Jumat, 26 Oktober 2018

RESUME PERT 10-12 : SISTEM KEAMANAN TEKNOLOGI INFORMASI


Nama                         : Andru Tri Setyo
Npm                           : 10115751
Kelas                         :  4KA31
Tugas Mata Kuliah   : Sistem Keamanan Tek. Informasi
Dosen                       : Kurniawan B.Prianto, S.Kom.SH.MM



Universitas Gunadarma
Fakultas Ilmu Komputer & Teknologi Informasi


Pertemuan ke-10
SOP dan Audit Keamanan

SOP merupakan pedoman kerja bagi setiap perusahaan dalam menjalankan kegiatan operasionalnya. Dalam SOP itu biasanya diatur ketentuan-ketentuan umum yang berlaku dalam suatu unit kerja, sedangkan ketentuan khususnya diatur sendiri dalam bentuk surat edaran (SE) dari Direksi Perusahaan uang bersangkutan. Secara Garis besar setiap materi dalam SOP terdiri atas:
1.     Kebijakan Umum
          Kebijakan Umum biasanya terdiri atas :
a.     Tujuan
b.     Ruang Lingkup
c.      Penanggung jawab
d.     Hal-hal yang akan diatur dalam kebijakan yang bersangkutan
2.     Prosedur
Prosedur biasanya berisi petunjuk pelaksanaan operasional pekerjaan yang dilakukan. Biasanya berupa urutan pekerjaan yang harus dilakukan dan lebih baik lagi jika dilengkapi dengan flow of document serta contoh-contoh format lampiran.
Contoh SOP (standard operating procedure) Post audit Inspektorat bidang kinerja kelembagaan
Audit Teknologi Informasi
          Audit sendiri sebenarnya adalah proses pengawasan dan pengendalian. Audit teknologi informasi adalah bentuk pengawasan dan pengendalian dari infrastruktur teknologi informasi secara menyeluruh.
          Audit teknologi informasi secara umum merupakan proses pengumpulan dan evaluasi dari semua kegiatan sistem informasi dalam perusahaan itu. Istilah lain dari audit teknologi informasi adalah audit komputer yang banyak dipakai untuk menentukan apakah aset sistem informasi perusahaan itu telah bekerja secara efektif, dan integratif dalam mencapai target organisasinya.
Keuntungan adanya audit antara lain:
·        Menilai keefektifan aktivitas aktifitas dokumentasi dalam organisasi,
·        Memonitor kesesuaian dengan kebijakan, sistem, prosedur dan undang-undang perusahaan,
·        Mengukur tingkat efektifitas dari sistem,
·        Mengidentifikasi kelemahan di sistem yang mungkin mengakibatkan ketidaksesuaian di masa datang,
·        Menyediakan informasi untuk proses peningkatan,
·        Meningkatkan saling memahami antar departemen dan antar individu,
·        Melaporkan hasil tinjauan dan tindakan berdasarkan resiko ke manajemen.
Informasi audit harus disimpan dan dijaga sehingga sebuah aksi dapat ditelusuri. Data audit harus dijaga dari modifikasi dan perusakan dari pihak yang tidak bertanggung jawab..
1.       Pengaturan Keamanan Dalam Sistem
          Sebelum melakukan langkah-langkah pengamanan sebelumnya tentu kita harus mengetahui siapa yang menjadi lawan kita dalam mengamankan komputer. Yang menjadi lawan yang paling utama dari keamanan komputer kita adalah kita sendiri, kecerobohan kita lebih sering membuat kerusakan dibanding orang lain. Kealpaan untuk men-scan program baru misalnya, dapat menghancurkan seluruh data yang dimiliki. Karena diri kita yang menjadi musuh maka tak ada cara lain selain untuk menerapkan disiplin kepada diri sendiri.  Musuh yang kedua adalah orang dekat, telah terbukti melalui riset bahwa pelaku kejahatan komputer adalah orang dekat korban, atau di perusahaan-perusahaan yang menjadi pelaku adalah mereka yang justru dipercaya untuk mengamankan perusahaan tersebut. Mungkin juga orang dekat itu tidak bermaksud merusak data atau melihat data tapi mereka tetap saja bisa melakukannya secara tidak sengaja. Musuh yang lain adalah orang tak dikenal, mereka inilah para pembuat virus, trojan horse, time bomb dan lain-lain yang gunanya memang hanya untuk menghancurkan orang lain tanpa tujuan yang jelas. 
·        Pengamanan Fisik 
     Inilah tingkat pengamanan pertama dan yang paling aman, taruh PC  di tempat yang aman. Kuncilah pintunya ketika  pergi. Mungkin cara inilah yang paling aman, kecuali mungkin ada maling yang menggondol komputer. Jika data  memang penting dan komputer itu memang hanya akan  pergunakan sendiri mungkin inilah cara yang paling sederhana dan paling aman. Namun perlu diakui tidak semua orang punya komputer yang benar-benar untuk dipakai pribadi atau memiliki kamar pribadi untuk meletakkannya. 
·        Password BIOS, Pertahanan Pertama 
     Dari segi komputer inilah pertahanan pertama .Jika  menyalakan fasilitas password BIOS , maka begitu komputer dinyalakan  akan disodori sebuah tampilan yang menanyakan password . Sebagian orang memakai fasilitas ini dan memandangnya sebagai cara yang ama n . Namun ada juga yang menolak memakainya, alasannya biasanya karena tampilannya yang kurang keren . Biasanya pemakaian password bisa diatur , bisa untuk pengamanan seluruh sistem atau cukup pengamanan setup BIOS. Pertama akan saya bahas kelemahan bila  memakai pengamanan untuk seluruh sistem.  Sebenarnya password BIOS memiliki kelemahan yang cukup besar. Pada BIOS keluaran AWARD versi 2.xx, versi 4.xxg dan versi 5.xx atau di atasnya memiliki password yang disebut password default. Dengan password default ini setiap orang bisa menjebol masuk tanpa perlu password asli. Mulanya password default ini hanya digunakan oleh para teknisi AWARD jika sedang mendesak namun rupanya hal ini telah dimanfaatkan secara tidak benar oleh banyak orang. Untuk versi 2.xx dan 4.xxg password defaultnya sama untuk setiap komputer (mungkin artikel mengenai ini akan saya letakkan di homepage ini, jika saya sudah punya waktu). Untuk versi 5.xx atau di atasnya password defaultnya berbeda untuk setiap komputer dalam hal dua karakter di belakangnya sehingga total ada 676 password default (karena dua karakter terakhir hanya berkisar antara 'A'..'Z'). Saya sendiri masih belum meneliti apakah dua karakter di belakangnya ini bergantung pada nomor seri BIOS. 
     BIOS buatan pabrik lain tidak memiliki kelemahan yang dimiliki oleh AWARD, namun  jangan terlalu gembira, masih ada cara lain untuk menerobos password BIOS. Perlu  ketahui bahwa password BIOS tersimpan dalam sebuah chip CMOS bersama-sama dengan data setup BIOS, chip ini mendapat tenaga dari batere CMOS sehingga data yang tersimpan di dalamnya tetap aman meskipun komputer dimatikan. Perkecualian terjadi jika batere CMOS mulai habis atau terjadi hubungan pendek. Nah perkecualian yang terakhir itulah yang menjadi masalah, jika ada orang yang membuka casing CPU  dan menghubungkan ujung positif dan ujung negatif batere CMOS maka semua data yang ada di CMOS akan hilang termasuk password BIOS. Jika data ini sudah hilang orang bisa dengan bebas masuk. 
     Pengamanan untuk masalah itu adalah dengan menaruh System Unit  di tempat yang sulit dikeluarkan, atau menambahkan kunci agar sulit dibuka. Untuk masalah password default AWARD,  bisa mengupdate BIOS  atau mengganti password default dengan program dari AWARD. Tapi jangan terlalu kuatir, tidak banyak yang tahu masalah password default ini. 
     Kita juga bisa membuat pengamanan di tingkat setup saja, ini berguna untuk menghindari orang-orang yang belum berpengalaman mengubahubah isi setup. Kelemahan teknik ini adalah password bisa dihapus dari sistem operasi. Setahu saya tidak ada cara untuk mencegah sebuah program menghapus password ini dari sistem operasi. Banyak program yang bisa digunakan untuk menghapus password ini, bahkan dengan BASIC atau DEBUG pun bisa. Program yang banyak dimanfaatkan untuk menghapus password biasanya adalah program pencatat isi CMOS (misalnya dari Norton Utilities) , dengan memasukkan data CMOS dari sistem yang tidak berpassword, maka password akan terhapus. 
·        Pengamanan Tingkat Sistem Operasi
     Bagi  pengguna DOS mungkin mengenal pengamanan dengan membuat password di AUTOEXEC.BAT.  perlu tahu bahwa pada DOS versi-versi yang terbaru (kalau tidak salah mulai versi 5) AUTOEXEC.BAT bisa dihambat perjalanannya dengan menekan F5 atau F8 (pada MS-DOS), tujuan pemberian fasilitas ini adalah untuk melacak jalannya file-file startup tapi ternyata hal ini telah memberi masalah baru. Cara lain adalah dengan meletakkan program password di boot record atau partisi harddisk. Kedua cara ini sangat tidak aman, karena semua orang bisa saja memboot komputer dari disket DOS yang dibawanya. 
     Untuk sistem operasi Windows 3.1 atau 3.11, keduanya memiliki kelemahan yang sangat besar. Karena keduanya berdiri di atas DOS, maka segala operasinya bisa diatur dari DOS, misalnya kita membuat password dengan meletakkan nama programnya di baris RUN di file WIN.INI, maka file ini bisa dimodifikasi dari DOS. Tidak banyak yang bisa kita lakukan dengan kelemahan ini. 
     Sistem operasi Windows 95 dan Windows 98 juga memiliki kelemahan yang sama, walaupun ada beberapa orang yang mengklaim mampu melindungi Windows 95/98 dengan password namun saya belum pernah mencobanya, karena saya kurang Percy dengan program-program tersebut. Perlu  ketahui ada begitu banyak lubang keamanan di Windows 95/98.  dapat menekan F8 di awal proses boot yang memungkinkan  masuk ke DOS dan memodifikasi semua file sistem Windows, seperti misalnya WIN.INI dan file registry. Perlu  ketahui juga bahwa di Windows 95/98 program-program bisa dijalankan dengan menuliskan namanya di baris RUN di file WIN.INI, dengan meletakkannya di grup STARTUP atau bisa juga dengan meletakkannya di key RUN, RUNONCE, RUNSERVICES atau di RUNSERVICES ONCE di branch HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion di registry dengan cara inilah program-program yang selalu muncul di startup di jalankan (Selain menggunakan kedua cara di atas). Mungkin  mengira registry tidak bisa dimodifikasi dari DOS,  salah, program regedit.exe yang ada di disket startup WINDOWS 95/98 bisa mengubah file registry menjadi file teks biasa dan sebaliknya sehingga  bisa mengubahnya termasuk menghilangkan baris yang menjalankan program password.
     Penekanan F8 (Dan tombol-tombol lain) di Windows 95/98 bisa dimatikan dengan meletakkan baris BOOTKEYS=0 di file MSDOS.SYS. Seperti sudah saya sebutkan dengan cara inipun orang masih bisa masuk menggunakan startup disknya sendiri.  bisa saja mematikan drive A sehingga tidak bisa digunakan untuk boot, namun  akan kesulitan jika suatu ketika Windows  mengalami masalah. 
     Linux merupakan sistem operasi yang saat ini cukup banyak dipakai dan cukup aman, namun bagi orang awam sistem operasi ini masih cukup sulit dipakai. Jika tidak di setting dengan benar sistem operasi ini memiliki beberapa feature default yang memudahkan orang untuk menerobos masuk. 
·        Proteksi Tingkat Aplikasi 
     Jika  memiliki program-program penting yang ingin  lindungi  bisa memberinya password. Beberapa program yang berbahaya atau bersifat rahasia telah menerapkan sistem password ini sebagai bagian darinya, misalnya NU, PCTOOLS dan lain-lain. Ada banyak program DOS yang bisa memberi password ke file-file EXE ataupun COM. Sayangnya tidak banyak yang bisa memberikan hal yang sama untuk file EXE Windows. Oh ya, hatihati dengan program yang memberi password pada file EXE DOS, buat dulu cadangan filenya karena file beberapa file EXE bisa rusak jika diberi password. Bagi para programmer assembly, membongkar password semacam ini tidak sulit, karena jalannya program bisa dilacak dengan menggunakan debugger.
·        Proteksi Tingkat Dokumen 
     Inilah level proteksi terakhir, jika ini berhasil dibongkar maka data-data penting  mungkin akan terbaca oleh orang lain. Untuk program-program yang menyediakan password ketika menyimpan filenya  bisa memanfaatkan fasilitas ini. Tapi hati-hati banyak sekali program yang bisa membongkarnya. Password pada MS WORD, Lotus Organizer dan lain-lain ternyata tidak sulit untuk dibongkar, oleh karena itu  perlu berhati-hati.
     Jika data-data  kelewat penting namun  terpaksa menyimpannya di rumah maka enkriplah data  itu menggunakan program yang benar-benar aman kalau perlu letakkan di disket dan simpan di tempat yang aman. Tahukah  bahwa password PKZIP/WINZIP atau ARJ , yang dikira aman, juga bisa dibongkar? (walaupun tidak mudah). Oleh karena itu  perlu menanyakan dulu kepada ahlinya sebelum  menggunakan suatu program enkripsi.
·        Pengamanan Dari Ketidaksengajaan 
     Tidak selamanya  berhadapan dengan hacker, mungkin yang  takutkan cuma anak  tanpa sengaja menghapus dokumen penting  atau bermain-main dengan gambar yang  miliki, atau  punya koleksi gambar-gambar yang akan membuat  menjadi malu jika ketahuan orang lain. Untuk masalah di atas ada beberapa hal yang bisa dilakukan. Pertama buatlah sebuah direktori khusus di mana  akan meletakkan file-file , pindahkan file-file penting  ke direktori itu. Kedua buatlah attribut direktori itu menjadi hidden, system dan read only, untuk semua file di dalamnya lakukan hal yang sama, gunakan program ATTRIB atau semacamnya. Yang ketiga hanya bagi  yang menggunakan sistem operasi Windows 95/98, jangan membeli program yang akan menghilangkan semua peringatan ketika  menghapus file apa saja, Gunakan shell explorer (Default windows 95/980 kecuali  punya shell yang jauh lebih baik. Jalankan explorer (bagi  yang memakai explorer sebagai shellnya) kemudian pilih menu view | options pada tab View pilihlah hide file of these types dan klik OK.  juga bisa mengganti ekstension file  dengan daftar yang terpampang pada langkah di atas sehingga file  tidak akan ditampilkan. 
     Cara ini memang cukup aman, orang tidak akan bisa dengan tidak sengaja menghapus file-file tersebut. Namun file-file tersebut bisa dengan sengaja di ubah atau dihapus. Jadi pengamanan di tingkat ini hanya untuk menghindari ketidaksengajaan. Hal-hal lain yang perlu diperhatikan antara lain :
Ø Ubahlah nama file program yang berbahaya supaya tidak bisa dijalankan misalnya file FORMAT.EXE dan FDISK.EXE. Beberapa pemula suka mencoba-coba program-program, termasuk program yang berbahaya ini. 
Ø Buatlah cadangan data untuk data yang memang benar-benar penting. 
Ø Ajarkan kepada pemakai komputer baru langkah-langkah apa yang boleh dan yang tidak boleh diambil dalam mengoperasikan komputer. 
Ø Install Anti Virus yang up to date, carilah antivirus yang bisa secara otomatis bekerja di background dan bisa memonitor semua jenis virus termasuk virus dokumen.  Secara umum keempat langkah di atas sudah cukup baik untuk mencegah kesalahan karena ketidaksengajaan.  bisa menambahkan sendiri langkahlangkah yang dianggap perlu.
·        Membuat Password Yang Baik 
     Password yang baik sangat penting untuk mengamankan komputer  oleh karena itu  harus mengetahui cara membuat password yang baik. Walaupun program yang  gunakan sangat canggih, data  bisa saja dibongkar jika seseorang mengetahui password. Beberapa teknik yang diajarkan di sini berlaku juga untuk password non komputer yang  miliki (ATM, TeCC, dan lain-lain) Ada beberapa hal penting yang perlu diketahui dalam pembuatan password : 
Ø Jangan pernah memakai kata yang umum yang ada di kamus, apalagi kamus bahasa Inggris. Kenapa ?, para hacker kadang menggunakan kamus untuk menebak password  dengan program, cara ini dikenal dengan dictionary password cracking/dictionary password attack. 
Ø Gunakan kombinasi angka dan huruf . Beberapa program menggunakan brute force cracking/brute force attack maksudnya program akan mencoba semua kombinasi aa, ab , ac dst sampai passwordnya ketemu, nah untuk melakukan ini diperlukan waktu yang sangat lama, oleh karena itu biasanya beberapa program di set hanya untuk mencari password berupa huruf saja. Sebagai perbandingan coba bandingkan berapa kombinasi yang harus dicari jika menggunakan huruf saja dan kombinasi yang harus dicari bila menggunakan kombinasi huruf dan angka. Rumusnya : banyaknya kombinasi = banyak jenis huruf pangkat panjang password. Untuk password yang memakai huruf saja anggap jenis hurufnya ada 52 (A-Z dan a-z) dan untuk yang memakai huruf dan angka jenis hurufnya ada 62 (A-Z, a-z dan 0..9). 
Ø Password minimal 5 karakter, kurang dari itu akan mudah sekali ditebak.   Gantilah password  secara periodik. 
Ø Jangan gunakan password yang sama untuk berbagai hal. Jika  seorang system administrator jangan gunakan password SUPERVISOR  sebagai password Screen Saver. Mungkin orang akan sulit menebak password supervisor, tapi password screen saver mudah sekali didekripsi. 
Ø Jangan gunakan tanggal lahir  atau keluarga , jangan gunakan nomor telepon  atau nomor plat mobil  sebagai password (berlaku juga untuk password ATM). Ingat musuh  adalah orang dekat  yang mungkin tahu itu semua. 
Ø Jangan bertahukan password  kepada siapapun, termasuk kekasih . 
Ø Jika ada yang menelepon  dan mengatakan bahwa dia perlu password ATM  atau password apa saja, JANGAN berikan apapun alasannya (biasanya alasannya kesalahan komputer atau ada pemeriksaan bahwa kartu ATM  telah disalahgunakan). Walaupun yang menelpon mengaku dari Bank atau dari Polisi. Hubungi Customer Service Bank itu dan tanyakan kebijakkan bank mengenai masalah itu, karena bank tidak pernah menanyakan hal-hal semacam itu. Jika yang menelpon polisi tanyakan nama, pos tempatnya bekerja dan nomor di kartunya. Verifikasikan hal ini ke kantor polisi yang bersangkutan jika  ragu. 
Ø Passwordnya harus mudah diingat, karena kelalaian  bisa menimbulkan masalah. Untuk ini  bisa menggunakan kombinasi nama dan nomor telepon orang yang  sukai yang TIDAK diketahui siapapun. Atau gunakan kombinasi yang hanya  sendiri yang tahu. 
Ø Untuk password email gratis di internet biasanya  akan diminta memasukkan hint question ketika  mendaftar. Guna hint question ini jika  lupa password , mereka akan menanyakan pertanyaan di hint question yang sangat mudah dan mereka akan memberi tahu  password. Jika yakin akan selalu ingat password , jangan isi pilihan hint question. Jika  takut lupa pilihlah pertanyaan yang agak sulit seperti what is your mother's maiden name? dan jangan pertanyaan seperti di mana kamu lahir atau yang lainnya yang sederhana. Banyak sekali orang yang ketahuan passwordnya hanya karena hal sepele ini.
·        Menghapus File 
     Jika  berniat menghapus file untuk menghapus jejak jangan gunakan perintah del./erase biasa, gunakan program khusus karena sebenarnya perintah del /erase tidak menghapus data. Data tersebut masih bisa dikembalikan dengan program Unerase.
2.       Analisa Resiko
Manajemen resiko keamanan komputer memiliki beberapa unsur, khususnya sebagai berikut:
·        Melakukan Analisis Resiko, termasuk analisa biaya-manfaat dari perlindungan-perlindungan.
·        Menerapkan, meninjau ulang, dan melakukan pemeliharaan terhadap perlindungan-perlindungan.
Perlunya Analisa Resiko
·        Memberi gambaran biaya perlindungan keamanan
·        Mendukung proses pengambilan keputusan yg berhubungan dengan konfigurasi HW dan desain sistem SW
·        Membantu perusahaan untuk fokus pada penyediaan sumber daya keamanan
·        Menentukan aset tambahan (orang, HW, SW, infrastruktur, layanan)
·        Memperkirakan aset mana yang rawan terhadap ancaman
·        Memperkirakan resiko apa yang akan terjadi terhadap aset
·        Menentukan solusi untuk mengatasi resiko dengan penerapan sejumlah kendali
Tujuan dari Analisis Resiko
          Tujuan utama tentang melakukan Analisis Resiko adalah untuk mengukur dampak dari ancaman-ancaman yang berpotensi untuk berdampak terhadap sistem, serta untuk menafsir harga atau nilai terhadap kemampuan bisnis yang hilang akibat ancaman-ancaman tersebut.  Kedua hasil utama dari suatu analisis resiko adalah the identifikasi dari resikoresiko dan pertimbangan kerugian / keuntungan dari pengantisipasian ancamanancaman tersebut - merupakan hal yang sangat penting pada saat pembuatan suatu strategi peringanan resiko.  Terdapat beberapa manfaat dari melakukan Analisis Resiko, antara lain :
·        Dapat membuat satu perbandingan kerugian/keuntungan yang jelas untuk perlindungan keamanan. 
·        Mempengaruhi proses pengambilan keputusan yang bersangkutan dengan konfigurasi perangkat keras dan desain sistem perangkat lunak. 
·        Dan juga dapat mempengaruhi keputusan-keputusan konstruksi dan perencanaan.
 KONSEP
RUMUSAN
Exposure Factor (EF)
Presentasi dari kerugian asset yang disebabkan oleh ancaman
Perkiraan Kerugian Tunggal
(SLE : Single Loss Expectancy)
Nilai Aset * Exposure Factor (EF)
Tingkat Kejadian Gabungan
(ARO : Anualized Rate of Occurrence)
Frequensi kejadi ancaman per-tahun
Perkiraan Kerugian Gabungan (ALE : Annualized Loss Expectancy)
Perkiraan Kerugian Tunggal (SLE)  * Tingkat Kejadian Gabungan (ARO)
Tabel 10.1. Rumusan-rumusan Analisis Resiko

Metode Menganalisa Resiko Keamanan Sistem Informasi
Terdapat empat unsur dasar dalam proses Analisis Resiko:
1.     Analisis Resiko Kuantitatif
2.     Analisis Resiko Kualitatif
3.     Proses Penilaian Aset
4.     Pemilihan Upaya Pengamanan
Tahapan Melakukan Analisa Resiko Keamanan Sistem Informasi
Ketiga tahapan utama dalam melaksanakan satu analisis risiko adalah serupa dengan tahapan-tahapan dalam melaksanakan satu Penilaian Dampak Bisnis. Analisis resiko biasanya jauh lebih menyeluruh, dan dirancang untuk digunakan untuk mengukur skenario resiko yang banyak dan rumit. Ketiga tahapan-tahapan utama adalah sebagai berikut:
1.     Menafsir kerugian potensial terhadap aset-aset dengan menentukan nilai mereka.
2.     Melakukan analisa terhadap ancaman-ancaman potensial terhadap asetaset.
3.     Mendefinisikan Perkiraan Kerugian Gabungan (ALE)
3.       Perencanaan SOP Keamanan Dalam Sistem Komputer
          Ada banyak tahapan dalam mengamankan suatu sistem informasi, namun pada tahap awalnya kita harus membuat suatu security policy yang mendasari pembuatan security plan. Security policy berisi tentang aturan-aturan yang akan membantu memastikan setiap kinerja para karyawan dalam bekerja sesuai dengan apa yang diinginkan perusahaan. Semua batasan-batasan secara jelas dipaparkan dalam security plan sehingga seluruh karyawan mengerti aturan-aturan yang berkaitan dengan keamanan informasi atau basis data perusahaan. Dalam membangun security plan sistem keamanan basis data, upaya pertimbangan yang dilakukan mencakup hal-hal berikut :
1.     keamanan dari sisi sistem ( System Security ) 
2.     keamanan dari sisi data ( Data Security )
3.     keamanan dari sisi pengguna ( User Security )
4.     manajemen password ( Password Management ) .
Keamanan Dari Sisi Sistem
          Setiap database memiliki satu atau lebih administrator yang bertanggung jawab terhadap segala aspek mengenai kebijakan sekuritas, yaitu security administrator . Kebijakan sekuritas dari suatu database terdiri dari beberapa sub-kebijakan sebagai berikut:

Ø Database user management
User dari database merupakan jalur akses menuju informasi dalam suatu database. Maka dari itu, manajemen user dari database harus memiliki kemanan yang ketat. Tergantung dari besarnya sistem database dan jumlah pekerjaan mengatur user dari database, s e c u r i t y a d m i n i s t r a t o r mungkin menjadi satusatunya user yang memiliki privilege untuk melakukan perintah create, alter, atau drop user dari database. Namun ada juga administrator lain yang memiliki privilege untuk mengatur user dari database. Bagaimanapun juga, hanya individual yang bisa dipercaya yang memiliki powerful privilege untuk mengatur user dari database. 
Ø User authentication
User dari database dapat diautentikasi dengan menggunakan password database, sistem operasi, layanan jaringan, atau Secure Socket Layer (SSL).  
Ø Operating system security
Hal-hal lain yang perlu dipertimbangkan  di lingkungan sistem operasi yang berkaitan dengan keamanan aplikasi database adalah sebagai berikut:
·        Administrator database harus memiliki privilege sistem operasi untuk membuat dan menghapus file;
·        User umum dari database tidak memiliki privilege sistem operasi untuk membuat atau menghapus file yang berkaitan dengan database. 
Keamanan Dari Sisi Data
          Sekuritas data merupakan suatu mekanisme yang mengontrol akses dan penggunaan database pada level obyek. Manajemen sekuritas data menentukan user mana yang memiliki akses ke obyek skema tertentu. Misalnya, user tertentu dapat melakukan perintah select dan insert , tapi tidak dapat melakukan perintah delete terhadap tabel tertentu pula. Manajemen sekuritas data ditentukan berdasarkan seberapa jauh level keamanan yang akan dibangun untuk data dalam database. Secara umum, level sekuritas data bergantung pada tingkat sensitifitas suatu data dalam database.
Keamanan Dari Sisi Pengguna
Manajemen keamanan user dapat dibagi menjadi aspek-aspek berikut :
Ø General user security , menyangkut hal-hal mengenai sekuritas password dan manajemen akses;
Ø End - user security , bila cakupan database sangat besar dengan banyak user, maka s e c u r i t y a d m i n i s t r a t o r harus menentukan kelompok kategori user, membuat role untuk setiap kelompok user, melakukan grant privilegeterhadap kategori role, dan menempatkan role tersebut kepada masingmasing user; 
Ø Administrator security , bila cakupan database besar dan terdapat beberapa macam database administrator, s e c u r i t y a d m i n i s t r a t o r harus menentukan kelompok privilege administratif untuk dimasukkan dalam beberapa role administratif;
Ø  Application developer security , security administrator perlu mendefinisikan kebijakan sekuritas yang khusus membangun aplikasi berbasis database;
Ø  Application administrator security , dalam suatu sistem database besar yang memiliki banyak aplikasi database, diperlukan beberapa administrator aplikasi, yang memiliki tugas membuat role untuk aplikasi dan mengatur privilege untuk setiap role aplikasi.
Manajemen Password
         Sistem keamanan database bergantung pada kerahasiaan penyimpanan password. Namun demikian, panggunaan password masih saja rentan terhadap pencurian, pemalsuan, dan penyalahgunaan. Untuk itu diperlukan manajemen password. Sebagai contoh, database Oracle memiliki manajemen password yang dapat mengatasi hal-hal berikut:
·        Account locking
Jika ada user yang melakukan kesalahan login beberapa kali melebihi dengan yang sudah ditentukan, maka server secara otomatis akan melakukan locking terhadap account tersebut. Administrator akan menentukan jumlah batas percobaan kesalahan melakukan login, dan lamanya account akan dilocking . Namun administrator juga dapat melakukan locking terhadap account tertentu secara langsung. Locking dengan cara ini, tidak dapat dilakukan unlocking secara otomatis.
·        Password aging & expiration
Administrator dapat menentukan masa berlakunya penggunaan password. Bila masa berlakunya sudah lewat, maka user tersebut atau administratornya harus mengubah password tersebut. Administrator juga dapat menentukan g r a c e p e r i o d , yaitu tenggang waktu yang diberikan kepada user untuk mengganti passwordnya. Bila passwordnya belum diganti hingga grace period berakhir, maka accountnya akan hangus dan user tersebut tidak dapat lagi melakukan login. Administrator juga dapat menentukan interval waktu di mana password yang sudah expired tidak dapat digunakan lagi secara langsung.
·        Password complexity verification
Password Complexity Verification Password complexity verification dapat dispesifikasi menggunakan PL/SQL yang akan mengatur parameter profil default. P a s s w o r d c o m p l e x i t y verification akan melakukan pemeriksaan-pemeriksaan berikut:
Ø password memiliki panjang minimum 4
Ø password tidak sama dengan user ID;
Ø password sedikitnya memiliki satu alfa, satu numerik, dan satu tanda baca;
Ø password tidak boleh sama dengan kata-kata sederhana seperti welcome, account, database, atau user;
Ø password yang baru harus berbeda sedikitnya tiga huruf dengan password yang lama.
4.       Pengembangan Audit Keamanan Dalam Sistem Komputer
          Audit keamanan komputer (computer security audit) adalah penilaian atau evaluasi teknis yang sistematis dan terukur mengenai keamanan komputer dan aplikasinya. Audit keamanan komputer ini terdiri dari dua bagian: penilaian otomatis dan non-otomatis. Penilaian otomatis berkaitan dengan pembuatan laporan audit yang dijalankan oleh suatu perangkat lunak terhadap perubahan status file dalam komputer: create, modify, delete, dll. Penilaian non-otomatis berhubungan dengan kegiatan interview kepada staf yang menangani komputer, evaluasi kerawanan dan keamanan komputer, pengamatan terhadap semua akses ke sistem operasi dan software aplikasinya, serta analisa semua akses fisik terhadap sistem komputer secara menyeluruh. Sistem yang dinilai dan dievaluasi tidak hanya komputernya saja, tetapi meliputi semua PC, server, mainframe, jaringan komputer, router, saklar data, serta segala macam software yang dipakai oleh organisasi atau perusahaan yang bersangkutan.
          Saat ini, penggunaan sistem informasi akuntansi berbasis komputer oleh organisasi bisnis dan banyak organisasi lainya meningkat pesat. Penggunaan aplikasi akuntansi berbasis komputer juga mempunyai dampak yang cukup signifikan bagi profesi akuntan. Kompleksitas masalah-masalah dalam lingkungan Pemrosesan Data Elektronik mendorong auditor untuk mengembangkan prosedur dan teknik untuk mengendalikan dan memeriksa sistem akuntansi berbasis komputer yang lebih rumit. Komputerisasi atau penggunaan sistem akuntansi berbasis komputer untuk menggantikan sistem manual, secara otomatis akan mengurangi atau bahkan meninggalkan dokumen-dokumen konvensional (hardcopy) yang bersifat verifiable evidence dan mengarah ke paperless office. Dokumen atau hardcopy bukan lagi menjadi bagian utama untuk tujuan pencatatan. Dokumen-dokumen tersebut digantikan dengan sinyal kode binary digit dalam bahasa komputer yang intangible.
          Perubahan yang fundamental akibat kemajuan teknologi juga menyebabkan terjadinya kesalahan-kesalahan, baik tindak kecurangan maupun kelalaian, dalam bentuk yang sama sekali baru. Oleh karena itu perlu adanya upaya pencegahan terhadap segala bentuk kesalahan oleh komputer dan pengamanan terhadap sistem informasi berbasis komputer tersebut. Hal ini, konsekuensinya, berdampak pada peningkatan kebutuhan pemeriksaan akuntan di lingkungan Pemrosesan Data Elektronik.

SUMBER :

Pertemuan ke-11 dan 12
Permasalahan Trend dan Kedepan

1.       Trusted Computing Group
          Trusted Computing Group (TCG) adalah organisasi nirlaba yang dibentuk untuk mengembangkan, menetapkan, dan mempromosikan standar terbuka untuk teknologi komputasi dan keamanan yang didukung perangkat keras, termasuk blok bangunan perangkat keras dan antarmuka perangkat lunak, di berbagai platform, periferal, dan perangkat. Spesifikasi TCG akan memungkinkan lingkungan komputasi yang lebih aman tanpa mengorbankan integritas fungsional, privasi, atau hak individu. Tujuan utamanya adalah untuk membantu pengguna melindungi aset informasinya (data, kata sandi, kunci, dan sebagainya) dari kompromi karena serangan perangkat lunak eksternal dan pencurian fisik. TCG telah mengadopsi spesifikasi TCPA [Trusted Computing Platform Alliance] dan keduanya akan meningkatkan spesifikasi ini dan memperluas spesifikasi di berbagai platform seperti server, PDA, dan telepon digital. Selain itu, TCG akan membuat spesifikasi antarmuka perangkat lunak TCG untuk memungkinkan adopsi industri secara luas.

2.Digital Right Management
          Digital Rights Management (DRM) adalah hiponim yang merujuk kepada teknologi pengaturan akses yang digunakan oleh para penerbit atau pemegang hak cipta untuk membatasi penggunaan suatu media atau alat digital. Istilah ini juga dapat diartikan sebagai pembatasan terhadap bagian tertentu dari suatu karya atau alat digital. Secara luas, DRM saling tumpang tindih dengan perangkat lunak proteksi salinan (copy protection), namun istilah DRM biasanya digunakan untuk media kreatif (musik, film, dan lain-lain) sementara istilah ‘proteksi salinan’ cenderung digunakan untuk mekanisme proteksi salinan di perangkat-perangkat lunak komputer.
          Penggunaan manajemen hak digital (DRM) merupakan hal yang kontroversial. Sementara pendukungnya menyatakan bahwa DRM diperlukan untuk mencegah pembajakan salinan yang merugikan pendapatan mereka, maka para penentangnya, seperti Yayasan Perangkat Lunak Bebas (FSF), menyatakan bahwa penggunaan istilah ‘hak’ adalah menyesatkan dan menyarankan agar menggantinya dengan istilah manajemen pembatasan digital. Sikap mereka didasari atas pandangan bahwa para pemegang hak cipta berusaha untuk membatasi penggunaan materi ber_hak-cipta dengan cara-cara yang tidak dilindungi oleh hukum yang ada. Electronic Frontier Foundation, dan para penentang lainnya, juga menganggap sistem DRM sebagai sebuah praktik anti kompetisi.
4.       Trend Masalah Keamanan Kedepan Dan BioInformatika
          Bioinformatika adalah ilmu yang mempelajari penerapan teknik komputasional untuk mengelola dan menganalisis informasi biologis. Bioinformatika merupakan ilmu gabungan antara ilmu biologi dan ilmu teknik informasi (TI). Pada umumnya, Bioinformatika didefenisikan sebagai aplikasi dari alat komputasi dan analisa untuk menangkap dan menginterpretasikan data-data biologi. Ilmu ini merupakan ilmu baru yang yang merangkup berbagai disiplin ilmu termasuk ilmu komputer, matematika dan fisika, biologi, dan ilmu kedokteran , dimana kesemuanya saling menunjang dan saling bermanfaat satu sama lainnya. Ilmu bioinformatika lahir atas insiatif para ahli ilmu komputer berdasarkan artificial intelligence. Mereka berpikir bahwa semua gejala yang ada di alam ini bisa dibuat secara artificial melalui simulasi dari gejala-gejala tersebut. Berbagai kajian baru bermunculan, sejalan dengan perkembangan TI dan disiplin ilmu yang didukungnya. Aplikasi TI dalam bidang biologi molekul telah melahirkan bidang Bioinformatika. Kajian ini semakin penting, sebab perkembangannya telah mendorong kemajuan bioteknologi di satu sisi, dan pada sisi lain memberi efek domino pada bidang kedokteran, farmasi, lingkungan dan lainnya.
          Bioinformatika mencangkup ruang lingkup yang sangat luas dan mempunyai peran yang sangat besar dalam bidangnya. Bahkan pada bidang pelayanan kesehatan Bioinformatika menimbulkan disiplin ilmu baru yang menyebabkan peningkatan pelayanan kesehatan. Bioteknologi modern ditandai dengan kemampuan manusia untuk memanipulasi kode genetik DNA. Berbagai aplikasinya telah merambah sektor kedokteran, pangan, lingkungan, dsb. Kemajuan ilmu Bioinformatika ini dimulai dari genome project yang dilaksanakan di seluruh dunia dan menghasilkan tumpukan informasi gen dari berbagai makhluk hidup, mulai dari makhluk hidup tingkat rendah sampai makhluk hidup tingkat tinggi.
          Bioinformatika bukan hanya sekedar bagi seorang ahli biologi yang sedang menggunakan komputer untuk menyimpan dan mengambil data tapi tahap lebih dari itu, dimana komputer merupakan software dalam melakukan penelitian terhadap data biologis, yaitu:
a.     Komputer dari sel-sel hidup
Usaha para ilmuwan untuk mengembangkan komputer dari selsel hidup mulai memperoleh hasil. Sejumlah ilmuwan di Universitas Princeton, Amerika Serikat berhasil menumbuhkan bakteri yang dapat bertingkah laku mirip komputer. Bakteri-bakteri tersebut saling merakit satu sarna lain membentuk formasi yang komplek sesuai instruksi yang diberikan pada kode genetiknya.
b.     Forensik komputer
Kita tentu biasa mendengar mengenai ujian DNA yang dijalankan ke atas seseorang bagi mengenal pasti keturunan, penyakit dan sebagainya dalam industri perobatan dunia. Begitu juga ujian forensikyang dijalankan ke atas mayat-mayat bagi mengenalpasti pelbagai kemungkinan punca kematian dan faktor-faktor berkaitan.Bagaimanapun, sebenarnya teknologi forensik dalam bidang pengobatan juga kini telah diaplikasikan dalam dunia teknologi pengkomputeran digital yang semakin mencatatkan perkembangan pesat.
c.      Bioinformatika berkaitan dengan teknologi database.
Pada saat ini banyak pekerjaan bioinformatika berkaitan dengan teknologi database. Penggunaan database ini meliputi baik tempat penyimpanan database  seperti GenBank atau PDB maupun database pribadi, seperti yang digunakan oleh grup riset yang terlibat dalam proyek pemetaan gen atau database yang dimiliki oleh perusahaan-perusahaan bioteknologi.
          Bioinformatika masih belum dikenal oleh masyarakat luas. Hal ini dapat dimaklumi karena penggunaan komputer sebagai alat bantu belum merupakan budaya. Bahkan di kalangan peneliti sendiri, barangkali hanya para peneliti biologi molekul yang sedikit banyak mengikuti perkembangannya karena keharusan menggunakan perangkat-perangkat bioinformatika untuk analisa data.Sementara di kalangan TI masih kurang mendapat perhatian. Ketersediaan database dasar (DNA, protein) yang bersifat terbukalgratis merupakan peluang besar untuk menggali informasi berharga daripadanya.Database genom manusia sudah disepakati akan bersifat terbuka untuk seluruh kalangan, sehingga dapat di gali atau diketahui kandidat-kandidat gen yang memiliki potensi kedokteran atau farmasi.
SEJARAH
          Bioinformatika pertamakali dikemukakan pada pertengahan 1980an untuk mengacu kepada penerapan ilmu komputer dalam bidang biologi. Meskipun demikian, penerapan bidang-bidang dalam bioinformatika seperti pembuatan pangkalan data dan pengembangan algoritma untuk analisis sekuens biologi telah dilakukan sejak tahun 1960an. Kemajuan teknik biologi molekuler dalam mengungkap sekuens biologi protein (sejak awal 1950an) dan asam nukleat (sejak 1960an) mengawali perkembangan pangkalan data dan teknik analisis sekuens biologi. Pangkalan data sekuens protein mulai dikembangkan pada tahun 1960an di Amerika Serikat, sementara pangkalan data sekuens DNA dikembangkan pada akhir 1970an di Amerika Serikat dan Jerman pada Laboratorium Biologi Molekuler Eropa (European Molecular Biology Laboratory). Penemuan teknik sekuensing DNA yang lebih cepat pada pertengahan 1970an menjadi landasan terjadinya ledakan jumlah sekuens DNA yang dapat diungkapkan pada 1980an dan 1990an. Hal ini menjadi salah satu pembuka jalan bagi proyek-proyek pengungkapan genom, yang meningkatkan kebutuhan akan pengelolaan dan analisis sekuens, dan pada akhirnya menyebabkan lahirnya bioinformatika.
          Perkembangan jaringan internet juga mendukung berkembangnya bioinformatika. Pangkalan data bioinformatika yang terhubungkan melalui internet memudahkan ilmuwan dalam mengumpulkan hasil sekuensing ke dalam pangkalan data tersebut serta memperoleh sekuens biologi sebagai bahan analisis. Selain itu, penyebaran program-program aplikasi bioinformatika melalui internet memudahkan ilmuwan dalam mengakses program-program tersebut dan kemudian memudahkan pengembangannya.
CABANG-CABANG YANG TERKAIT DENGAN BIOINFORMATIKA
          Dari pengertian Bioinformatika yang telah dijelaskan, kita dapat menemukan banyak terdapat banyak cabang-cabang disiplin ilmu yang terkait dengan Bioinformatika, terutama karena bioinformatika itu sendiri merupakan suatu bidang interdisipliner. Hal tersebut menimbulkan banyak pilihan bagi orang yang ingin mendalami Bioinformatika.
Ø Biophysics
Adalah sebuah bidang interdisipliner yang mengalikasikan teknik-teknik dari ilmu Fisika untuk memahami struktur dan fungsi biologi (British Biophysical Society). Disiplin ilmu ini terkait dengan Bioinformatika karena penggunaan teknik-teknik dari ilmu Fisika untuk memahami struktur membutuhkan penggunaan TI.
Ø Computational Biology
Computational biology merupakan bagian dari Bioinformatika (dalam arti yang paling luas) yang paling dekat dengan bidang Biologi umum klasik. Fokus dari computational biology adalah gerak evolusi, populasi, dan biologi teoritis daripada biomedis dalam molekul dan sel.
Ø Medical Informatics
Menurut Aamir Zakaria [ZAKARIA2004] Pengertian dari medical informatics adalah “sebuah disiplin ilmu yang baru yang didefinisikan sebagai pembelajaran, penemuan, dan implementasi dari struktur dan algoritma untuk meningkatkan komunikasi, pengertian dan manajemen informasi medis.” Medical informatics lebih memperhatikan struktur dan algoritma untuk pengolahan data medis, dibandingkan dengan data itu sendiri. Disiplin ilmu ini, untuk alasan praktis, kemungkinan besar berkaitan dengan data-data yang didapatkan pada level biologi yang lebih “rumit”.
Ø Cheminformatics
Cheminformatics adalah kombinasi dari sintesis kimia, penyaringan biologis, dan pendekatan data-mining yang digunakan untuk penemuan dan pengembangan obat (Cambridge Healthech Institute’s Sixth Annual Cheminformatics conference). Kemungkinan penggunaan TI untuk merencanakan secara cerdas dan dengan mengotomatiskan proses-proses yang terkait dengan sintesis kimiawi dari komponenkomponen pengobatan merupakan suatu prospek yang sangat menarik bagi ahli kimia dan ahli biokimia.
Ø Genomics
Genomics adalah bidang ilmu yang ada sebelum selesainya sekuen genom, kecuali dalam bentuk yang paling kasar. Genomics adalah setiap usaha untukmenganalisa atau membandingkan seluruh komplemen genetik dari satu spesies atau lebih. Secara logis tentu saja mungkin untuk membandingkan genom-genom dengan membandingkan kurang lebih suatu himpunan bagian dari gen di dalam genom yang representatif.
Ø Mathematical Biology
Mathematical biology juga menangani masalah-masalah biologi, namun metode yang digunakan untuk menangani masalah tersebut tidak perlu secara numerik dan tidak perlu diimplementasikan dalam software maupun hardware. Menurut Alex Kasman [KASMAN2004] Secara umum mathematical biology melingkupi semua ketertarikan teoritis yang tidak perlu merupakan sesuatu yang beralgoritma, dan tidak perlu dalam bentuk molekul, dan tidak perlu berguna dalam menganalisis data yang terkumpul.
Ø Proteomics
Istilah proteomics pertama kali digunakan untuk menggambarkan himpunan dari protein-protein yang tersusun (encoded) oleh genom. Michael J. Dunn [DUNN2004], mendefiniskan kata “proteome” sebagai: “The PROTEin complement of the genOME“. Dan mendefinisikan proteomics berkaitan dengan: “studi kuantitatif dan kualitatif dari ekspresi gen di level dari protein-protein fungsional itu sendiri”. Yaitu: “sebuah antarmuka antara biokimia protein dengan biologi molekul”.
Ø Pharmacogenomics
Pharmacogenomics adalah aplikasi dari pendekatan genomik dan teknologi pada identifikasi dari target-target obat. Contohnya meliputi menjaring semua genom untuk penerima yang potensial dengan menggunakan cara Bioinformatika, atau dengan menyelidiki bentuk pola dari ekspresi gen di dalam baik patogen maupun induk selama terjadinya infeksi, atau maupun dengan memeriksa karakteristik pola-pola ekspresi yang ditemukan dalam tumor atau contoh dari pasien untuk kepentingan diagnosa (kemungkinan untuk mengejar target potensial terapi kanker). Istilah pharmacogenomics digunakan lebih untuk urusan yang lebih “trivial” — tetapi dapat diargumentasikan lebih berguna– dari aplikasi pendekatan Bioinformatika pada pengkatalogan dan pemrosesan informasi yang berkaitan dengan ilmu Farmasi dan Genetika, untuk contohnya adalah pengumpulan informasi pasien dalam database.
Ø Pharmacogenetics
Pharmacogenetics adalah bagian dari pharmacogenomics yang menggunakan metode genomik/Bioinformatika untuk mengidentifikasi hubungan-hubungan genomik, contohnya SNP (Single Nucleotide Polymorphisms), karakteristik dari profil respons pasien tertentu dan menggunakan informasi-informasi tersebut untuk memberitahu administrasi dan pengembangan terapi pengobatan. Gambaran dari sebagian bidang-bidang yang terkait dengan Bioinformatika di atas memperlihatkan bahwa Bioinformatika mempunyai ruang lingkup yang sangat luas dan mempunyai peran yang sangat besar dalam bidangnya. Bahkan pada bidang pelayanan kesehatan Bioinformatika menimbulkan disiplin ilmu baru yang menyebabkan peningkatan pelayanan kesehatan.
Contoh-contoh Penggunaan Bioinformatika :
1. Bioinformatika dalam bidang klinis
Bioinformatika dalam bidang klinis sring juga disebut sebagai informatika klinis (clinical informatics). Aplikasi dari informatika klinis ini berbentuk manajemen data-data klinis dari pasien melalui Electrical Medical Record (EMR) yang dikembangkan oleh Clement J. McDonald dari Indiana University School of Medicine pada tahun 1972. McDonald pertama kali mengaplikasikan EMR pada 33 orang pasien penyakit gula (diabetes). Sekarang EMR telah diaplikasikan pada berbagai macam penyakit seperti data analisa diagnosa laboratorium, hasil konsultasi dan saran, foto rontgen, ukuran detak jantung, dll.
2. Bioinformatika untuk identifikasi Agent penyakit baru
Bioinformatika juga menyediakan tool yang sangat penting untuk identifikasi agent penyakit yang belum dikenal penyebabnya. Misalnya saja seperti SARS (Severe Acute Respiratory Syndrome) yang dulu pernah berkembang.
3. Bioinformatika untuk diagnose penyakit baru
Untuk menangani penyakit baru diperlukan diagnosa yang akurat sehingga dapat dibedakan dengan penyakit lain. Diagnosa yang akurat ini sangat diperlukan untuk pemberian obat dan perawatan yang tepat bagi pasien.
Ada beberapa cara untuk mendiagnosa suatu penyakit, antara lain: isolasi agent penyebab penyakit tersebut dan analisa morfologinya, deteksi antibodi yang dihasilkan dari infeksi dengan teknik enzyme-linked immunosorbent assay (ELISA), dan deteksi gen dari agent pembawa penyakit tersebut dengan Polymerase Chain Reaction (PCR).
4. Bioinformatika untuk penemuan obat
Cara untuk menemukan obat biasanya dilakukan dengan menemukan zat/senyawa yang dapat menekan perkembangbiakan suatu agent penyebab penyakit. Karena perkembangbiakan agent tersebut dipengaruhi oleh banyak faktor, maka faktor-faktor inilah yang dijadikan target. Diantaranya adalah enzim-enzim yang diperlukan untuk perkembangbiakan suatu agent.

SUMBER :



Tugas Penulisan Softskill

TUGAS SOFTSKILL 4 AUDIT TEKNOLOGI SISTEM INFORMASI TUGAS PENULISAN NAMA                        :  ANDRU TRI SETYO NPM      ...