KEAMANAN INFORMASI
Seperti : Owners, Employee, Management, Customers/Client, dll.
2. Process : What we do ? ( Proses adalah kegiatan yang apa kita lakukan untuk menjaga sebuah data atau informasi )
Seperti : mengacuh pada work practice dan work flow, Helpdesk, Service management, Change request process, dll.
Seperti : Remote Access Service, Wireless Connectivity, Data/Voice Network.
KLASIFIKASI KEAMANAN INFORMASI :
1. Fisik (PHYSICAL SECURITY): Memfokuskan untuk mengamankan individu atau kerja dari berbagai ancaman.
Contoh : Wifi Café, data center (tempat penyimpanan server).
2. Manusia (Personal Security/ People) : Aspek dimana keamanaan informasi berhubungan dengan personalnya.
Contoh : Password yang lemah
3. Kebijakan dan Prosedur (Policy dan Procedure) :
>Policy : Akses ke semua sumber daya jaringan diberikan melalui user ID dan pass yang unik.
>Standards : Password panjangnya 8 karakter (minimal.
>Guidelines,Procedure, Practice : Password harus mengandung keabsahan dan tidak ditemukan dalam kamus.
4. Data, Media, Teknik Komunikasi : Kelemahan dalam software yang digunakan untuk mengelolah data.
Contoh : Seorang kriminal dapat dengan mudah memasang virus/trojan horse untuk mengumpulkan informasi seperti password.
KEAMANAN INFORMASI :
- Network Security : merupakan keamanan yang focus dalam saluran (media) pembawa informasi
- Computer Security : merupakan keamanan yang focus dalam computer (end system,host) yang termasuk system operasi (operation system),OS)
- Application Security : merupakan keamana yang focus dalam aplikasi system database
KEAMANAN INFORMASI :
PRINSIP KEAMANAN INFORMASI :
1. Confidentiality
2. Integrity
3. Availibility
4. Ketiga diatas sering disebut dengan CIA
5. Tambahan lainnya:
>Non-repudiation
>Authentication
>Access Control
>Accountability
A. Confidentiality (Kerahasian): data bersifat rahasia yang tidak boleh diakses oleh orang yang tidak berhak.
Seperti : data pelanggan, data pribadi dan data Kesehatan.
> Cara serangan pada Confidentiality : Penyadapan (Sniffing) ,Mengintip (Shouldering), Cracking, dan Social Enginering
> Cara melindugi Confidentiality dari serangan : Proteksi ,Memisahkan jaringan/ Aplikasi/ VLAN, Penerapan kriptografi , Firewall, Pemantauan log
B. Integrity (Integritas) : data (system) yang tidak dapat berubah oleh pihak yang tidak berhak.
Seperti : saldo rekening.
> Cara serangan pada Integrity : Spoofing (Pemalsuan data) , Ramsomware, Man in The Middle (MiTM) attack
> Cara melindungi Integrity dari serangan : Message Authentication Code (MAC), Hash Function – Blockchain, Digital Signature
C. Avalibility (Ketersedian) : data/system/Informasi harus tersedia ketika dibutuhkan karena disebabkan semakin tingginya ketergantungan kepada IT dan apabila tidak tersedianya data akan mengakibatkan kegagalan yang bisa berdampak pada finansial.
Seperti : security yang tidak terikat dengan enkripsi (kriptografi).
> Cara Serangan pada Avalibility : Menghilangkan layanan Denial Of Service (DOS), Serangan DOS berupa : jaringan, Aplikasi dan infrastruktur pendukung (Listrik) , Menyerang dari berbagai tempat Distributed Denial Of Service (DDOS)
> Cara Melindungi : Redunsasi dan duplika, Backup dan Restore , Filtaring, BCP
D. Tambahan lainnya :
a. Non-Repudation merupakan aspek yang tidak dapat menyangkal bahwa telah melakukan transaksi.
> Serangan : Transaksi Palsu, Spoofin, Menghapus Jejak
> Perlindungan : MAC, Hash Function, Digital Signature, Logging
b. Aunthentication merupakan aspek yang meyakinkan keaslian data.
Contohnya : Password, Pin, Id Card dan biometric identity.
Serangan : Identitas palsu, Terminal palsu, Situs Gadungan
c. Access Control merupakan aspek yang membutuhkan klasifikasi data.
Komponen Access Control : Authentication, Authorization
Strategi Access Control : Role Based Access, Discreatonary Acces Control (DAC), Mandatory Access Control (MAC), Attibute Based Access Control
d. Accountability (Accountabilitas):
Dapat dipertanggung jawabkan, Melalui mekanisme logging dan audit, Adanya kebijakan dan prosedur (Policy & Procedure)
Tidak ada komentar:
Posting Komentar