Tugas 1 Kemanan dan keterjaminan Informasi

A. KEY CONCEPT INFOSEC 

  • Confidentiality 
Confidentiality atau kerahasiaan merupakan aspek/unsur pertama dalam menciptakan suatu keamanan sistem yang baik. Confidentiality melibatkan baik dari individu maupun organisasi untuk memastikan data tetap rahasia dan pribadi. Agar dapat menjaga kerahasiaan data maka akses ke informasi (seperti login credential) harus dikontrol untuk mencegah pembagian data yang tidak sah baik disengaja atau tidak disengaja. Komponen kunci dari menjaga kerahasiaan adalah memastikan bahwa orang tanpa otorisasi yang tepat dicegah atau tidak dapat mengakses data yang disimpan. Akses di sini memang harus dibatasi agar hanya ditujukan bagi mereka yang berwenang dalam melihat data yang dipermasalahkan. Data biasanya juga dapat dikategorikan menurut jumlah dan jenis kerusakan yang bisa kejadian jika jatuh ke tangan yang tidak diinginkan. Nah, dampaknya akan terlihat dari lebih banyak atau lebih sedikit langkah yang perlu dilakukan  sebagai implementasi dari kategori tersebut.
  •  Integrity 

Integrity adalah aspek yang memastikan bahwa sebuah aplikasi atau sistem yang dibuat dapat memenuhi value seperti menjaga konsistensi, akurasi, dan kepercayaan. Sebuah aplikasi akan terlihat integritasnya ketika data yang disimpan asli, aman, akurat, dan dapat diandalkan atau dengan kata lain bebas dari gangguan. Dan perlu diingat, perusahaan juga wajib mengetahui kualitas dari setiap datanya untuk menjaga integritas sebuah data. Data bisa saja mengalami kerusakan (Corrupted), inconsistency (Berbagai salinan data yang tidak sesuai dengan aslinya), redundancy (Data yang sama disimpan di lokasi yang sama atau beberapa lokasi), dan isolation (tidak dapat mengakses data yang terkait dengan aplikasi lain). Perusahaan perlu mencegah semua ini karena dapat menimbulkan kerugian yang tidak sedikit.

Kemudian juga langkah yang perlu diambil dan dipertimbangkan oleh perusahaan adalah melakukan restrictions (Pembatasan) sehingga data tidak bisa diubah-ubah oleh orang yang tidak punya kepentingan sejalan. Pembatasan ini bisa dipakai untuk mencegah perubahan yang keliru atau penghapusan tidak disengaja dari otoritas resmi yang bisa juga menjadi masalah. Jadi, intinya backup harus tersedia untuk  memulihkan data yang terkena masalah agar bisa kembali ke keadaan yang semula.

  •  Availability 
Tidak hanya 2 aspek diatas saja yang penting. Apabila confidentiality dan integrity sudah terjamin tetapi data tersebut tidak dapat diakses maka menjadi tidak berguna, maka dari itu terdapat aspek ketiga yaitu availabilityAvailability atau ketersediaan berarti bahwa aplikasi, sistem, jaringan, dan sebagainya harus dipastikan dapat diakses ketika dibutuhkan dan juga harus dapat berjalan dengan semestinya. Selain itu, data atau informasi juga harus dapat diakses dan digunakan walaupun sedang terjadi gangguan, seperti pemadaman listrik dan juga data yang diakses tidak boleh memakan waktu yang lama.
  •  Survivability 
Survivability dalam konteks keamanan informasi merujuk pada kemampuan suatu sistem atau jaringan untuk terus beroperasi dan melindungi informasi yang sensitif, meskipun ada serangan, kegagalan sistem, atau kondisi yang merugikan lainnya. Ini sangat penting dalam situasi di mana sistem informasi menjadi target ancaman berkelanjutan, seperti serangan siber, bencana alam, atau kegagalan perangkat keras.
  •  Accountability 
Accountability dalam keamanan informasi mengacu pada konsep bahwa setiap tindakan yang terjadi dalam sistem informasi harus dapat ditelusuri kembali kepada individu, proses, atau entitas tertentu. Hal ini bertujuan untuk memastikan bahwa pengguna, administrator, atau sistem yang melakukan perubahan atau mengambil tindakan dapat bertanggung jawab atas tindakan mereka. Konsep ini sangat penting untuk menjaga integritas, kepercayaan, dan transparansi dalam sistem keamanan informasi.
  •  Privacy 
Pada dasarnya, privacy  ini sama dengan confidentiality. Namun, jika confidentiality biasanya berhubungan dengan data-data perusahaan atau organisasi, sedangkan privacy lebih ke arah data-data yang bersifat pribadi. Contoh hal yang berhubungan dengan  privacy  adalah e-mail  seorang pemakai tidak boleh dibaca oleh administrator . Hal ini untuk menjamin  privacy dari isi e-mail tersebut, sehingga tidak bisa disalah gunakan oleh  pihak lain.
  •  Authentication 
adalah suatu langkah untuk menentukan atau mengonfirmasi bahwa seseorang (atau sesuatu) adalah autentik atau asli. Melakukan autentikasi terhadap sebuah objek adalah melakukan konfirmasi terhadap kebenarannya. Sedangkan melakukan autentikasi terhadap seseorang biasanya adalah untuk memverifikasi identitasnya. Pada suatu sistem komputer, autentikasi biasanya terjadi pada saat login atau permintaan akses.
  •  Authorization 

Authorization dalam konteks keamanan informasi adalah proses untuk memberikan atau membatasi hak akses pengguna ke sumber daya atau fungsi tertentu dalam sistem berdasarkan identitas dan peran mereka. Setelah pengguna berhasil melewati proses autentikasi (misalnya, dengan login), sistem akan menentukan apakah mereka memiliki izin untuk melakukan tindakan tertentu atau mengakses data spesifik.

  •  Accountability 
adalah Adanya catatan untuk keperlan pengecekan sehingga transaksi dapat dipertanggungjawabkan. Diperlukan adanya kebijakan dan prosedur (policy & procedure). Implementasi dapat berupa IDS/IPS (firewall), syslog (router)
  •  Assurance

Assurance dalam konteks keamanan informasi merujuk pada keyakinan bahwa sistem, proses, dan kontrol yang diterapkan untuk melindungi informasi bekerja sesuai dengan tujuan yang diinginkan dan memberikan perlindungan yang memadai terhadap ancaman. Assurance memastikan bahwa semua mekanisme keamanan yang diterapkan dapat diandalkan, efektif, dan terus berjalan sesuai standar atau kebijakan yang ditetapkan.


B. 12 Kategori Ancaman

  1. Malware: Program jahat yang dirancang untuk merusak sistem, mencuri data, atau mengganggu operasi normal.
  2. Phishing: Serangan sosial yang menipu pengguna untuk memberikan informasi sensitif.
  3. Social engineering: Manipulasi psikologis untuk mendapatkan akses yang tidak sah.
  4. Denial-of-service (DoS): Serangan yang bertujuan untuk membuat suatu layanan tidak dapat diakses.
  5. Distributed denial-of-service (DDoS): Serangan DoS yang dilakukan oleh banyak komputer secara bersamaan.
  6. Man-in-the-middle (MitM) attacks: Serangan yang dilakukan untuk mencegat komunikasi antara dua pihak.
  7. Injection attacks: Serangan yang menyuntikkan kode berbahaya ke dalam aplikasi web.
  8. Cross-site scripting (XSS): Serangan yang menyuntikkan skrip berbahaya ke dalam halaman web yang dinamis.
  9. SQL injection: Serangan yang mengeksploitasi kerentanan dalam aplikasi yang menggunakan database SQL.
  10. Zero-day exploits: Serangan yang memanfaatkan kerentanan yang belum diketahui dan belum ada patch-nya.
  11. Insider threats: Ancaman yang berasal dari orang dalam organisasi, seperti karyawan atau mantan karyawan.
  12. Physical security threats: Ancaman fisik terhadap perangkat keras atau infrastruktur.
sumber 
https://student-activity.binus.ac.id/csc/2022/08/cia-triad/\https://repository.unpam.ac.id/10200/1/KK1204_KEAMANAN%20SISTEM%20INFORMASI.pdf
Buku teks keamanan informasi standar "Security in Computing" oleh Peter Denning.
Standar NIST SP 800-63.


Komentar

Posting Komentar

Postingan populer dari blog ini

Gambar
  NAMA        : GIORGI WARDHANA NIM            : 17220810 KELAS     : 17.5B.01 1. Sebutkan 3 cara lain untuk melindungi perangkat komputer dari penyusupan Gunakan Firewall yang Kuat : Firewall dapat memblokir akses tidak sah ke jaringan dan komputer Anda dengan memfilter lalu lintas data yang masuk dan keluar. Mengaktifkan firewall pada perangkat, baik perangkat keras maupun perangkat lunak, memberikan lapisan perlindungan tambahan terhadap penyusupan. Perbarui Perangkat Lunak Secara Berkala : Pembaruan perangkat lunak, termasuk sistem operasi, aplikasi, dan antivirus, sering kali berisi perbaikan keamanan untuk celah yang mungkin dieksploitasi oleh penyusup. Pastikan untuk selalu mengaktifkan pembaruan otomatis. Gunakan Otentikasi Dua Faktor (2FA) : Mengaktifkan otentikasi dua faktor memberikan lapisan keamanan ekstra selain kata sandi. Ini mengharuskan pengguna untuk memverifikasi identitas mereka dengan cara lain, ...
Baca selengkapnya