Senin, 04 September 2006 - 23:01 wib
BERITALAIN
Crocodile Hunter Tewas Disengat Pari
Steve Irwin (44) yang dikenal sebagai Crocodile Hunter tewas disengat duri ekor ikan pari di Karang Penghalang Besar, Australia, Senin (4/9).

Astronot Pertama Malaysia Terbang Oktober
Dokter pria berusia 34 tahun Sheikh Muszaphar Shukor terpilih sebagai astronot pertama Malaysia yang akan terbang dengan Soyuz pada Oktober 2007.

Lockheed Bangun Kendaraan ke Bulan
Lockheed Martin Corporation akan mengembangkan wahana Orion yang akan dipakai untuk mendaratkan manusia kembali ke Bulan.



istimewa
John Howie CISA CISM CISSP, Director Security Community Microsoft, (kiri) berjabat tangan dengan Menteri Komunikasi dan Informatika Dr. Sofyan Djalil (kanan) saat menghadiri Bellua Cyber Security Asia 2006 di Jakarta Convention Center, Rabu (30/8).


Teknologi Tinggi Tidak Menjamin Keamanan Informasi



JAKARTA, KCM - Keberhasilan sistem keamanan informasi di jaringan komputer tidak hanya ditentukan kualitas teknologi yang digunakan, tapi juga kapasitas sumber daya manusia (SDM) dan proses kebijakan yang dijalankan. Untuk membangun sistem keamanan informasi yang kuat juga harus dipertimbangkan apa saja yang akan diamankan dan mengapa informasi tersebut harus aman.

Hal tersebut disampaikan John Howie CISA CISM CISSP, Director Security Community Microsoft kepada KCM di ajang Bellua Cyber Security Asia 2006 baru-baru ini. Bahkan untuk mengelola sistem keamanan informasi perlu menerapkan sistem manajemen standar atau information security management system (ISMS) sesuai ISO 17799 dan ISO 27001 untuk memenuhi tuntutan bisnis yang semakin mengglobal.

íTidak peduli apakah perusahaan itu kecil, menengah, atau besar, sistem keamanan perlu diimplementasikan sejak awal," kata Howie. Informasi apapun mengenai pelanggan merupakan aset yang sangat besar bagi sebuah perusahaan sehingga harus dikelola dengan baik.

Howie mencontohkan, sebuah firma kecil yang melayani transaksi online dengan karyawan satu sekalipun perlu memastikan bahwa jaringannya aman dan informasi mengenai pelanggan tidak berpindah ke pihak yang tidak bertanggung jawab. Dengan demikian pelanggan yang menyerahkan data-data pribadi seperti nomor kartu kredit, alamat, dan nomor kontak percaya dengan pelayanannya.

Sesuai kebutuhan

Sebelum implementasi dilakukan, perlu dilakukan penilaian apa saja yang perlu diamankan, apakah sistem email, transaksi perbankan online, data pelanggan, data perkembangan bisnis, atau informasi lainnya. Lalu, mengapa informasi tersebut diamankan, apakah sekedar arsip, sebagai bukti, atau memenuhi persyaratan yang ditetapkan regulator.

Andika Triwidada, ahli sistem keamanan jaringan komputer dari PT INDOCISC, mengatakan langkah pertama yang akan dilakukan saat implementasi adalah evaluasi security dengan melakukan penilaian terhadap sistem keamanan yang dipakai. Selain dari sisi teknologi, aspek SDM dan proses juga perlu dinilai.

"Dicek servernya, perangkat yang aktif di jaringan, dan seluruh workstation, apakah terdapat lubang keamanan, kemudian ditambal satu persatu dan diuji kembali," ujarnya. Jika kelemahan-kelemahan yang mungkin rawan ditembus serangan malware (malicious software) - seperti virus, spyware, worm, trojan, atau phising - maupun para cracker terlalu besar, mungkin sistem perlu dirombak secara keseluruhan.

Sebagai gambaran, untuk menangani tahap assessment sistem keamanan sebuah layanan e-commerce dengan 100 unit komputer desktop maupun laptop, Andika memperkirakan butuh waktu 10 hari untuk menguji dan 10 hari untuk menambal lubang keamanannya. Itu pun dengan asumsi tidak perlu perombakan sistem secara keseluruhan. 

Sedangkan menurut Howie, perusahaan juga harus memperhitungkan manajemen risiko proses dengan melakukan mitigasi dan kontrol dengan baik agar tidak terjadi kesalahan. Mitigasi tidak perlu berlebihan dan harus dipastikan efektif sehingga ongkos data control lebih murah daripada risikonya.

SDM paling sulit

Penanganan terhadap organisasi yang ramping dan besar tentu saja berbeda. Pada perusahaan kecil umumnya penentu target kualitas sistem keamanan adalah SDM dan teknologi sedangkan pada organisasi yang besar umumnya lebih besar porsinya untuk mengelola proses tanpa mengabaikan faktor kapasitas SDM dan teknologi.

Meski demikian, mengelola SDM diakui Andika sebagai hal yang paling sulit dilakukan sebab sangat dinamik, selalu berubah apalagi di perusahaan besar, dan faktor-faktor kemanusiaan yang sulit untuk dihitung takarannya. Sedangkan teknologi, sekali dipasang dengan benar, selamanya akan bertahan hanya saja selalu rentan dengan serangan-serangan baru.

Mau tidak mau sistem keamanan akan terus berubah menyesuaikan dengan kebutuhan dan tingkat ancaman. Implikasinya, perilaku SDM terhadap sistem keamanan juga harus terus diperbarui. Aspek teknologi, SDM, dan proses memang harus saling mendukung agar implementasi sistem keamanan berkesinambungan.

"Seluruh karyawan di Microsoft pun harus menjalani training mengenai security agar mereka mengerti prosedur yang harus dijalankan," kata Howie.

Multivendor

Salah satu strategi meningkatkan kinerja sistem keamanan yang umumnya diterapkan para praktisi keamanan jaringan adalah menghindari solusi monokultur atau dari satu vendor. Misalnya, untuk server digunakan sistem operasi FreeBSD, tapi pada komputer klien yang terhubung di jaringan menggunakan Windows XP atau router utama Cisco namun switch-nya Bay Networks. Ini dilakukan untuk menurunkan kemungkinan serangan baru melumpuhkan seluruh sistem.

ist
Ket: Andika Triwidada (kiri) dan Anthony Zboralski (kanan)

Kenyataan inilah yang mungkin disadari Microsoft sehingga mengeluarkan solusi keamanan yang dapat dipakai bersama-sama dengan solusi pihak ketiga. Solusi yang diberi label Microsoft Forefront tersebut meliputi Microsoft Forefront Client Security, Microsoft Forefront Security for Exchange Server, Microsoft Forefront Security  for SharePoint, Microsoft Forefront Security for Office, dan Microsoft Internet Security and Acceleration (ISA) Server 2006.

Meskipun demikian, tidak ada yang dapat menjamin bahwa sistem keamanan jaringan 100 persen aman. Ancaman-ancaman baru di masa mendatang mungkin sulit diprediksi saat ini sehingga secara tidak langsung konsumen teknologi informasi dipaksa untuk selalu memperbaiki sistemnya agar selalu sigap menghadapi kemungkinan serangan.

Misalnya, pengguna harus mempertimbangkan penggantian sistem operasi Windows 2000 karena didisain untuk mencegah bentuk ancaman yang muncul pada tahun 1997 atau Windows NT untuk tahun 1993. Meskipun Microsoft selalu mengeluarkan patch secara kontinyu, pada saatnya hal tersebut memiliki batasan.

"Kami telah melakukan serangkaian tes dan penilaian pada klien kami.... hampir semua mesin dengan Windows 2000 lolos dari hack, namun Windows XP SP2 dan Server 2003 jauh lebih aman dan kami melihat perbedaan yang mendasar," kata Anthony Zboralski, CTO Bellua Asia Pacific. Menurutnya, sistem keamanan masih harus terus diperbaiki terutama pada level aplikasi.

Begitu pula dengan pemilihan antivirus yang tepat. Laporan yang dilakukan Computer Economics menyatakan bahwa 99 persen perusahaan telah menggunakan antivirus, namun 76 persen di antara mereka mengakui terinfeksi virus sejak setahun terakhir.

"Repot juga adalah kalau aplikasinya bukan bikinan sendiri, kita bergantung sepenuhnya pada patch dari vendor," tutur Andika. Tapi, masalahnya adalah seberapa mampu kita memperbaiki sendiri kalau kita tahu sistem kita bermasalah. Jika tidak ada kemampuan itu, ya semua kita gantungkan ke vendor saja.


Penulis: Wah