Prinsip dan Sasaran Access Control

Seri Manajemen Keamanan Informasi : Access Control (1)

Pengendalian akses (access control) menjadi pertimbangan pertama saat seorang profesional Sistem Keamanan Informasi akan membuat program keamanan informasi. Keistimewaan dan variasi mekanisme access control baik secara fisik, teknik dan administrasi akan membangun arsitektur keamanan informasi yang praktis untuk melindungi informasi penting dan sensitif yang menjadi aset organisasi.

Privasi (secara individu) adalah salah satu alasan penerapan access control dalam organisasi. Saat ini teknologi telah membuat pertukaran informasi menjadi semakin mudah dan semakin luas, sehingga usaha-usaha perlindungan informasi menjadi semakin kompleks dan sulit.

Jenis-jenis pengendalian dalam keamanan informasi

Keamanan secara umum dapat didefinisikan sebagai bebas dari bahaya atau dalam kondisi selamat. Secara spesifik dalam keamanan komputer didefinisikan sebagai perlindungan data dan komputer dalam sistem terhadap pengungkapan, modifikasi, perusakan atau denial of service (DoS) oleh pihak yang tidak berhak.

Sistem pengendalian keamanan komputer secara relatif akan menghambat/menghalangi produktifitas. Untuk itu penerapan keamanan harus selalu dikompromikan secara praktis baik sistem, operasional dan administratif dengan produktifitas organisasi.

A. Pengendalian secara fisik

Keamanan secara fisik (dalam lingkup keamanan informasi) adalah penggunaan kunci, penjagaan, sistem tanda pengenal, alarm dan hal-hal semacam itu yang digunakan untuk pengendalian akses komputer baik alatnya maupun proses dari fasilitas itu. Semua alat-alat dan prosedur tersebut umumnya digunakan untuk mencegah spionase, pencurian, perusakan atau kecelakaan baik akibat bencana alam maupun keteledoran manusia.

1. Pencegahan dalam pengendalian secara fisik

Pencegahan yang dimaksud disini adalah usaha mencegah pihak-pihak yang tidak berhak agar tidak memasuki / menggunakan sumberdaya komputer dan juga melindunginya dari bahaya bencana alam. Hal-hal yang termasuk kategori pencegahan ini adalah :

– Back-up file/dokumentasi : yaitu untuk mencegah agar bila terjadi kecelakaan terhadap sistem komputer, file/dokumen penting tetap ada. Dokumen back-up ini sebaiknya disimpan ditempat yang berjauhan dan dengan perlakuan keamanan yang setara dengan dokumen aktifnya.

– Pemagaran : yaitu untuk membatasi agar hanya orang-orang yang berhak saja yang dapat memasuki sistem. Termasuk dalam sistem pemagaran adalah CCTV, alarm, anjing penjaga dan pagar.

– Penjaga keamanan : pada intinya hampir sama dengan pemagaran namun dengan keunggulan dapat melihat hal-hal yang berkenaan dengan bawaan personel yang akan memasuki area sistem. Agar lebih efektif perlu ditunjang dengan alat-alat elektronik seperti detektor.

– Sistem tanda pengenal : yaitu untuk mengenali bahwa orang tersebut adalah pihak yang memang diberikan akses tertentu.

– Sistem pintu ganda : biasanya digunakan untuk membedakan level keamanan dalam sebuah sistem. Umumnya pintu 1 adalah area aman dan pintu 2 adalah area terbatas.

– Kunci : yang dimaksud adalah kunci (yang terbuat dari) metal dan kunci kriptografi.

– Back-up power : yaitu untuk memastikan tidak ada pemutusan power/listrik secara mendadak yang akan mengakibatkan kerusakan pada sistem. Back-up power biasanya berupa baterai cadangan atau generator diesel. Perangkat yang paling populer adalah ups (uninterruptible power supply).

– Access Control biometrik : fungsinya hampir sama dengan sistem tanda pengenal, namun menjadi lebih baik karena biometrik menempel pada tubuh, sehingga kecil kemungkinannya untuk hilang atau terlupakan. Access control biometrik ini sangat baik digunakan untuk level keamanan tinggi namun dengan pemakaian akses yang jarang.

– Pemilihan lokasi : adalah faktor yang sangat penting untuk menghindari resiko yang mungkin timbul akibat bencana banjir, kebakaran, radiasi gelombang elektromagnetik atau yang lainnya.

– Pemadam kebakaran : kebakaran akan merusak sistem. Selain lokasi sistem harus jauh dari tempat yang menjadi pemicu kebakaran, material yang digunakan pun sebaiknya yang tidak mudah terbakar. Alat pemadam kebakaran perlu diletakkan ditempat yang tepat dan mudah dijangkau dengan bahan yang baik, sebab bahan pemadam yang buruk akan merusak sistem bagaikan api itu sendiri.

2. Pendeteksian dalam pengendalian secara fisik

Pendeteksian sebagai pengendalian secara fisik merupakan perlindungan atas pelanggaran yang telah terlanjur terjadi. Yang termasuk dalam pendeteksian ini adalah :

– Detektor gerak : ruang server komputer umumnya tidak dipakai sebagai lalu-lintas aktifitas manusia, sehingga pemasangan alat deteksi gerak akan sangat berguna untuk mencegah penyusupan.

– Detektor asap dan api : bila diletakkan ditempat yang tepat akan sangat berguna sebagai alat pemberitahu yang tercepat bila terjadi kebakaran.

– CCTV (Closed-Circuit Television) : digunakan untuk memantau kawasan dimana sistem berada/diletakkan.

– Sensor dan alarm : digunakan untuk mendeteksi kemungkinan terjadinya penyusupan ke dalam lingkungan dimana sistem berada.

B. Pengendalian secara teknis

Pengamanan secara teknis ini meliputi penggunaan penjaga keamanan, yang mana termasuk didalamnya adalah hardware komputer, sistem operasi dan software aplikasi, komunikasi serta peralatan lain yang berhubungan. Pengendalian teknis ini dikenal pula sebagai pengendalian logika.

1. Pencegahan dalam pengendalian secara teknis

Pencegahan secara teknis digunakan untuk mencegah pihak yang tidak berhak baik orang maupun program untuk mengakses sumber daya komputer. Yang termasuk jenis pencegahan ini adalah :

– Software Access Control : digunakan untuk mengendalikan pertukaran data dan program antar user. Biasanya diimplementasikan dalam bentuk daftar access control yang mendefinisikan hak akses setiap user.

– Software Antivirus : virus merupakan program yang mewabah dalam komputer serta dapat merusak sistem dan data yang pada akhirnya menghambat produktifitas. Virus baru bermunculan dengan cepat, sehingga pemasangan software antivirus yang selalu up-date dan selalu aktif dalam komputer merupakan suatu keharusan.

– Sistem pengendalian pustaka : mengharuskan semua perubahan program produksi diimplementasikan oleh personel pengendali pustaka ini, hal ini untuk menghindari pihak yang tidak berhak melakukan perubahan.

– Password : digunakan untuk membuktikan bahwa pengguna atau pemilik ID adalah orang yang memang memiliki hak akses tertentu terhadap sistem.

– Smartcard : umumnya berbentuk seperti kartu kredit dan dilengkapi chip yang telah diprogram. Informasi didalamnya dapat dibaca di tempat-tempat yang disediakan untuk itu yang dapat mengidentifikasikan hak-hak user. Dalam penggunaannya biasanya dikombinasikan dengan pengendalian akses lainnya seperti password, biometrik, atau ID.

– Penyandian : dapat didefinisikan sebagai proses merubah data yang dapat dibaca (plain-text) menjadi data yang tidak terbaca (cipher-text) oleh algoritma kriptografi.

– Pengendalian akses dial-up dan sistem call-back : digunakan untuk memastikan bahwa hanya pihak yang berhak saja yang dapat melakukan dial-up terhadap sistem. Saat ini pengendalian akses dial-up yang terbaik menggunakan mikrokomputer untuk menangkap sebuah call, memferifikasi identitasnya dan meneruskan call pada hak akses sumber daya dalam sistem yang diminta.

Sebelumnya sistem call-back menangkap caller yang melakukan dial-up, memferifikasi otoritasnya, dan kemudian melakukan call-back untuk mendapatkan nomor registrasinya.

2. Pendeteksian dalam pengendalian teknis

Memberikan peringatan tentang adanya pelanggaran atau usaha pelanggaran. Yang termasuk pendeteksian ini adalah :

– Audit trail : yaitu sistem yang mencatat semua aktifitas dalam sistem. Secara periodik catatan tersebut dilaporkan kepada Administratur keamanan informasi dan database untuk mengidentifikasi dan menyelidiki akses ilegal yang masuk, baik yang berhasil ataupun tidak.

– Sistem pendeteksi gangguan (Intrusion Detection System – IDS) : akan melacak user yang mengakses kedalam sistem untuk menentukan apakah aktivitasnya diijinkan dan/atau sesuai dengan ijin yang dipunyai. Bila tidak, maka sistem akan memberitahukan Administratur untuk melakukan tindakan.

C. Pengendalian secara Administratif

Administratif atau personel keamanan terdiri dari pembatasan manajemen, prosedur operasional, prosedur pertanggung jawaban, dan pengendalian administratif tambahan untuk menyediakan tingkat perlindungan yang memadai pada sumber daya komputer.

Pengendalian administratif termasuk juga prosedur untuk menyakinkan bahwa semua personel yang mendapatkan akses pada sumber daya komputer, mendapatkan otorisasi dan security clearance yang tepat.

1. Pencegahan dalam pengendalian administratif

Pencegahan yang dimaksud disini adalah teknik yang sangat personal untuk melatih kebiasaan orang-orang untuk menjaga kerahasiaan, integritas dan ketersediaan data dan program. Yang termasuk dalam pencegahan ini adalah :

– Kesadaran keamanan informasi dan pelatihan teknis : pelatihan untuk menanamkan kesadaran keamanan informasi adalah suatu langkah pencegahan dengan membuat user mengerti keuntungan menerapkan keamanan informasi tersebut. Sehingga diharapkan user dapat menciptakan iklim yang mendukung.

Pelatihan teknis kepada user dapat menolong untuk mencegah terjadinya masalah-masalah keamanan yang biasanya terjadi akibat kesalahan dan kelalaian user, misalnya back-up dan virus; serta memberikan pemahaman/pelatihan mengenai keadaan darurat, agar user dapat mengambil tindakan tepat saat terjadi bencana.

– Pemisahan/pembagian tugas : yang dimaksud adalah user yang berbeda mendapatkan bertanggung jawab yang berbeda atas tugas-tugas yang berbeda yang merupakan bagian dari keseluruhan proses. Hal ini dilakukan untuk menghindari seorang user menguasai seluruh proses yang membuka peluang bagi kolusi dan manipulasi.

– Prosedur rekruitmen dan pemberhentian karyawan TI : prosedur rekruitmen yang tepat akan mencegah organisasi mempekerjakan orang yang berpotensi merusak sistem. Prosedur pemberhentian karyawan TI perlu dibuat dengan cermat agar aset/sumber daya organisasi tidak ikut terbawa keluar, dengan cara menarik seluruh kewenangan atas akses sistem informasi yang dimiliki, misalnya menghapus password log-on ID atau mengganti semua kunci aksesnya.

– Prosedur dan kebijakan keamanan : merupakan kunci pembentukan program keamanan informasi yang efektif. Kebijakan dan prosedur ini mencakup penggunaan sumber daya komputer, penentuan informasi sensitif, pemindahan sumber daya komputer, pengendalian alat-alat komputer dan media, pembuangan data sensitif yang sudah tidak berguna dan pelaporan keamanan terhadap data dan komputer. Kebijakan dan prosedur ini harus merupakan refleksi dari kebijakan umum organisasi dalam upaya melindungi informasi dan sumber daya komputer.

– Pengawasan : harus sejalan dengan kebijakan dan prosedur yang telah ditetapkan oleh organisasi, terutama pada sumber daya organisasi yang sensitif dan rentan terhadap penyalahgunaan wewenang.

– Perencanaan keadaan darurat dan pemulihan dari bencana : adalah sebuah dokumen yang berisi prosedur untuk menghadapi keadaan darurat, back-up operasional, dan pemulihan instalasi komputer baik sebagian atau seluruhnya yang rusak akibat bencana. Yang paling penting dalam perencanaan ini adalah membuat instalasi komputer bekerja normal kembali dalam waktu yang sesingkat-singkatnya.

– Registrasi : user perlu melakukan registrasi untuk mendapatkan akses komputer dalam organisasi dan user harus bertanggung jawab atas semua sember daya komputer yang digunakannya.

2. Pendeteksian dalam pengendalian administratif

Pendeteksian ini digunakan untuk menentukan seberapa baik prosedur dan kebijakan keamanan dilakukan. Yang termasuk dalam pendeteksian ini adalah :

– Evaluasi dan audit keamanan : adalah untuk membantu manajemen agar dapat dengan cepat mengambil tindakan jika terdapat hal-hal yang melenceng dari garis kebijakan dan prosedur yang telah ditetapkan. Evaluasi dan audit ini sebaiknya dilakukan secara periodik.

– Rotasi tugas dan cuti karyawan TI : adalah untuk mencegah terjadinya hal-hal yang merugikan sistem seperti membuat kesalahan atau merusak sistem akibat kejenuhan.

– Penyelidikan : digunakan untuk mencari potensi resiko atas kinerja sistem dan juga digunakan untuk menyeleksi karyawan TI agar dapat ditempatkan pada posisi yang tepat. Hasil penyelidikan dapat digunakan juga untuk memberikan security clearance atas karyawan dan aset organisasi. -antz-

Sumber : Handbook of Information Security Management