Sesuatu yang akan kita amankan disebut dengan "aset". Untuk itu, langkah pertama dalam pengamanan adalah menentukan aset yang ingin dilindungi. Apa saja yang dianggap sebagai aset harus ditentukan bersama dengan pemilik dari sistem (aplikasi, data, dsb.) sebab mereka yang mengetahi mana aset dan mana yang bukan aset.
Proses uni disebut assesment dan dapat dilakukan dengan melalui training atau awareness terhadap pihak-pihak terkait. Seringkali pemilik aplikasi memahami mana asetnya tetapi pihak operasional (orang-orang IT yang diberi tugas untuk mengamankan sistem) tidak tahu.
Setelah mengetahui aset yang ingin diamankan, aset tersebut harus kita beri harga value. Pengamanan nantinya akan disesuai dengan nilai dari aset tersebut. Akan sulit kita melakukan investasi pengamanan yang biasanya lebih mahal dari nilai asetnya.
Sebagai contoh, jika kta memiliki sebuah komputer yang harganya Rp. 5.000.000, maka akan sulit untuk menerima biaya pengamanan hanya Rp. 100.000.000, lebih mahal. Biaya pengamanan harus lebih murah dari pada nilai asetnya. Jka biaya pengamanan lebih mahal, mungkin lebih baik membeli barang sejenis saja sebagai duplikat.
Untuk hal-hal yang terkait dengan teknologi informasi, pendaftaran aset-aset ini tidak mudah karena ada hal-hal yang tidak terlihat secara kasat mata, Aset ini dapat kita bagi menjadi 3 jenis:
hardware, software, dan data. MAri kita nulai mencoba mendata.
Aset yang berbentuk penrangkat keras hardware agak mudah diadata karena terlihat oleh mata, tetapi ada beberapa hal yang membuatnya menjadi susah. Salah satunya adalah nilai dari aset tersebut.
Harga komputer cendrung jatuh dengan cepat. Beberapa depresiasi dari sebuah server? Contoh-contoh aset perangkat keras antara lain komputer, router, perangkat jaringan, disk, dan seterusnya. Apalah notebook termasuk aset atau barang habis? Bagai mana dengan USB, flashdisk? Apakah itu termasuk aset juga?
Beberapa kejadian terkait dengan kesulitan mendata perangkat keras antara lain tidak diketahuinya pemilik dari pereangkat tersebut, Database perangkaat keras sering tidak tersedia. Sebagai contoh sering kali tidak diketahui hardisk dan lokasi server yang menggunakan disk tersebut.
Jika pendataan perangkat keras sudah susah, maka pendataan perangkat lunak lebih susah lagi. Masalahnya, perangkat lunak tidak terlihat secara kasat mata sehingga pendataannya harus melalui pemilik layanan/pemilik aplikasi. Sebagai contoh, sebuah layanan oneline memiliki aplikasi di sercer web dan juga database di server database. Aplikasi-aplikasi tersebut berbentuk beberapa perangkat lunak yang tentunya memiliki harga.
Penentuan harga nilai dari perangkat lunak cukup rumit. Untuk aplikasi yang dibeli, dapar digunakan harga pembelian tersebut. Bagaimana menentukan harga aplikasi yang dikembangkan sendiri? Ada yang menggunakan jumlah waktu pengembang dalam man days yang kemudian dikalikan dengan honor gaji orang tersebut.
Itulah harga dari aplikasi tersebut. Lantaas bagaimana dengan produk free software atau sebagian dari open source yang kebanyakan dapat diperoleh secara geratis? Bagaimana menentukan harga mereka? Ini masih menjadi pertanyaan. Hal lain yang menyulitkan adalah berapa depresiasi dari perangkat lunak?
Bagian selanjutnya dari aset teknologi informasi adalah data. Jika pendaftaran aset hardware dan software sudah sukar, pendaftaran data lebih sukar lagi. Data apa saja yang dimiliki oleh sistem? pada umumnya data apa saja yang tersedia tidak terdaftar. Masing-masing aplikasi hanya memiliki data tersendiri.
Penentuan harga dari data lebih sukar lagi. Sebagai contoh berapa harga data pelanggan toko online? bagi pelanggan, data tersebut sangat berharga sehingga harus dilindungi. Bagi orang lain, data tersebut mungkin tidak ada nilainya. Maukah anda membeli data pelanggan toko online seharga Rp. 30.000.000? saya yakin tidak ada yang mau. Bagaimana jika Rp. 3.000.000? maungkin masih tidak. Bagaimana jika Rp. 3.000? mungkin mau. Apakah nailai dari data pelanggan tersebut hanya tida ribu rupiah? Jika iya, bagaumana nilai perlindungannya yang akan kita berikan?
Setelah menetahui aset yang akan dilindungi, langkah pertama yang dilakukan adalah melakukan desain pengamanan. Hal ini dilakukan dengan mengembangkan kebijakan dan prosedur policies and procedures.
Banyak yang melupakan langkah ini dan langsung melakukan implementasi, tetapi tanpa PnP ini akan sulit. Sebagai contoh, siapa yang boleh melakukan akses kepada data pelanggan tersebut? Ini dituangkan dalam kebijakan. Tanpa kebijakan ini, perangkat pengamanan yang ada authorization dan access control akan sulit diterapkan, Rules apa yang akan dipakai? Banyak kejadian sistem pengamanan diterapkan dengan salah karena tidak memiliki desain yang benar.
Desain pengamanan ini kemudian diterapkan secara teknis melalui perangkat pengamanan security devices. Penerapan ini dapat meminta bantuan vendor.
Meskipun sudah diterapkan pengamanan, insiden keamanan akan tetap dapat terjadi. Ketika insiden ini terjadi, maka harus dilakukan investigasi terlebih dahulu. Apakah insiden yang terjadi tersebut benar-benar insiden ataukah kejadian biasa saja? Jika memang itu adalah insiden, maka akan diperoses lebih lanjut sesuai dengan kebijakan dan prosedur yang ada.
Ini kemudian menjadi siklus security life cycle. Banyak orang yang masih menganggap security adalah sebuah produk sehingga mereka lebih fokus kepada pembelian produk pengamanan tertentu tanpa memperhatikan faktor lain miasalnya aset mana yang akan dilindungi.
Ini seperti mengatasi sakit kepala dengan menggunakan obat penghilang rasa sakit tanpa perlu mencaru tahu sumber permasalahan sesungguhnya.
Keamanan Elemen Sistem
Dahulu, ketika kita berbicara tentang security, maka yang ada dalam kepala sebagian besar orang adalah network security (Keamanan jaringan komputer). Padahal sistem teknologi informasi tidak hanya jaringan saja.
Sebuah sistem berbasis teknologi informasi memiliki beberapa elemen komponen, yaitu komputer(host, server, workstation), jaringan (beserta perangkatnya, dan aplikasi (software, database). Keamanan dari masing-masing elemen tersebut akan berbeda penanganannya.
Computer Security
Computer security (kemanan komputer) terkait dengan keamanan komputer, yang boleh jadi merupakan server, workstation, notebook, dan sejenisnya. Seringkali ini disebut juga sebagai host security.
Permasalahan yang nubcuk pada keamanan komputer terkait dengan sistem operasi yang digunakan, patch yang sudah dipasang, konfigurasi yang digunakan, serta keberadaan aplikasi yang ada.
Seringkali sistem operasi yang digunakan sudah kadaluwarsa dan sudah ditemukan beberapa kerentanan vulnerability pada sistem operasinya.
Network Security
Saat ini sebagian besar sistem terhubung dengan jaringan apapun jenis jaringannya. Ada beberapa masalah terkait dengan keamanan jaringan, seperti misalnya penyadapan data, modifikasi data, dan juga serangan Denial of Service terhadap jaringan dengan membanjiri jaringan dengan paket yang sangat banyak (sangat besar).
Application Security
Boleh jadi komputer server yang digunakan sudah aman dan jaringan yang digunakan sudah aman, tetapi aplikasi (software) yang digunakan memiliki kerentanan sehingga data dapat diambil atau diubah oleh orang yang tidak berhak. Contoh yang sering terjadi saat ini adalah SQL Injection.
Terkait dengan applicaiton security adalah keamanan sistem database. Ternyata penanganan masalah keamanan database mirip dengan penanganan keamanan jaringan (bukan aplikasi).
Topik keamanan aplikasi atau software mulai menjadi penting dan ini menjadi topik buku tersendiri.
Budi Raharjo,
Terima Kasih sudah membaca Security Life Cycle. Semoga Bermanfaat!
Tidak ada komentar untuk " Security Life Cycle "
terimakasih telah berkunjung ke blogg kami