPUTER DAN INTERNET

Kejahatan di dunia internet muncul disebabkan karena beberapa faktor, seperti INTERNET USERS ATAU MENINGKATNYA PENGGUNA INTERNET. Jika semakin banyak yang menggunakan internet tentu saja kejahatan akan meningkat dikarenakan tidak semua orang punya pengetahuan yang cukup tentang internet yang dimana ternyata orang tersebut terancam dengan tindakan kejahatan. Misalkan, dulu orang-orang tidak tahu menggunakan komputer, tapi sekarang dengan adanya jejaring sosial seperti Facebook atau Twitter, maka orang-orang awam pun menggunakan komputer tetapi hanya sebatas mengetahui komputer itu Facebook atau Twitter.

Ada juga disebabkan karena faktor TRANSACTION VALUE ATAU MENINGKATNYA NILAI TRANSAKSI. Semakin meningkatnya kegiatan bertransaksi di dunia internet juga menyebabkan terjadinya cyber crime. Terkadang orang-orang lupa akan nilai dari suatu transaksi yang dapat merugikan dirinya sendiri, misalkan saja sedang berurusan dengan bank menggunakan wifi di suatu tempat, bisa saja data-data pentingnya ketahuan oleh pihak lain.

INTERACTION FREQUENCY ATAU  MENINGKATNYA FREKUENSI INTERAKSI merupakan faktor yang ketiga, semakin sering kita muncul di dunia internet, semakin besar pula kemungkinan kita menjadi korban kejahatan di dunia internet. Misalkan saja di dunia nyata kita sering melewati tempat yang sama, tentu saja orang-orang akan setidaknya melirik atau melihat kita dan tidak semua orang memiliki sifat yang baik, tentu ada orang yang sudah merencanakan hal yang buruk terhadap diri kita, maka hal ini akan memperbesar kemungkinan kita menjadi korban kejahatan.

Faktor keempat adalah COMMUNITIES SPECTRUM ATAU MENINGKATNYA BERBAGAI MACAM KOMUNITAS. Terbentuknya komunitas di dunia maya tidak semua komunitas yang baik untuk kita ikut bergabung bersama didalamnya, karena ada yang membuat komunitas hanya untuk iseng tetapi ada juga yang tidak.

Dan yang kelima yaitu USAGE OBJECTIVES ATAU MENINGKATNYA PENGGUNAAN KARENA TUJUAN TERTENTU. Kejahatan dapat juga terjadi akibat kita hanya terus menerus menggunakan internet hanya karena tujuan tertentu karena kita tidak tahu bisa saja ada orang yang memantau kita, misalkan saja menggunakan internet hanya untuk berbisnis.

Ada empat domain yang rawan kejahatan:

 1)   Operating System attacks

Misalkan kita ditanyai tentang mana yang lebih banyak virusnya antara LINUX dengan WINDOWS, tentu saja WINDOWS yang lebih banyak virusnya kan? Disebabkan karen banyaknya pengguna WINDOWS daripada pengguna LINUX, maka virus lebih banyak berkisar pada WINDOWS.

     

 2)  Applications - level attacks
Pada domain ini, kita bisa diserang dari sisi program atau aplikasi yang kita gunakan atau inginkan. Misalkan kita ingin menggunakan suatu program atau aplikasi yang kita dapatkan secara ilegal, biasanya program tersebut sudah ditumpangi virus atau semacamnya karena program ilegal tidak dapat terjamin kebersihannya.

     

 3)  Shrink Wrap Code attacks
Model serangan pada domain ini bisa bermacam-macam, bisa berbentuk virus, bisa juga spyware atau malware, atau bisa juga spam, dan lainnya. Biasanya serangan ini banyak terdapat di internet atau jaringan-jaringan lainnya yang dapat dengan mudah menyebarkan virus, spyware, malware, spam dan lain sebagainya.

     

 4)  Misconfiguration attacks

Serangan ini terjadi karena kesalahan setting oleh suatu pihak. Misalkan saja kita membeli laptop dan terinstalkan beberapa program yang sering digunakan, dan tidak lupa anti virus. Lalu anggap saja kita tidak menggunakan internet, maka anti virus tersebut tentu tidak terupdate. Kemudian kita sering menggunakan USB Flash Disk, maka laptop kita akan semakin lama semakin terasa tidak nyaman digunakan karena virus dapat menyebar melalui Flash Disk ke komputer lain yang tidak dapat terdeteksi oleh anti virus kita yang tidak terupdate database virusnya.

Sekian tulisan mengenai TREND DAN POTENSI KEJAHATAN KOMPUTER DAN INTERNET, mohon maaf jika terdapat kesalahan dalam tulisan ini... Terima kasih.

Pengantar Keamanan Sistem Informasi

Computer Security (Keamanan Komputer) adalah upaya mengamankan atau proteksi data / informasi dalam suatu computer atau sistem dari gangguan atau ancaman yang dapat membahayakan atau merugikan pihak yang mengadakan pengamanan.

Suatu sistem informasi dapat dikatakan aman jika dapat memenuhi tiga kriteria ini:

  1)   Data atau informasi yang dibutuhkan ada

  2)   Data atau informasi yang dibutuhkan benar

  3)   Data atau informasi yang dibutuhkan dapat diakses atau digunakan

Jika tiga kriteria diatas sudah terpenuhi, maka dapat dikatakan sistem informasi tersebut aman dan kita sebagai pengguna dapat bergantung pada sistem tersebut.

Mengapa disebut kita dapat bergantung pada sistem tersebut jika tiga kriteria diatas lengkap?

Coba kita andaikan, jika data atau informasi yang kita butuhkan ada, benar, tapi kita tidak dapat menggunakannya atau mengaksesnya, tentunya data atau informasi itu tidak berguna untuk kita kan?

Atau kita misalkan data yang dibutuhkan ada dan dapat diakses, tetapi tidak benar. Pastinya data tersebut tidak akan digunakan karena tidak benar kan?

Dan yang lebih parahnya lagi jika data yang kita butuhkan tidak ada, tentunya lebih parah dari dua pengandaian sebelumnya. Bagaimana mau diakses atau digunakan kalau datanya saja tidak ada?

Ada tiga kategori ancaman dimana dapat mengganggu kenyamanan pengguna sistem, yaitu:

  1)   Confidentiality

Ancaman jenis ini mengganggu sisi kenyamanan pengguna sistem, karena dapat terjadi ancaman seperti penggunaan kata sandi oleh orang yang bukan pemilik asli dari kata sandi tersebut, ancaman ini biasa disebut juga sebagai Unauthorized Use.

Ada juga ancaman seperti kecurian rahasia perusahaan misalnya, dan rahasia tersebut dipublikasikan biasa disebut juga sebagai Unauthorized disclosure and theft.

  2)   Availability

Ancaman jenis ini mengganggu sisi ketersediaan data atau informasi, karena dapat terjadi ancaman keamanan seperti kegagalan dalam pelayanan atau hilangnya data atau informasi yang biasa disebut Unauthorized destruction and denial of service.

Maksud dari kegagalan dalam pelayanan disini adalah ketika kita membutuhkan suatu data atau informasi, kita tidak mendapatkannya dikarenakan mungkin saja koneksi terputus dari server, atau gangguan-gangguan lain yang berkaitan dengan koneksi ke server.

  3)   Integrity

Ancaman jenis ini mengganggu dari sisi integritas atau kecocokan data antara server dan client atau yang biasa disebut dengan Unauthorized modification. Ancaman ini tentunya akan sangat merugikan jika dilakukan misalnya pada bank, misalkan si A punya tabungan sebesar Rp. 50.000 sedangkan si B punya tabungan Rp. 5.000.000 kemudian si A melakukan ancaman jenis ini dan menduplikasi nominal si B sehingga si A memiliki tabungan dengan jumlah yang sama seperti si B. Tentunya hal ini tidak merugikan si B, tetapi merugikan pihak bank.

Ada juga aspek-aspek keamanan yang perlu diperhatikan:

  1)   People (Social Aspects)

Pada aspek manusia tentunya sudah dapat diketahui bahwa penyebab kebocoran informasi atau kerusakan sistem sebagian besar merupakan ulah dari manusianya. Salah satu contohnya adalah penipuan.

  2)   Technology (Technical Aspects)

Apalagi pada aspek teknologi, kita tentu sudah banyak mengetahui tentang malware, spyware, virus yang benar-benar menyebabkan kerugian yang tidak sedikit pada perusahaan-perusahaan.

  3)   Context / Content Applications (Business Aspects)

Aspek ini lebih kepada jumlah pengguna yang dapat mengakses suatu sistem yang bersifat sensitif, jika hanya 1 pengguna saja yang dapat mengkases suatu sistem yang bersifat sensitif, tentunya hal itu tidak dapat dikatakan aman, karena orang tersebut belum tentu jujur. Sedangkan jika terlalu banyak pengguna yang dapat mengaksesnya tentu lebih parah lagi karena bisa saja data-data didalam bisa terganggu.

Ada juga yang dikatakan sebagai klasifikasi keamanan komputer:

  1)   Secrecy

Perlindungan terhadap kemungkinan bocornya data dan menjamin keaslian data

  2)   Integrity

Perlindungan terhadap perubahan-perubahan tidak sah kepada data

  3)   Necessity

Perlindungan terhadap keterlambatan pemrosesan data atau kegagalan dalam pelayanan (denial of service)

Sekian tulisan dari saya, semoga apa yang dituliskan disini dapat membantu pembaca sekalian untuk memahami sedikit tentang apa itu keamanan sistem informasi. Mohon maaf jika terdapat kesalahan tulisan dan kekurangan dari tulisan ini. Terima kasih..