Prinsip Integrity,
Confidentiality, dan Availability dalam Teknologi Informasi
Dengan perkembangan teknologi yang semakin pesat, yang terpenting
adalah keamanan dalam informasi. Salah satu pusat perhatian dalam keamanan
jaringan adalah mengendalikan access terhadap resources jaringan. Bukan saja
sekedar mengontrol siapa saja yang boleh mengakses resources jaringan yang
mana, pengontrolan akses ini juga harus membagi subject (user, program, file,
computer dll) berinteraksi dengan object-object (file, database, computer,
dll). Dimana manusia (people), yang menjalankan proses membutuhkan dukungan
kebijakan (policy), sebagai petunjuk untuk melakukannya, dan membutuhkan
teknologi (technology), merupakan alat (tools), mekanisme atau fasilitas untuk
melakukan. Prinsip keamanan ini disebut segitiga CIA (Confidentiality,
Integrity, Availability).
1 1. Prinsip
Integrity
Bahwa informasi tidak boleh diubah
tanpa seijin pemilik informasi.
Integrity merupakan aspek yang
menjamin bahwa data tidak boleh berubah tanpa ijin pihak yang berwenang
(authorized). Bisa juga disebut menjaga keutuhan sesuatu yang sudah ditetapkan
sebelumnya. Secara teknis ada beberapa cara untuk menjamin aspek integrity ini,
seperi misalnya dengan menggunakan message authentication code, hash function,
digital signature.
·
Message
authentication code (MAC), adalah alat bagi penerima pesan untuk mengetahui
pengirim pesan, digunakan untuk mengotentikasi pesan tanpa perlumerahasiakan
isi pesannya.
·
Hash
adalah fungsi yang secara efisien mengubah string input dengan panjang
berhingga menjadi string output dengan panjang tetap yang disebut nilai hash.
Umumnya digunakan untuk keperluan autentikasi dan integritas data.
·
Tanda
tangan digital atau digital signature adalah sebuah skema matematika untuk menunjukkan
keaslian pesan digital atau dokumen.
Contoh : e-mail di intercept di
tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.
Bentuk serangan : Adanya virus,
trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin, “man in the
middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan
menyamar sebagai orang lain.
2 2.
Prinsip
Confidentiality
Dimana object tidak di umbar atau
dibocorkan kepada subject yang tidak seharusnya berhak terhadap object
tersebut, atau lazim disebut tidak authorize.
Confidentiality merupakan aspek yang
menjamin kerahasiaan data atau informasi. Kerahasiaan ini dapat
diimplementasikan dengan berbagai cara, seperti misalnya menggunakan teknologi
kriptografi dengan melakukan proses enkripsi (penyandian) pada transmisi data,
pengolahan data (aplikasi dan database), dan penyimpanan data (storage). Akses
terhadap informasi juga harus dilakukan dengan melalui mekanisme otorisasi
(authorization) yang ketat.
Sebagai contoh dari confidentiality
adalah daftar pelanggan dari sebuah Internet Service Provider (ISP). Jadi, data
dari daftar pelanggan tersebut seperti nama,alamat, nomor telephone dan data
lainnya harus dilindungi agar tidak tersebar pada pihak yang tidak seharusnya
mendapatkan informasi tersebut.
3 3.
Prinsip
Availability
Berhubungan dengan ketersediaan
informasi ketika dibutuhkan.
Availability merupakan aspek yang
menjamin bahwa data tersedia ketika dibutuhkan. Jadi, pada prinsipnya
ketersediaan data dan informasi yang menyangkut kebutuhan suatu kegiatan
merupakan suatu keharusan untuk menjalankan kegiatan tersebut. Jika
avaliabillity data atau informasi yang dibutuhkan untuk menjalankan suatu
proses kegiatan tidak dapat dipenuhi, maka proses kegiatan tersebut tidak akan
terjadi atau terlaksana.
Seperti, hilangnya layanan dapat
disebabkan oleh berbagai hal, mulai dari benca alam (kebakaran, banjir, gempa
bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan putus), sampai
ke upaya pengrusakan yang dilakukan secara sadar (attack). Pengamanan terhadap
ancaman ini dapat dilakukan dengan menggunakan sistem backup dan menyediakan
disaster recovery center (DRC) yang dilengkapi dengan panduan untuk melakukan
pemulihan (disaster recovery plan).
Contoh hambatan :
·
“denial
of service attack” (DoS attack), dimana server dikirimi permintaan (biasanya
palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan sehingga tidak
dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
·
mailbomb,
dimana seorang pemakai dikirimi e-mail bertubi-tubi (katakan ribuan e-mail)
dengan ukuran yang besar sehingga sang pemakai tidak dapat membuka e-mailnya
atau kesulitan mengakses e-mailnya.
Privacy, Term &
Condition pada Penggunaan IT
Privasi
Merupakan tingkatan interaksi atau keterbukaan yang
dikehendaki seseorang pada suatu kondisi atau situasi tertentu. tingkatan
privasi yang diinginkan itu menyangkut keterbukaan atau ketertutupan, yaitu
adanya keinginan untuk berinteraksi dengan orang lain, atau justru ingin
menghindar atau berusaha supaya sukar dicapai oleh orang lain. adapun definisi
lain dari privasi yaitu sebagai suatu kemampuan untuk mengontrol interaksi,
kemampuan untuk memperoleh pilihan pilihan atau kemampuan untuk mencapai
interaksi seperti yang diinginkan. privasi jangan dipandang hanya sebagai
penarikan diri seseorang secara fisik terhadap pihak pihak lain dalam rangka
menyepi saja.
Privacy hampir sama seperti confidentialy namun jika privacy
lebih kearah data-data yang sifatnya privat.
Contoh : e-mail seorang pemakai (user) tidak boleh dibaca
oleh administrator.
Confidentiality : berhubungan dengan data yang diberikan ke
pihak lain untuk keperluan tertentu dan hanya diperbolehkan untuk keperluan
tertentu tersebut.
Contoh : data-data yang sifatnya pribadi (seperti nama,
tempat tanggal lahir, social security number, agama, status perkawinan,
penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) harus dapat
diproteksi dalam penggunaan dan penyebarannya.
Bentuk Serangan : usaha penyadapan (dengan program sniffer).
Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy
dan confidentiality adalah dengan menggunakan teknologi kriptografi.
Term & Condition
Term & Condition merupakan cara pandang seseorang tentang
aturan hukum yang jelas dan berlaku pada setiap pemakain internet. Setiap
aturan biasanya telah ditentukan oleh pihak penyelenggara atau pengelola.
Apabila dari pihak user keluar dari batas-batas yang telah di sepakati pada TOC
ini maka pihak penyelenggara dapat memberikan sansi pada pihak yang telah
menyalahgunakan fungsi dari sistem yang dijalankan. Biasanya dalam aturan Term
& Condition sudah dijelaskan tentang Ketentuan Layanan, Ketentuan Konten
dan Jurnalisme Warga,begitu juga dengan etiket komunikasi dan berinteraksi
melalui komentar, baik berupa mengirimkan pesan, shout atau bahkan didalam
tulisan sendiri. Semuanya telah diatur, tapi ada beberapa yang bersifat frivasi
yanng hanya pengguna saja yangn mengetahuinnya. Etiket yang berlaku ketika ada
interaksi didalam pergaulan, menunjukan cara yang tepat atau diharapkan untuk
kalangan atau situasi tertentu.
Pada setiap organisasi, aturan ini akan berbeda-beda
tergantung kebijakan darisetiap organisasi tersebut dan biasanya diatur dalam
kode etik penggunaanfasilitas TI seperti halnya pada penggunaan fasilitas
internet di kantor, publick centre, maupun tempat pendidikan seperti sekolah
dan kampus.
Contoh Kode Etik
dalam Penggunaan Fasilitas Internet di Kantor
Terdapatnya fasilitas internet di kantor dapat memudahkan
karyawan untuk mencari informasi secara luas dan cepat. Namun, penggunaan
internet di kantor harus dibatasi karena karyawan tidak saja menggunakan
fasilitas internet untuk mencari informasi tentang pekerjaan yang dibutuhkan
tetapi untuk membuka situs jejaring sosial lainnya seperti facebook, mengirim
email ke sesama teman dalam jam kantor, chating, dan bahkan yang sering kita
lihat sekarang main game di jam kantor.
Hal ini dapat menurunkan kinerja karyawan, oleh karena itu
manajemen sebuah perusahaan membuat sebuah aturan (kode etik) penggunaan
internet pada jam kerja sehingga karyawan dapat di tuntut fokus pada pekerjaan.
Misalnya Internet hanya dapat diakses setelah jam pulang kantor, membatasi
penggunaan internet / pengunaan situs tertentu misalnya facebook, Yotube, 4Shared.com, twitter, chatting, dan situs lainnya dengan
cara memblokir situs-situs tersebut dari jam tertentu misalnya dari jam 8:00 –
16:00. Pembatasan ini terkait dengan penggunaan bandwidth dan hak akses
Dengan menerapkan aturan tersebut, diharapkan dapat meningkatkan
kedisiplinan karyawan dalam penggunaan internet, memaksimalkan kinerja karyawan
pada jam kantor, tidak menggunakan fasilitas internet untuk hal yang negatif,
dan mematuhi peraturan yang berlaku di kantor tersebut. Hal ini tentunya harus
didukung juga oleh kesadaran dari karyawan itu sendiri untuk bisa memanfaatkan
sebaik-baiknya waktu dan layanan yang telah diberikan oleh perusahaan, sehingga
ada nilai timbal balik yang sama-sama menguntungkan antara karyawan dan
perusahaan.
Sumber:
Tidak ada komentar:
Posting Komentar