Following

5/23/2013

Model Identifikasi Perencanaan Keamanan Pada E-Business


Pengantar

E-Business sebagai salah satu entitas yang mampu menghasilkan keuntungan bagi organisasi / perusahaan maupun individu adalah aset yang berharga yang harus dijaga dan dilindungi. Dalam proses menjaga tersebut, tidaklah mudah dikarenakan banyak rintangan dan masalah yang harus dihadapi. Berbagai masalah yang mengancam keamanan e-Business perlu di lakukan identifikasi agar kedepannya sistem dapat menangkal ancaman-ancaman tersebut. Proses identifikasi sebagai lapisan pertama atau tahap awal dari tahapan-tahapan manajemen keamanan dalam e-Business, adalah sangat penting dilakukan karena tahapan selanjutnya yaitu proses evaluasi resiko, hasilnya bergantung pada temuan yang berhasil diidentifikasi dari tahap ini. Pendekatan yang dilakukan dalam merancang model identifikasi perencanaan keamanan yaitu melalui studi literatur yang berhubungan dengan proses manajemen keamanan e-Business. Hasil yang diharapkan dari perumusan adalah berupa rekomendasi proses-proses apa saja yang perlu dilakukan dalam melakukan identifikasi perencanaan keamanan pada e-Business.

Dalam proses manajemen keamanan e-Business, dibutuhkan strategi pelaksanaan yang tepat. Tahap identifikasi rencana keamanan e-Business adalah penting artinya dikarenakan tahap tersebut merupakan tahapan awal yang menjadi dasar dari segala tahapan dalam menajemen keamanan e-Business (Vasilyevna, 2008). Dalam melakukan identifikasi perlu dipikirkan apa saja yang menjadi tujuan dari manajemen keamanan e-Business. Tujuan yang dimaksud antara lain adalah kerahasiaan (confidentiality), integritas (integrity) dan ketersediaan (availability) (Tyagi dan Srinivasan, 2011). Mengacu pada tujuan manajemen keamanan e-Business tersebut, maka dalam penelitian ini, penulis mengajukan model identifikasi dalam perencanaan manajemen keamanan e-Business dengan melakukan modifikasi pada pendekatan arsitektur perencanaan sebagai penjabaran dari model identifikasi tersebut. Pemodifikasian model ini bertujuan memberikan pendekatan yang lebih optimal melalui penambahan cakupan proses identifikasi dalam mengindentifikasi rencana keamanan dalam arsitektur keamanan e-Business.

Proses identifikasi ini dirasa sangat penting dikarenakan proses ini adalah proses awal dan sebagai dasar untuk melakukan proses-proses selanjutnya. Dalam paper penelitian ini, rumusan Vasilyevna di modifikasi dengan penambahan 1 layer management untuk melengkapi arsitektur three layer yang disebutkan sebelumnya. Layer tersebut adalah Tool Identification. 

Adapun 4 (empat) layer pendekatan yang digunakan untuk menjabarkan proses perencanaan sebagai bagian dari 10 tahapan manajemen keamanan pada e-Busines yakni aset identification, risk identification, action planning dan tool identification, lebih detailnya akan dijelaskan sebagai berikut.

1.1. Pendekatan Aset Identification

Dalam proses identifikasi keamanan, perlu didefinisikan aset berharga yang akan diamankan. Pada e-Business aset yang dimaksud adalah data atau informasi yang tersimpan dalam database, infrastruktur hardware (server, router, dsb) pada pusat layanan e-Business  dan perangkat lunak (software) sebagai antarmuka dalam mengakses layanan e-Business. 

1.2. Pendekatan Risk Identification

Untuk mempermudah mengidentifikasi resiko yang mungkin terjadi, pertama dapat kita lihat, dari aset berharga yang telah kita definisikan, maka kita dapat menentukan resiko yang mungkin terjadi. Bila aset berupa data dan informasi, resiko yang mungkin terjadi adalah data rusak, data hilang, data dimodifikasi oleh pihak yang tidak berwenang dan sejenisnya. 
Bila aset berupa perangkat keras, maka resiko yang akan terjadi kemungkinan besar adalah perangkat hilang dicuri, perangkat mengalami kerusakan pada komponen elektronik dan salah konfigurasi pada perangkat yang mengakibatkan perangkat beroperasi tidak sebagaimana mestinnya. 
Bila aset adalah perangkat lunak (software) berupa halaman web, web service, driver dan sistem operasi, maka kemungkinan resiko yang terjadi adalah apikasi dalam e-Business mudah di eksploitasi oleh pihak yang tidak kita inginkan akibat kesalahan konfigurasi, celah keamanan dan bug yang belum di patch dan sejenisnya. Dalam risk identification, tidak sebatas aset saja yang di nilai akan resiko yang berpeluang muncul. Resiko lain adalah misalnya penggunaan hak akses yang tidak sesuai, pengaksesan resource oleh tanpa ijin yang jelas dan sebagainya.  

1.3. Pendekatan Tool Identification

Pendekatan yang ditawarkan sebelumnya akan lebih optimal lagi bila tool identification disertakan kedalamnya. Tool atau alat, disadari sebagai bagian yang perlu di identifikasi. Alat yang dimaksud ini bukan termasuk aset yang perlu diamankan, melainkan “alat”  ini yang akan digunakan untuk mengamankan aset. Dalam pendekatan tool identification ini, dikelompokkan 4 (empat) tool yang perlu di identifikasi antara lain sebagai berikut.

a) Konsep atau teori

Konsep atau teori merupakan tools atau alat yang harus di identifikasi. Identifikasi atau pemetaan konsep merupakan alat yang dapat digunakan untuk proses pembelajaran (Cicognani, 2000). Dalam aplikasinya pada arsitektur keamanan e-Business, pemetaan konsep diarahkan pada pembelajaran terhadap ancaman keamanan yang timbul di masa lalu, masa kini dan untuk memprediksikan ancaman di masa mendatang. Selain itu pemetaan konsep juga telah lama diaplikasikan sebagai tool untuk bidang lainnya misalkan pemetaan konsep untuk pengajaran guru-guru dalam peningkatan kewaspadaan mereka pada murid yang diajarnya (Hedberg dan Harper, 1998) dan sebagainya. Sebagai contoh pemetaan konsep divisualisasikan dalam gambar 1 berikut ini (Cicognani, 2000).



Gambar 1. Contoh visualisasi pemetaan konsep.

Didalam pemetaan konsep, tidak hanya berbentuk kata-kata yang terhubung dengan garis/link melainkan dapat juga berbentuk flowchart dimana setiap konsep disusun dalam tingkatan hierarki (Kelly dan Odom, 1997), seperti pada gambar 2 berikut ini (Cicognani, 2000).

Gambar 2. Pemetaan konsep digambarkan dalam bentuk flow chart.

Cicognoni juga berpendapat bahwa dibalik pemetaan konsep ini, dapat diperoleh representasi visual dari informasi yang telah berhasil dirangkum.

b) Perangkat Lunak

Perangkat lunak sebagai tool dalam memberikan pertahanan keamanan pada sistem komputer adalah bukan merupakan issue yang baru di masa ini. Berbagai aplikasi perangkat lunak seperti antivirus, firewall, anti spam dan sebagainya telah banyak beredar di dunia maya. 
Tujuan dari melakukan identifikasi atas perangkat lunak pada layer tool identification ini adalah untuk menemukan perangkat lunak yang dianggap sesuai sebagai solusi berbentuk tool yang kedepannya akan dimanfaatkan untuk menangkal dan menganalisa ancaman-ancaman keamanan yang timbul mengancam infrastruktur e-Business yang tidak dapat diperkirakan kapan munculnya,  bagaimana cara menyerangannya dan komponen atau bagian apa yang akan diserang. 

c) Perangkat Keras

Selain tool perangkat lunak, ada pula tool yang berwujud perangkat keras (hardware). Khusus untuk tool seperti ini, biasanya memiliki harga yang tidak murah. Pemilik sistem kadang mengabaikan pengadaan perangkat ini dikarenakan perangkat lunak untuk keamanan sistem telah dirasa cukup. Alasan lain yang sering dikemukakan adalah karena demi mendapatkan keuntungan, pengeluaran berlebih atas pembelian perangkat keras yang mungkin beberapa fungsinya telah cukup digantikan oleh perangkat lunak yang lebih murah menjadi dibatasi atau ditiadakan. 
Perlu disadari, pc atau perangkat yang di pasang piranti lunak keamanan kadang kala kurang optimal dalam menjalankan fungsinya. Karena sering pula, pc tersebut dipakai bersama / dioperasikan dengan piranti lunak lainnya. Penurunan performa dapat terjadi oleh karena penyebab yang telah disebutkan diatas. Melalui perangkat keras yang secara khusus didekasikan untuk menjaga keamanan sistem, hal ini dapat menjadi solusi yang lebih baik.  Untuk menghindari pengeluaran yang tidak perlu atau tidak sesuai dengan tujuan keamanan sistem komputasi e-Business, maka diperlukan identifikasi perangkat keras apa yang sesuai untuk menangkal dari ancaman keamanan yang diperkirakan mungkin akan muncul.

d) Prosedur dan Aturan

Prosedur atau aturan atau policy merupakan satu hal yang pada hakekatnya adalah sama. Aturan-aturan yang berlaku perlu di identifikasi untuk melihat aturan mana yang lemah yang dapat membuka celah keamanan sehingga perlu diperbaiki dan bahkan bila perlu dihilangkan, atau aturan mana yang mendukung proses pengamanan e-Business. Contoh dari prosedur atau aturan, misalnya penggunaan gabungan angka, huruf dan karakter khusus dalam membuat password, ukuran password yang harus lebih dari 8 karakter dan sebagainya.
Melalui penambahan tool identification ini kedalam 3 (tiga) layer pendekatan penjabaran perencanaan identifikasi keamanan, diharapkan langkah perencanaan menjadi lebih siap dengan cakupan yang luas dan lebih tepat sasaran.

1.4. Pendekatan Action Planning 

Selanjutnya dalam pendekatan ketiga yakni melalui proses action planning. Berkaca pada resiko yang telah diidentifikasi, dapat ditentukan rencana tindakan yang akan dilakukan. Masing-masing resiko dianalisa dan direncanakan tindakan pencegahannya. Sebagai contoh, untuk mencegah resiko akses yang tidak sesuai terhadap resource atau aset e-Business, dapat dilakukan proses autentikasi jati diri pengakses dan sebagainya. Selanjutnya, setiap tindakan yang direncanakan untuk dijalankan, haruslah melalui tahap pengujian terlebih dahulu sehingga rencana yang disusun menjadi lebih matang untuk dilaksanakan dan peluang terjadinya kesalahan dalam penerapan rencana menjadi lebih sedikit karena kerena tiap rencana tindakan yang akan dilakukan  telah dibuktikan hasilnya.

Simpulan

Penjabaran proses perencanaan identifikasi keamanan melalui pendekatan 4 (empat) layer identifikasi yakni layer tool identification yang digabungkan bersama aset identification, risk identification, tool identification dan action planning, membuat cakupan proses identifikasi menjadi lebih luas, lengkap dan lebih detail. Proses identifikasi pun lebih terarah dan tepat sasaran. Output dari proses identifikasi yang dilakukan dengan empat pendekatan tersebut menjadi lebih siap untuk masuk ke tahap selanjutnya yaitu dalam tahap evaluate risk sebagai bagian dari 10 tahapan strategi manajemen keamanan e-Business. 


Download Jurnal


0 comments:

Post a Comment