Advertisement
loading...

 

MATERI PELATIHAN BERBASIS KOMPETENSI

SEKTOR TEKNOLOGI INFORMASI DAN KOMUNIKASI

 

 

 

 

 

 

MENGELOLA KEAMANAN SISTEM

TIK.JK05.008.01

 

 

 

 

 

 

 

 

BUKU INFORMASI

 

 

 

 

 

 

 

DEPARTEMEN TENAGA KERJA DAN TRANSMIGRASI R.I.

DIREKTORAT JENDERAL PEMBINAAN PELATIHAN DAN PRODUKTIVITAS

Jl. Jend. Gatot Subroto Kav.51 Lt.7.B Jakarta Selatan

 

 

DAFTAR ISI

 

DAFTAR ISI 1

BAB I 2

PENGANTAR. 2

1.1     Konsep Dasar Competency Based Training (CBT) 2

1.2     Penjelasan Modul 2

1.2.1      Desain Modul                                                               2

1.2.2      Isi Modul 2

1.2.3      Pelaksanaan Modul 3

1.3     Pengakuan Kompetensi Terkini (RCC) 3

1.4     Pengertian-Pengertian / Istilah. 4

BAB II 6

STANDAR KOMPETENSI 6

2.1 Peta Paket Pelatihan. 6

2.2 Pengertian Unit Standar Kompetensi 6

2.3 Unit Kompetensi Yang Dipelajari 6

2.3.1 Judul Unit 7

2.3.2 Kode Unit 7

2.3.3 Deskripsi Unit 7

2.3.4 Elemen Kompetensi 7

2.3.4 Batasan Variabel 9

2.3.5 Panduan Penilaian  9

2.3.6 Kompetensi Kunci                                                            11

BAB III 12

STRATEGI DAN METODE PELATIHAN. 12

3.1     Strategi Pelatihan. 12

3.2     Metode Pelatihan. 12

BAB IV. 14

MATERI UNIT KOMPETENSI 14

4.1 Tujuan Instruksional Umum.. 14

4.2 Tujuan Instruksional Khusus 14

4.3     Uraian Singkat Materi : 14

4.4     Beberapa Pengertian dalam Unit Kompetensi Ini : 15

4.5     Informasi masing-masing elemen kompetensi: 16

4.5.1      Mengidentifikasi ancaman pada sistem   16

4.5.3      Meninjau kembali kebutuhan audit 23

4.5.3      Mengidentifikasi metode kendali yang tepat 26

4.5.4      Memasukkan metode-metode kendali kedalam sistem   5

4.5.5      Mengimplementasikan prosedur keamanan tambahan  7

BAB V. 14

SUMBER-SUMBER YANG DIPERLUKAN UNTUK PENCAPAIAN                          KOMPETENSI 14

5.1 Sumber Daya Manusia. 14

5.2.    Sumber-sumber Kepustakaan ( Buku Informasi ) 15

5.3     Daftar Peralatan dan Bahan yang digunakan. 15

DAFTAR PUSTAKA. 17

 

 


BAB I

PENGANTAR

 

1.1     Konsep Dasar Competency Based Training (CBT)

 

  • Apakah pelatihan berdasarkan kompetensi?

Pelatihan berdasarkan kompetensi adalah pelatihan yang memperhatikan pengetahuan, keterampilan dan sikap yang diperlukan di tempat kerja agar dapat melakukan pekerjaan dengan kompeten. Standar Kompetensi dijelaskan oleh Kriteria Unjuk Kerja.

 

  • Apakah artinya menjadi kompeten ditempat kerja?

Jika anda kompeten dalam pekerjaan tertentu, anda memiliki seluruh keterampilan, pengetahuan dan sikap yang perlu untuk ditampilkan secara efektif ditempat kerja, sesuai dengan standar yang telah disetujui.

 

1.2     Penjelasan Modul

Pada bagian ini akan dijelaskan tentang desain modul, isi modul, dan pelaksanaan modul.

1.2.1    Desain Modul

Modul ini didesain untuk dapat digunakan pada Pelatihan Klasikal dan Pelatihan Individual / mandiri :

  • Pelatihan klasikal adalah pelatihan yang disampaikan oleh seorang pelatih.
  • Pelatihan individual / mandiri adalah pelatihan yang dilaksanakan oleh peserta dengan menambahkan unsur-unsur / sumber-sumber yang diperlukan dengan bantuan dari pelatih.

1.2.2    Isi Modul

Bagian Isi Modul ini menerangkan tentang Buku Informasi, Buku Kerja, dan Buku Penilaian.

 

Buku Informasi

Buku informasi ini adalah sumber pelatihan untuk pelatih maupun peserta pelatihan. Buku ini digunakan sebagai panduan untuk peserta pelatihan.

 

Buku Kerja

Buku kerja ini harus digunakan oleh peserta pelatihan untuk mencatat setiap pertanyaan dan kegiatan praktek baik dalam Pelatihan Klasikal maupun Pelatihan Individual / mandiri.

Buku ini diberikan kepada peserta pelatihan dan berisi :

  • Kegiatan-kegiatan yang akan membantu peserta pelatihan untuk mempelajari dan memahami informasi.
  • Kegiatan pemeriksaan yang digunakan untuk memonitor pencapaian keterampilan peserta pelatihan.
  • Kegiatan penilaian untuk menilai kemampuan peserta pelatihan dalam melaksanakan praktik kerja.

 

Buku Penilaian

Buku penilaian ini digunakan oleh pelatih untuk menilai jawaban dan tanggapan peserta pelatihan pada buku kerja dan berisi :

  • Kegiatan-kegiatan yang dilakukan oleh peserta pelatihan sebagai pernyataan keterampilan.
  • Metode-metode yang disarankan dalam proses penilaian keterampilan peserta pelatihan.
  • Sumber-sumber yang digunakan oleh peserta pelatihan untuk mencapai keterampilan.
  • Semua jawaban pada setiap pertanyaan yang diisikan pada buku kerja.
  • Petunjuk bagi pelatih untuk menilai setiap kegiatan praktik.
  • Catatan pencapaian keterampilan peserta pelatihan.

 

1.2.3    Pelaksanaan Modul

Pada pelatihan klasikal, pelatih akan :

  • Menyediakan buku informasi yang dapat digunakan peserta pelatihan sebagai sumber pelatihan.
  • Menyediakan salinan buku kerja kepada setiap peserta pelatihan.
    • Menggunakan buku informasi  sebagai sumber utama dalam penyelenggaraan pelatihan.
    • Memastikan setiap peserta pelatihan memberikan jawaban / tanggapan dan menuliskan hasil tugas praktiknya pada buku kerja.

 

Pada Pelatihan individual / mandiri, peserta pelatihan akan :

  • Menggunakan buku informasi sebagai sumber utama pelatihan.
  • Menyelesaikan setiap kegiatan yang terdapat pada buku kerja.
  • Memberikan jawaban pada buku kerja.
  • Mengisikan hasil tugas praktik pada buku kerja.
  • Memiliki tanggapan-tanggapan dan hasil penilaian oleh pelatih.

 

1.3     Pengakuan Kompetensi Terkini (RCC)

 

  • Apakah Pengakuan Kompetensi Terkini (Recognition of Current Competency)

Jika anda telah memiliki pengetahuan dan keterampilan yang diperlukan untuk elemen unit kompetensi tertentu, anda dapat mengajukan pengakuan kompetensi terkini (RCC). Berarti anda tidak akan dipersyaratkan untuk belajar kembali.

 

Anda mungkin sudah memiliki pengetahuan dan keterampilan, karena anda telah :

  1. Bekerja dalam suatu pekerjaan yang memerlukan suatu pengetahuan dan keterampilan yang sama atau
  2. Berpartisipasi dalam pelatihan yang mempelajari kompetensi yang sama atau
  3. Mempunyai pengalaman lainnya yang mengajarkan pengetahuan dan keterampilan yang sama.

 

1.4     Pengertian-Pengertian / Istilah

 

Profesi

Profesi adalah suatu bidang pekerjaan yang menuntut sikap, pengetahuan serta keterampilan/keahlian kerja tertentu yang diperoleh dari proses pendidikan, pelatihan serta pengalaman kerja atau penguasaan sekumpulan kompetensi tertentu yang dituntut oleh suatu pekerjaan/jabatan.

 

Standardisasi

Standardisasi adalah proses merumuskan, menetapkan serta menerapkan suatu standar tertentu.

 

Penilaian / Uji Kompetensi

Penilaian atau Uji Kompetensi adalah proses pengumpulan bukti melalui perencanaan, pelaksanaan dan peninjauan ulang (review) penilaian serta keputusan mengenai apakah kompetensi sudah tercapai dengan membandingkan bukti-bukti yang dikumpulkan terhadap standar yang dipersyaratkan.

 

Pelatihan

Pelatihan adalah proses pembelajaran yang dilaksanakan untuk mencapai suatu kompetensi tertentu dimana materi, metode dan fasilitas pelatihan serta lingkungan belajar yang ada terfokus kepada pencapaian unjuk kerja pada kompetensi yang dipelajari.

 

Kompetensi Kerja

Kompetensi  Kerja adalah kemampuan kerja setiap individu  yang mencakup aspek  pengetahuan ,  keterampilan dan sikap kerja  yang sesuai dengan standar yang ditetapkan

 

Pelatihan Berbasis Kompetensi Kerja.

Pelatihan Berbasisi Kompetensi Kerja adalah  pelatihan kerja yang menitikberatkan pada penguasaan kemampuan kerja yang mencakup pengetahuan, keterampilan dan sikap sesuai dengan standar yang ditetapkan dan persyaratan di tempat kerja.

 

Standar Kompetensi Kerja Nasional Indonesia

Standar Kompetensi Kerja Nasional Indonesia adalah rumusan kemampuan kerja yang mencakup aspek pengetahuan, keterampilan dan / atau keahlian serta sikap kerja yang relevan dengan pelksanaan tugas dan syarat jabatan yang ditetapkan sesuai dengan ketentuan peraturan perundang-undangan yang berlaku.

 

Sertifikasi Kompetensi Kerja.

Sertifikasi kompetensi Kerja adalah proses pemberian sertifikat kompetensi yang

dilakukan secara sitematis dan obyektif melalui uji kompetensi sesuai standar kompetensi kerja nasional Indonesia, standar internasional dan /atau standar khusus.

Sertifikat Kompetensi Kerja

Sertifikat Kompetensi Kerja adalah bukti tertulis yang diterbitkan oleh lembaga sertifikasi profesi terakreditasi yang menerangkan bahwa seseorang telah menguasai kompetensi kerja tertentu sesuai dengan SKKNI.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


BAB II

STANDAR KOMPETENSI

 

2.1 Peta Paket Pelatihan

Modul yang sedang Anda pelajari ini bertujuan untuk mencapai satu unit kompetensi. Adapun kompetensi ini termasuk dalam satu paket pelatihan, yang terdiri atas unit-unit kompetensi berikut:

  1. TIK.JK05.008.01              Mengelola Keamanan Sistem

 

2.2 Pengertian Unit Standar Kompetensi

 

Apakah Standar Kompetensi?

Setiap Standar Kompetensi menentukan :

  1. Pengetahuan dan keterampilan yang diperlukan untuk mencapai kompetensi.
  2. Standar yang diperlukan untuk mendemonstrasikan kompetensi.
  3. Kondisi dimana kompetensi dicapai.

 

Apakah yang akan anda pelajari dari Unit Kompetensi ini ?

Di dalam unit kompetensi ini, Anda akan mempelajari bagaimana caranya menulis atau menyalin isi dari sebuah naskah.

 

Berapa lama unit kompetensi ini dapat diselesaikan ?

Sistem pelatihan berbasis kompetensi terfokus pada pencapaian kompetensi, bukan pada lamanya waktu. Namun diharapkan pelatihan ini dapat dilaksanakan dan dicapai dalam jangka waktu tidak lebih dari seminggu, tiga sampai lima hari.

 

Berapa banyak/kesempatan yang anda miliki untuk mencapai kompetensi ?

Jika Anda belum mencapai kompetensi pada usaha/kesempatan pertama, Pelatih Anda akan mengatur rencana pelatihan dengan Anda. Rencana ini akan memberikan Anda kesempatan kembali untuk meningkatkan level kompetensi Anda sesuai dengan level yang diperlukan. Jumlah maksimum usaha/kesempatan yang disarankan adalah 3 (tiga) kali.

 

2.3 Unit Kompetensi Yang Dipelajari

Dalam sistem pelatihan Standar Kompetensi diharapkan menjadi panduan bagi peserta pelatihan untuk dapat :

  1. Mengidentifikasikan apa yang harus dikerjakan peserta pelatihan.
  2. Memeriksa kemajuan peserta pelatihan.
  3. Menyakinkan bahwa semua elemen (sub-kompetensi) dan kriteria unjuk   kerja telah dimasukkan dalam pelatihan dan penilaian.

2.3.1 Judul Unit

Mengelola Keamanan Sistem

 

2.3.2 Kode Unit

            TIK.JK05.008.01

 

2.3.3 Deskripsi Unit

Unit ini akan menjelaskan kemampuan yang diperlukan untuk mengimplementasikan dan mengatur fungsi pada keamanan sistem, yang terdiri dari komponen-komponen berikut, mengidentifikasi ancaman pada sistem, meninjau kembali kebutuhan audit, mengidentifikasi metode kendali yang tepat, memasukkan metode-metode kendali ke dalam sistem, dan Mengimplementasikan prosedur keamanan tambahan.

2.3.4 Elemen Kompetensi

Berikut ini disajikan elemen kompetensi yang akan dibahas dalam tulisan ini.

 

ELEMEN KOMPETENSI

KRITERIA UNJUK KERJA

01     Mengidentifikasi ancaman pada sistem 1.1  Analisis resiko dijalankan, dan ancaman pada jaringan (seperti heckers, virus, dan sebagainya) dievaluasi.

 

1.2  Langkah-langkah untuk mencegah atau mengatasi ancaman dengan biaya yang efektif diidentifikasi.

 

1.3  Rencana kebijakan keamanandan pemulihan dari bencana direncanakan.

 

1.4  Rencana disampaikan ke manajemen untuk persetujuan.

 

02     Meninjau kembali kebutuhan audit 2.1  Persyaratan keamanan yang telah dievaluasi ditinjau ulang, dan kebutuhan keamanan yang tepat didiskusikan bersama auditor.

 

2.2  Rancangan dan kebutuhan keamanan klien didiskusikan bersama auditor dan pihak yang terkait.

 

2.3  Rekaman audit yang lama disetujui bersama auditor, dan kompilasi semua kebutuhan pengguna diperiksa.

 

03     Mengidentifikasi metode kendali yang tepat 3.1  Metode kendali yang biasa digunakan pada sistem jaringan (seperti kendali pada perangkat masukan, keluaran, file, pengolahan, dan sebagainya) ditinjau ulang.

 

3.2   Kendali modul dan sistem (seperti tanggal, versi, dan sebagainya) ditinjau ulang berdasarkan kebutuhan klien dan keamanan.

 

3.3   Penanganan kesalahan dipenuhi sesuai dengan persyaratan keamanan.

 

3.4   Kendali untuk keamanan dan resiko didokumentasikan dan disampaikan kepada manajemen dan auditor untuk disetujui.

 

04     Memasukkan metode-metode kendali kedalam sistem 4.1  Kendali dimasukkan ke dalam sistem, dan kendali yang berbasis lingkungan dan pada sistem operasi diidentifikasi.

 

4.2  Ketentuan keamanan yang diakses pengguna didokumentasikan berdasarkan klasifikasi pengguna untuk diaplikasikan pada program, record, dan prosedur untuk pengendalian keamanan yang tepat berdasarkan kebutuhan klien.

 

4.3      Dokumen-dokumen disetujui oleh manajemen dan auditor.

 

05     Mengimplementasikan prosedur keamanan tambahan 5.1 Hak akses sistem secara internal dan eksternal ditinjau ulang, dan perangkat yang tepat seperti firewall direkomendasikan.

 

5.2 Pasar dari firewall dievaluasi dan rekomendasi dibuat untuk manajemen.

 

5.3  Firewall dipasang dan dikonfigurasi sesuai dengan rekomendasi pabrik dan standar keamanan.

 

5.4 Kebutuhan keamanan ditinjau ulang dan rekomendasi untuk penambahan perangkat seperti perangkat keras, sistem jaringan komputer, secure hub, switch, dan sebagainya dibuat.

 

5.5 Perangkat yang disetujui  dipasang dan dikonfigurasi untuk menyediakan tingkat keamanan yang dibutuhkan.

 

 

Tabel 1Elemen Kompetensi

2.3.4 Batasan Variabel

Batasan variabel dalam bahasan ini adalah:

1.       Unit ini berlaku untuk seluruh sektor teknologi informasi dan komunikasi.

2.       Dalam melaksanakan unit kompetensi ini didukung dengan tersedianya:

2.1   Sistem jaringan komputer dan sistem komputer.

2.2   Sistem operasi jaringan.

2.3   Sistem firewall.

2.3.5 Panduan Penilaian

Dalam bagian ini akan dibahas komponen-komponen yang berhubungan dengan penilaian dalam pelatihan. Komponen yang dibahas adalah pengetahuan dan keterampilan penunjang, konteks penilaian, aspek penting penilaian dan kaitan unit yang dibahas dengan unit-unit lainnya.

 

  1. 1.           Pengetahuan dan keterampilan penunjang

Untuk mendemontrasikan kompetensi, memerlukan bukti keterampilan dan pengetahuan di bidang berikut ini :

 

1.1     Pengetahuan dasar

1.1.1  Pengetahuan teknologi sistem komputer (perangkat keras dan perangkat lunak).

1.1.2  Pengetahuan teknologi jaringan komputer.

1.1.3  Pengetahuan teknologi keamanan jaringan.

1.1.4  Pengetahuan bisnis perusahaan.

 

1.2     Keterampilan dasar

1.2.1  Mengoperasikan sistem operasi.

1.2.2    Mengoperasikan sistem komputer di jaringan.

 

  1. 2.           Konteks penilaian

Penilaian mungkin terjadi pada pekerjaan, atau diluar pekerjaan atau suatu kombinasi dari keduanya. Penilaian diluar pekerjaan harus dilaksanakan dalam suatu lingkungan kerja yang disimulasikan mendekati pekerjaan yang semestinya.

Penilaian mungkin menggabungkan serangkaian metode untuk menilai kemampuan dan penerapan pengetahuan pendukung penting, dan mungkin mencakup:

2.1     Demontrasi praktis (pengamatan langsung harus terjadi lebih dari sekali untuk menentukan konsistensi kemampuan).

2.2   Studi kasus.

2.3   Contoh-contoh kerja atau kegiatan-kegiatan simulasi kerja.

2.4   Menanyakan secara lisan/interview.

2.5   Proyek/laporan/buku catatan kemajuan.

2.6   Laporan pihak ketiga dan prestasi otentik sebelumnya.

2.7   Bukti penilaian.

 

3.       Aspek penting penilaian

Aspek yang harus diperhatikan :

3.1   Kemampuan untuk menganalisis ancaman pada sistem jaringan.

3.2   Kemampuan untuk  memasang dan mengkonfigurasi perangkat

keamanan pada sistem jaringan.

 

4.       Kaitan dengan unit-unit lainnya

            Kaitan unit Mengelola Keamanan Sistem dengan unit-unit lainnya adalah:

4.1     Unit ini didukung oleh pengetahuan dan keterampilan dalam unit kompetensi yang berkaitan dengan:

4.1.1  Mengoperasikan sistem komputer jaringan.

4.1.2  Mengoperasikan sistem operasi.

 

4.2     Pengembangan pelatihan untuk memenuhi persyaratan dalam unit ini perlu dilakukan dengan hati-hati. Untuk pelatihan pra-kejuruan umum, institusi harus menyediakan pelatihan yang mempertimbangkan serangkaian konteks industri seutuhnya tanpa bias terhadap sektor tertentu. Batasan variabel akan membantu dalam hal ini. Untuk sektor tertentu/ khusus, pelatihan harus disesuaikan agar dapat memenuhi kebutuhan sektor tersebut.

 

 2.3.6 Kompetensi Kunci

          Kompetensi kunci dalam bahasan ini dapat dilihat dalam tabel di bawah ini.

NO

KOMPETENSI KUNCI DALAM UNIT INI

TINGKAT

1

Mengumpulkan, mengorganisir dan menganalisa informasi

2

2

Mengkomunikasikan ide-ide dan informasi

2

3

Merencanakan dan mengorganisir aktivitas-aktivitas

2

4

Bekerja dengan orang lain dan kelompok

2

5

Menggunakan ide-ide dan teknik matematika

2

6

Memecahkan masalah

2

7

Menggunakan teknologi

2

 

Tabel 2 Kompetensi Kunci

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


BAB III

STRATEGI DAN METODE PELATIHAN

3.1        Strategi Pelatihan

Belajar dalam suatu Sistem Berbasis Kompetensi berbeda dengan yang sedang “diajarkan” di kelas oleh Pelatih. Pada sistem ini Anda akan bertanggung jawab terhadap belajar Anda sendiri, artinya bahwa Anda perlu merencanakan belajar Anda dengan Pelatih dan kemudian melakukan praktek sesuai dengan rencana yang telah dibuat.

 

Persiapan/perencanaan

  1. Membaca bahan/materi yang telah diidentifikasi dalam setiap tahap belajar dengan tujuan mendapatkan tinjauan umum mengenai isi proses belajar Anda.
  2. Membuat catatan terhadap apa yang telah dibaca.
  3. Memikirkan bagaimana pengetahuan baru yang diperoleh berhubungan dengan pengetahuan dan pengalaman yang telah Anda miliki.
  4. Merencanakan aplikasi praktik pengetahuan dan keterampilan Anda.

 

Permulaan dari proses pembelajaran

  1. Mencoba mengerjakan seluruh pertanyaan dan tugas praktik yang terdapat pada tahap belajar.
  2. Merevisi dan meninjau materi belajar agar dapat menggabungkan pengetahuan Anda.

 

Pengamatan terhadap tugas praktik

  1. Mengamati keterampilan praktik yang didemonstrasikan oleh Pelatih atau orang yang telah berpengalaman lainnya.
  2. Mengajukan pertanyaan kepada Pelatih tentang konsep sulit yang Anda temukan.

 

Implementasi

  1. Menerapkan pelatihan kerja yang aman.
  2. Mengamati indikator kemajuan personal melalui kegiatan praktik.
  3. Mempraktikkan keterampilan baru yang telah Anda peroleh.

 

Penilaian

Melaksanakan tugas penilaian untuk penyelesaian belajar Anda.

 

3.2        Metode Pelatihan

Terdapat tiga prinsip metode belajar yang dapat digunakan. Dalam beberapa kasus, kombinasi metode belajar mungkin dapat digunakan.

 

Belajar secara mandiri

Belajar secara mandiri membolehkan Anda untuk belajar secara individual, sesuai dengan kecepatan belajarnya masing-masing. Meskipun proses belajar dilaksanakan secara bebas, Anda disarankan untuk menemui Pelatih setiap saat untuk mengkonfirmasikan kemajuan dan mengatasi kesulitan belajar.

 

Belajar Berkelompok

Belajar berkelompok memungkinkan peserta untuk dating bersama secara teratur dan berpartisipasi dalam sesi belajar berkelompok. Walaupun proses belajar memiliki prinsip sesuai dengan kecepatan belajar masing-masing, sesi kelompok memberikan interaksi antar peserta, Pelatih dan pakar/ahli dari tempat kerja.

 

Belajar terstruktur

Belajar terstruktur meliputi sesi pertemuan kelas secara formal yang dilaksanakan oleh Pelatih atau ahli lainnya. Sesi belajar ini umumnya mencakup topik tertentu.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


BAB IV

MATERI UNIT KOMPETENSI

4.1 Tujuan Instruksional Umum

  • Siswa mampu mengidentifikasi ancaman pada sistem
  • Siswa dapat mencegah atau mengatasi ancaman-ancaman yang terjadi pada sistem
  • Siswa dapat meninjau kembali kebutuhan audit.
  • Siswa dapat mengidentifikasi metode kendali yang tepat.
  • Siswa dapat memasukkan metode-metode kendali ke dalam sistem.
  • Siswa dapat mengimplementasikan prosedur keamanan tambahan.

 

4.2 Tujuan Instruksional Khusus

  • Siswa dapat mengetahui jenis ancaman-ancaman apa saja yang menyerang sistem.
  • Siswa dapat mengambil tindakan pencegahan terhadap ancaman-ancaman pada sistem.
  • Siswa dapat mengetahui kebutuhan-kebutuhan audit yang diperlukan untuk memelihara keamanan sistem.
  • Siswa dapat mengenal metode-metode kendali yang tepat dalam memelihara keamanan sistem.
  • Siswa dapat memilih metode-metode kendali yang tepat dalam keamanan sistem.
  • Siswa dapat memasukkan metode-metode kendali ke dalam sistem.
  • Siswa dapat mengetahui dan mengenal prosedur-prosedur keamanan tambahan dalam pemeliharaan sistem.
  • Siswa dapat mengimplementasikan prosedur-prosedur keamanan tambahan ke dalam sistem.

 

4.3  Uraian Singkat Materi :

Mengelola Keamanan Sistem

 

Pada bagian ini akan dibahas tentang apa itu sebenarnya yang dimaksud dengan keamanan sistem, ancaman-ancaman apa saja yang dapat menyerang atau mengganggu keamanan sistem, langkah-langkah apa saja yang diperlukan untuk mencegah dan mengatasi datangnya ancaman-ancaman keamanan sistem, rencana-rencana kebijakan keamanan dan pemulihan dari bencana direncanakan, hingga recana tersebut disampaikan ke pihak manajemen perusahaan. Selain itu juga, dalam dokumen ini dibahas juga tentang persyaratan keamanan yang telah dievaluasi ditinjau ulang, dan kebutuhan keamanan yang tepat didiskusikan bersama auditor, rancangan dan kebutuhan keamanan klien didiskusikan bersama auditor dan pihak yang terkait, dan rekaman audit yang lama disetujui bersama auditor, dan kompilasi semua kebutuhan pengguna diperiksa. Ada juga tentang metode kendali yang biasa digunakan pada sistem jaringan (seperti kendali pada perangkat masukan, keluaran, file, pengolahan, dan sebagainya) ditinjau ulang, kendali modul dan sistem (seperti tanggal, versi, dan sebagainya) ditinjau ulang berdasarkan kebutuhan klien dan keamanan, penanganan kesalahan dipenuhi sesuai dengan persyaratan keamanan, kendali untuk keamanan dan resiko didokumentasikan dan disampaikan kepada manajemen dan auditor untuk disetujui.

 

Dalam dokumen ini dibahas juga tentang bagaimana kendali dimasukkan ke dalam sistem, dan kendali yang berbasis lingkungan dan pada sistem operasi diidentifikasi, ketentuan keamanan yang diakses pengguna didokumentasikan berdasarkan klasifikasi pengguna untuk diaplikasikan pada program, record, dan prosedur untuk pengendalian keamanan yang tepat berdasarkan kebutuhan klien, dokumen-dokumen disetujui oleh manajemen dan auditor.

 

Pembahasan yang terakhir tentang hak akses sistem secara internal dan eksternal ditinjau ulang, dan perangkat yang tepat seperti firewall direkomendasikan, pasar dari firewall dievaluasi dan rekomendasi dibuat untuk manajemen, firewall dipasang dan dikonfigurasi sesuai dengan rekomendasi pabrik dan standar keamanan, kebutuhan keamanan ditinjau ulang dan rekomendasi untuk penambahan perangkat seperti perangkat keras, sistem jaringan komputer, secure hub, switch, dan sebagainya dibuat, dan perangkat yang disetujui  dipasang dan dikonfigurasi untuk menyediakan tingkat keamanan yang dibutuhkan.

 

4.4  Beberapa Pengertian dalam Unit Kompetensi Ini :

1. Firewall               :

perangkat lunak atau keras yang menyaring (filter) informasi yang masuk melalui koneksi internet ke network privat atau sistem komputer.

2. Malware              :

dengan sebuah perangkat lunak yang didesain untuk melakukan infiltrasi atau merusak suatu sistem komputer, tanpa seijin pemiliknya

3. Virus computer    :

program komputer yang dapat menggandakan atau menyalin dirinya sendiri.

4. worms                :

suatu program yang berpindah dari satu komputer ke komputer yang lain tanpa mengikatkan dirinya (attach it self) pada sistem operasi komputer yang diinfeksinya.

 

4.5  Informasi masing-masing elemen kompetensi:

4.5.1  Mengidentifikasi ancaman pada sistem

 

1)       Pengetahuan Kerja

 

Berbicara tentang keamanan system adalah sesuatu hal yang sangat menarik dalam dunia teknologi, apalagi yang berhubungan dengan system computer. System yang kita bicarakan dalam hal ini adalah system yang berhubungan dengan computer.

 

Memahami dan memprediksi ancaman terhadapa keamanan sistem merupakan salah satu kunci sukses dalam memproteksi sistem dari kerusakan data maupun pencurian data.

 

Suatu system mempunyai keamanan yang tinggi apabila system tersebut bebas dari virus, heckers, dan hak akses system lain atau orang lain yang memang tidak mempunyai akses pada system tersebut. Salah satu ancaman yang cukup serius bagi pengguna komputer baik pada tingkat end user ataupun pengelola sistem informasi (administrator) adalah penyebaran virus komputer.

 

Analisis Resiko Dijalankan dan Ancaman Pada Jaringan

Apabila kita hendak melakukan pemeliharaan terhadap sistem yang kita kelola, maka kita juga harus tahu bagaimana sesuatu sistem itu bisa terganggu kemanannya. Bahkan secara ekstrim kita harus dapat melakukan simulasi dimana sistem yang kita kelola terganggu keamanannya. Sehingga dengan mengetahui hal-hal tersebut kita akan dapat melakukan pencegahan ancaman gangguan keamanan sistem. Pada umumnya keamanan sistem bisa terancam karena ancaman dari luar, ancaman-ancaman tersebut dapat berupa heckers, malicious code/malicious sotfware (malware) dan sebagainya. Pada dasarnya malware didefinisikan dengan sebuah perangkat lunak yang didesain untuk melakukan infiltrasi atau merusak suatu sistem komputer, tanpa seijin pemiliknya.

Malicious software itu dapat digambarkan seperti gambar yang di bawah ini.

 

 

Gambar Jenis-jenis Malware

 

Secara umum kita dapat melihat hal-hal umum tentang komponen-komponen malicious program di atas. Untuk lebih jelasnya akan dijelaskan beberapa di bawah ini.

  1. Trapdoors
  2. Logic Bombs
  3. Trojan Horse
  4. Virus

Virus komputer adalah program komputer yang dapat menggandakan atau menyalin dirinya sendiri. Tujuan pembuatannya adalah untuk merusak sistem komputer. Virus merupakan program yang dapat menyamarkan dirinya menjadi file video, file audio, dokumen word, serta dapat menyamar dalam bentuk apapun untuk menipu pengguna komputer. Penyamaran tersebut bertujuan agar pengguna komputer tertarik untuk meng-click sehingga virus tersebut menjadi aktif. Beberapa ciri komputer yang terkena virus, yaitu:

  • Sistem operasi berjalan lambat sekali
  • Sering terjadi restart
  • Penggandaan folder

Dalam perkembangan untuk menginfeksi sistem, mempunyai fase-fase, yaitu:

–        dormant – menunggu pemicu yang akan membuka jalan untuk masuk sistem

–        propagation – menggandakan diri ke dalam hard disk ataupun program-program

–        triggering – dengan melakukan aksi-aksi untuk mengeksekusi muatan-muatan dalam system.

–        execution – mengeksekusi muatan-muatan dalam sistem.

 

Virus ini dapat menyebar melalui media penyimpanan seperti flash disk, cd, ataupun disket. Ketika pertama kali virus dieksekusi, ia akan segera menginfeksi komputer tersebut dengan meng-copy-kan dirinya ke beberapa direktori penting, diantaranya pada direktori System menggunakan nama Win32.com dengan attribut hidden, juga pada Desktop, My Documents, dan StartUp Folder dengan nama file sama seperti yang dieksekusi. Varian Virus ini bisa dikatakan cukup merepotkan. virus ini secara real time akan membaca direktori aktif, misalkan Anda sedang melakukan browsing direktori pada Windows Explorer, maka virus akan mencari file apa saja yang terdapat pada direktori tersebut, lalu membuat duplikat dari dirinya dengan memanfaatkan nama file yang ditemukannya, hanya saja ditambahkan kata-kata Backup, Shortcut to, atau Copy of, dengan ekstensi yang juga berbeda-beda, bat, com, pif, scr, atau exe. Sementara untuk file dokumen .doc Anda, virus akan menyembunyikan file aslinya dan mengganti dengan dirinya sendiri menggunakan nama file .doc yang asli

 

 

  1. Worm

Menurut Robert T. Morris worms adalah suatu program yang berpindah dari satu komputer ke komputer yang lain tanpa mengikatkan dirinya (attach it self) pada sistem operasi komputer yang diinfeksinya. Sejalan dengan perkembangannya, definisi worms tersebut sudah tidak begitu tepat. Beberapa worms sering menggunakan teknik untuk menyembunyikan kehadirannya dengan melakukan instalasi atau memodifikasi sistem. Sehingga definisi yang lebih tepat menurut Jose Nazario adalah suatu agen penginfeksi yang otonom dan independen dalam bereplikasi, serta memiliki kemampuan dalam menginfeksi sistem host baru melalui fasilitas jaringan.

Sejarah Worms mulai ada dan dikenal sejak awal internet mulai dipublikasikan. Dimana saat itu para ahli berusaha mengumpulkan informasi dari seluruh jaringan internet yang belum memiliki semacam mesin pencari (search engine).

Beberapa jenis worm dan perkembangannya:

 

1. Morris worms[2] Worms ini diciptakan oleh Robert Tappan Morris pada tahun 1988 sebagai proyek riset pada saat menyelesaikan program doktoralnya di Cornell Unversity. Dengan memanfaatkan kelemahan (vulnerability) pada Sendmail Server dan Finger Daemon pada sistem Unix, worms ini menyebar dengan setelah menyebabkan keadaan zero argumenth pada sistem yang diinfeksinya. Teknik penyebaran worms ini, masih dipakai hingga saat ini. Efek penyebaran worms yang sangat luas ini, menyebabkan pembentukan tim Computer Emergency Response Team (CERT/CERT-CC) oleh Amerika.

2. Ramen Worms[2] Merupakan worms pertama yang berhasil menyebar pada lingkungan Linux. Ia pertama kali di identifikasikan menyerang Red Hat versi 6.1, 6.2, 6.3 dan 7.0., worms ini menyebar dengan bantuan shell scripts exploits dan scanner yang telah dikompilasi (packed) menjadi file binary. Setelah berhasil menginfeksi dan menjalankan aksinya (payload), ia kemudian mencari host lain secara acak pada jaringan kelas B.

 

3. Sadmind/IIS[2] Worms ini mampu menyerang web server IIS (Internet Information Service) Microsoft Windows, melalui kelemahan sistem pada Sun Solaris. Dengan mencari akses root pada Sun Solaris yang terhubung dengan sistem Unix, worms ini berevolusi dengan mengubah tampilan (deface)situs-situs yang menggunakan IIS.

 

4. Melissa[2] Worms ini bukan yang pertama kali menggunakan teknik penyebaran melalui e-mail, tetapi kecepatan penyebaran yang hebat membuat worms membuat seluruh pengguna internet/e-mail di dunia menjadi sangat menderita. Rahasia dibalik kesuksesan worms ini terletak pada implementasi rekayasa sosial pada8

file attachment e-mail yang yang telah terinfeksi worms tersebut. teknik ini sampai sekarang masih efektif dan digunakan oleh worms-worms lainnya.

 

5. Code Red (Code Red 1)[2] Begitu worms ini beraksi, ia langsung menjadi sebuah standar worms lain dalam melakukan infeksi. Teknik yang digunakan adalah melakukan exploits pada lubang keamanan sistem yang baru diumumkan oleh vendornya. Waktu yang dibutuhkan worms ini dalam usaha untuk mengeksploitasi lubang keamanan suatu sistem, melebihi kecepatan vendor dalam menyediakan patch untuk kelemahan sistem tersebut.

 

6. Code Red II[2] Worms ini menggunakan landasan ekploitasi pada pendahulunya yaitu Code Red 1 dan Code Red 2. Dengan Teknik Island hoping worms ini membuat kecepatan penyebaranya meningkat tiga sampai empat kali lebih cepat dari versi pendahulunya. Teknik ini membuat probabilitas serangan acak pada alamat Internet Protocol jaringan kelas A dan B menjadi lebih tinggi, sehingga lebih mudah dan cepat dalam menginfeksi sistem lain.

 

7. Nimda[2] Meskipun diidentifkasikan dibuat bukan oleh pembuat Code Red, worms ini kemungkinan memiliki tujuan untuk melanjutkan hasil serangan dari Code Red II. Dengan menggunakan teknik yang sama dengan Code Red II, worms ini berbeda dalam proses scanning alamat IP pada jaringan. Dengan teknik tersebut worms ini menyebakan aktivitas besar-besaran yang menguras sumber daya dalam jaringan.

 

 

  1. Zombie

Dalam dunia komputer zombie bertujuan untuk melakukan suatu tindakan yang tidak terlacak, atau melipatgandakan dampak suatu serangan Internet secara eksponensial. Pemilik PC yang terkena zombie, biasanya tidak menyadari bahwa PC-nya sudah dikuasai dan disalahgunakan oleh pengontrol zombie.

PC zombie sebenarnya tidak lebih dari komputer desktop dan notebook biasa yang dikendalikan dari jarak jauh. Biasanya, mereka disalahgunakan untuk secara otomatis menyalurkan spam maupun serangan phishing, melakukan serangan denial-of-service (DoS) ke server atau jaringan, atau menyebarkan virus atau worm baru.

Secara eksternal, zombie berdampak pada peningkatan spam, fraud dan infeksi virus bagi siapa saja yang terkena, selain menyebabkan jaringan, server dan situs web mengalami downtime . Secara internal, PC dan jaringan menjadi lambat, dan memungkinkan orang-orang iseng mengintip data konfidensial tanpa Anda ketahui.

Kebanyakan, PC-PC zombie ini berada di rumah atau home-office yang terhubung dengan jaringan broadband melalui cable modem atau DSL (digital subscriber line), dimana mereka memiliki koneksi Internet kecepatan tinggi dan selalu hidup (always-on). Tetapi, sistem-sistem komputer yang digunakan perusahaan-perusahaan kecil, yang seringkali tidak memiliki infrastruktur security tidak sebaik jaringan milik perusahaan-perusahaan besar, sangat berisiko diambil alih dan disalahgunakan juga.

Tanda-tanda infeksi zombie bisa berupa melambatnya kerja sistem atau hubungan Internet, aktivitas disk drive yang berlebihan, atau menyebabkan ketidakstabilan sistem secara keseluruhan.

Zombie dibangkitkan dengan mengirimkan sejumlah bit kode program, yang juga dikenal dengan julukan bot (kependekan dari kata ro bot ). Tujuan program ini adalah membuka pintu belakang sistem komputer korban, yang memungkinkan pihak luar menginstal piranti lunak secara diam-diam, mengeluarkan perintah-perintah, dan menyebarkan serangan sambil menyembunyikan identitas dijital penyerangnya, atau taktik lempar batu sembunyi tangan.

Untuk mengaktifkan PC zombie yang sudah disusupi bot , biasanya sang dukun akan mengirimkan perintah ke PC tersebut, biasanya melalui sarana IRC (internet relay chat). PC-PC zombie itu pun siap melakukan apa saja yang diperintahkan tuannya, bak sebuah ro bot. Makanya, sekumpulan PC zombie juga dikenal dengan istilah bot networks, atau botnet. Pengaktifan bot ini data terjadi dengan contoh, si pemilik secara sadar membuka attachment di sebuah e-mail , men-download sebuah program yang terinfeksi dari situs-situs web, atau seseorang sengaja mengaktifkan kode backdoor di sebuah komputer lokal. Dengan kata lain, masuknya bot ini memanfaatkan pertahanan sistem TI paling lemah, yaitu manusia itu sendiri.

Langkah-langkah Pencegahan Terhadap Ancaman dengan biaya yang efektif diidentifikasi.

 

Setelah kita mengenal apa-apa saja yang memungkinkan dan menyebabkan kemanan sistem kita terganggu, maka kita akan dapat melakukan tindakan pencegahan atau penangkal untuk menghindarkan komputer kita serangan-serangan pengganggu. Langkah-langkah tersebut adalah sebagai berikut:

1. Menutup lubang-lubang di perimeter jaringan.

Firewall merupakan persyaratan keamanan minimum bagi semua perusahaan yang terhubung dengan Internet. Firewall jaringan terletak antara perangkat koneksi Internet ( modem, cable modem, DSL modem , dsb) dan jaringan internal. Firewall ini berfungsi melindungi jaringan dengan mencegat, memeriksa dan menolak trafik inbound yang mencurigakan. Model-model firewall yang lebih maju juga memungkinkan komputer dalam jumlah banyak berbagi satu sambungan Internet, melindungi sharing jaringan internal, memberi izin akses jarak jauh oleh para telecommuter, dan juga dapat digunakan untuk menegakkan kebijakan internal, seperti memblokir situs-situs web terlarang.

 

2. Menggelar pertahanan desktop aktif.

Sebagai lapis pertahanan kedua, setiap desktop yang terhubung ke jaringan perlu memiliki program anti-virus terkini yang dijalankan sepanjang waktu. Tujuannya apalagi, kalau bukan untuk mendeteksi dan melumpuhkan ancaman yang dikirimkan melalui e-mail maupun aplikasi-aplikasi instant messenger .

Thielens juga menyarankan untuk memasang aplikasi firewall pribadi pada setiap PC yang terhubung ke Internet. Gunanya untuk memantau dan memblokir upaya-upaya intrusi dari luar dan memonitor komunikasi ke luar dari program-program yang terpasang di sistem lokal. Firewall pribadi tersebut bakal sering mendeteksi dan memblokir ancaman web, script-script liar, ad-ware, spyware dan aplikasi-aplikasi Trojan horse yang mungkin lolos dari hadangan pertahanan perimeter jaringan. Aplikasi anti-spyware dapat pula disandingkan dengan perangkat-perangkat pertahanan di atas, karena seringkali aplikasi itu memiliki kriteria yang unik untuk memantau perilaku aplikasi spyware yang unik. Adanya anti-spyware tentu akan menambah bo bot pertahanan diri PC tersebut.

3. Menyalakan update otomatis, dan menjadwalkan pemindaian regular. Ketika jenis ancaman itu berkembang dan berubah setiap hari, salah satu upaya untuk tidak ketinggalan langkah dari penjahat adalah menyalakan update otomatis untuk aplikasi-aplikasi anti-virus, firewall pribadi dan anti- spyware . Dan, jangan lupa pula fitur auto-update yang ada di sistem operasi maupun browser yang terpasang pada PC. Dengan melakukan prosedur ini, diharapkan semua sistem berjalan dengan sistem pertahanan terkini dan membantu menutupi lubang-lubang pada piranti lunak sebelum lubang-lubang itu sempat dieksploitasi. (sumber: Tumbleweed Communications)

Rencana kebijakan keamanan dan pemulihan dari bencana direncanakan.

 

                   Rencana kebijakan kemanan ini menyangkut dua kondisi, pertama kebijakan kemanan untuk mencegah datangnya ancaman terhadap kemanan sistem dan yang kedua rencana keamanan terhadap sistem yang sudah terkena ancaman keamanan dana bagaimana pemulihannya. Melakukan tindakan keamanan sebelum sistem terkena ancaman dapat dilakukan dengan belajar dari komputer lain yang telah terkena ancaman keamanan sistem dan juga mempelajari tentang malicious software maupun kejahatan-kejahatan lain yang mengancam keamanan sistem. Untuk melakukan kebijakan keamanan dalam pencegahan dapat dilakukan dengan cara sebagai berikut:

  1. Menutup lubang-lubang di perimeter jaringan
  2. Menggelar pertahanan desktop aktif
  3. Menyalakan update otomatis, dan menjadwalkan pemindaian regular

      

Rencana disampaikan ke manajemen untuk persetujuan.

Setelah melakukan analisa terhadap ancaman keamanan jaringan dan bagaimana langkah-langkah pencegahannya, maka perlu disusun rencana kebijakan keamanan dan bagaimana pemulihan dari bencana. Penyusunan rencana kebijakan keamanan dan pemulihan bencana ini harus disusun dengan lengkap dan jelas, baik biaya-biaya yang dibutuhkan dengan jelas dan detail. Hal ini berkaitan ini pelaporan rencana yang akan diajukan ke pihak manajemen. Manajemen akan membaca laporan rencana ini, menganalisis, mempelajarinya dan kemudian memberikan keputusan, apakah disetujui atau tidak. Apabila sudah mendapat persetujuan maka rencana kebijakan keamanan dan pemulihan dapat dilaksanakan, tetapi jika tidak disetujui rencana kebijakan keamanan dan pemulihan dari ancaman kemanan ini harus ditinjau kembali.

2) Ketrampilan Kerja

Analisis Resiko Dijalankan dan Ancaman Pada Jaringan.

  • Mengumpulkan informasi mengenai ancaman-ancaman pada jaringan.
  • Mencari referensi tentang analisis resiko.

 

Langkah-langkah Pencegahan Terhadap Ancaman dengan biaya yang efektif diidentifikasi.

 

  • Mengumpulkan informasi mengenai langkah-langkah Pencegahan Terhadap Ancaman dengan biaya yang efektif.
  • Mengidentifikasi langkah-langkah pencegahan terhadap ancaman dengan biaya yang efektif.

 

Rencana kebijakan keamanan dan pemulihan dari bencana direncanakan.

  • Mengumpulkan informasi mengenai rencana kebijakan keamanan dan pemulihan dari bencana.
  • Merencanakan kebijakan keamanan dan pemulihan dari bencana.

 

Rencana disampaikan ke manajemen untuk persetujuan.

  • Menyampaikan rencana ke pihak manajemen untuk meminta persetujuan.

 

 

3) Sikap Kerja

Sikap kerja ditunjukkan pada saat praktek di lingkungan kerja.

  • Mengidentifikasi langkah-langkah pencegahan terhadap ancaman dengan biaya yang efektif dengan benar.
  • Merencanakan kebijakan keamanan dan pemulihan dari bencana dengan benar dan memenuhi semua kebutuhan.
  • Menyampaikan rencana ke pihak manajemen untuk meminta persetujuan dengan jelas dan benar.

4.5.3    Meninjau kembali kebutuhan audit

 

 

1)       Pengetahuan Kerja

 

Dalam bagian ini akan dibahas tentang apa –apa saja persyaratan keamanan yang telah dievaluasi ditinjau ulang, dan kebutuhan keamanan yang tepat didiskusikan bersama auditor, Rancangan dan kebutuhan keamanan klien didiskusikan bersama auditor dan pihak yang terkait, dan Rancangan dan kebutuhan keamanan klien didiskusikan bersama auditor dan pihak yang terkait.

Persyaratan keamanan yang telah dievaluasi ditinjau ulang, dan kebutuhan keamanan yang tepat didiskusikan bersama auditor.

 

Setelah persyaratan keamanan dievaluasi dengan memperhatikan dan menyesuaikannya dengan kebutuhan-kebutuhan pemeliharaan keamanan sistem, maka rencana keaamanan tersebut perlu ditinjau ulang kembali dan didiskusikan secara bersama-sama dengan orang-orang yang terlibat. Hal ini dilakukan untuk memastikan bahwa persyaratan keamanan tersebut sudah benar-benar sesuai dengan kebutuhan penjagaan dan penanggulangan keamanan yang diharapkan dan tidak memberi peluang atau celah lagi terhadap pembobolan sistem keamanan.

Rancangan dan kebutuhan keamanan klien didiskusikan bersama auditor dan pihak yang terkait.

Rancangan dan kebutuhan keamanan sistem klien tentu saja terutaman ditentukan oleh hal-hal berikut, yaitu:

 

  1. Seberapa besarnya sistem yang terdapat pada klien.

Semakin besarnya sistem yang dimiliki oleh klien, dalam integrasi sistenm yang begitu banyak, maka akan memerlukan sistem keamanan yang lebih tangguh. Hal ini terkait juga dengan point no. 3.

 

  1. Seberapa luas jangkauan pemakaian sistem klien, apakah membutuhkan jaringan internet atau intranet?

Sistem yang menggunakan intranet akan mempunyai sistem keamanan yang lebih mudah dan sederhana dibanding dengan sistem yang sudah menggunakan internet. Sistem yang sudah terhubung dengan internet berarti mempunyai jangkauan yang begitu luas melalui dunia maya. Bisa jadi sistem ini bisa diakses oleh semua orang. Sementara kita tidak bisa memastikan bahwa setiap orang yang mengakses sistem adalah orang yang mempunyai niat baik. Oleh karena itu untuk mengantisipasi gangguan dari pihak-pihak yang berniat tidak benar, maka sistem keamanan harus menjawab masalh ini. Contohnya dengan membuat sistem firewall yang benar-benar bagus.

 

  1. Seberapa banyak orang yang terlibat dalam mengakses sistem klien.

Point 3 ini berhubungan dengan kedua point di atas. Semakin banyak pihak yang mengakses atau menggunakan sistem, berarti semakain banyak ide atau pikiran yang dituangkan ke dalam sistem, baik itu pemikiran atau ide yang benar atau tidak.

 

Setelah hasil rancangan dan kebutuhan klien disusun yang tentu saja dengan memperhatikan memperhatikan ketiga kondisi di atas, kemudian hasil rancangan akan dibawakan ke forum diskusi dengan auditor dan pihak-pihak terkait. Tujuan dari diskusi ini tentu saja untuk mendapat masukan-masukan lagi yang berguna untuk mendukung perancangan sistem keamanan yang lebih baik dan lebih tangguh.

 

Rekaman audit yang lama disetujui bersama auditor, dan kompilasi semua kebutuhan pengguna diperiksa.

Setelah melakukan diskusi yang mungkin sampai beberapa kali, maka hasil audit yang lama dan juga hasil kompilasi semua kebutuhan pengguna akan diserahkan kembali kepada auditor untuk diperiksa. Dalam membangun suatu sistem keamanan memang dibutuhkan auditor untuk memastikan bahwa sistem keamanan tersebut sudah benar-benar memenuhi semua kebutuhan keamanan sistem klien. Karena hal keamanan sistem adalah hal yang sangat kritikal, karena berhubungan dengan data klien. Setelah diperiksa dan tidak ada lagi revisi oleh auditor, maka audit yang lama siap untuk disetujui.

 

Pemeriksaan audit yang lama dan kompilasi semua kebutuhan pengguna tentu saja berguna untuk:

  • Meningkatkan keamanan
  • Meningkatkan integritas data
  • Meningkatkan efektifitas sistem
  • Meningkatkan efisiensi system

 

2) Ketrampilan Kerja

Persyaratan keamanan yang telah dievaluasi ditinjau ulang, dan kebutuhan keamanan yang tepat didiskusikan bersama auditor.

 

  • Mengumpulkan informasi mengenai persyaratan keamanan.
  • Meninjau ulang persyaratan keamanan yang telah dievaluasi.
  • Mendiskusikan kebutuhan keamanan yang tepat bersama auditor

 

Rancangan dan kebutuhan keamanan klien didiskusikan bersama auditor dan pihak yang terkait.

 

  • Mengumpulkan informasi mengenai rancangan dan kebutuhan keamanan klien.
  • Mendiskusikan rancangan dan kebutuhan keamanan klien.

 

Rekaman audit yang lama disetujui bersama auditor, dan kompilasi semua kebutuhan pengguna diperiksa.

 

  • Mengumpulkan informasi mengenai semua kebutuhan pengguna.
  • Memeriksa kompilasi semua kebutuhan pengguna.

 

 

3) Sikap Kerja

 

Sikap kerja ditunjukkan pada saat praktek di lingkungan kerja.

  • Meninjau ulang persyaratan keamanan yang telah dievaluasi dengan benar dan lengkap.
  • Mendiskusikan kebutuhan keamanan yang tepat bersama auditor dengan sungguh-sungguh.
  • Memeriksa kompilasi semua kebutuhan pengguna.

 

4.5.3  Mengidentifikasi metode kendali yang tepat

 

1) Pengetahuan Kerja

 

Dalam bagian ini dibahas tentang metode-metode kendali yang biasa digunakan pada sistem jaringan, kendali modul dan sistem, penangan kesalahan dipenuhi sesuai dengan persyaratan keamanan, dan kendali untuk keamanan dan resiko didokumentasikan dan disampaikan kepada manajemen dan auditor untuk disetujui.

Metode kendali yang biasa digunakan pada sistem jaringan.

Metode kendali maksudnya adalah metode yang digunakan untuk mengendalikan dan memastikan keamanan sistem terpelihara. Metode kendali ini terbagi atas:

  1. Kendali Masukan (Input Control)

Pengendalian masukan mempunyai tujuan untuk meyakinkan bahwa data transaksi yang valid telah lengkap, terkumpul semuanya serta bebas dari kesalahan sebelum dilakukan proses pengolahannya.

 

Data input yang akan dimasukkan ke dalam computer melalui jaringan dapat melibatkan dua tahap, yaitu :

a)    Data Capture (Penangkapan data) merupakan proses mengidentifikasikan dan mencatat kejadian nyata yang terjadi akibat transaksi yang dilakukan oleh organisasi.

b)   Data Entry (Pemasukan data) merupakan proses membacakan atau memasukkan data ke dalam komputer.

 

Pada tahap data capture dapat dilakukan pengendalian sbb :

1)   Nomor urut tercetak pada dokumen dasar

Dokumen dasar harus diberi nomor urut yang sudah tercetak. Tujuan dari pengendalian ini adalah untuk mengetahui bila ada dokumen yang hilang.

2)   Ruang maksimum untuk masing-masing field di dokumen dasar

Dokumen dasar dirancang sedemikian rupa sehingga tidak ada field data yang meleset, yang dapat dilakukan dengan menyediakan ruang maksimum untuk masing-masing field data, sehingga kelebihan digit atau karakter dapat terlihat. Pengendalian ini merupakan pengendalian untuk kebenaran data.

3)   Kaji ulang data

Personil yang mengisi dokumen dasar harus mengkaji ulang kembali data yang dicatatnya, dengan cara meneliti kembali kelengkapan dan kebenaran datanya.

4)   Verifikasi data

Dokumen dasar yang sudah diisi oleh seorang personil dapat diverifikasi kelengkapan dan kebenarannya oleh personil yang lainnya.

 

Pengendalian pada tahap pemasukkan data berupa pengecekan yang telah terprogram di dalam program aplikasi dan disebut dengan Programmed Check (pengecekan program).

 

Pengendalian yang ada di programmed check dapat berupa :  

 

1)   Echo check

Data yang diketikkan pada keyboard untuk dimasukkan ke komputer akan ditampilkan (echo) pada layar terminal. Dengan demikian operator dapat membandingkan antara data yang diketikkan dengan data yang seharusnya dimasukkan. Program dibuat sedemikian rupa dengan memberikan kesempatan pada operator untuk memperbaiki bila data yang diketikkan salah.

2)   Existence check

Kode yang dimasukkan dibandingkan dengan daftar kode-kode yang valid dan sudah diprogram.

3)   Matching check

Pengecekan ini dilakukan dengan membandingkan kode yang dimasukkan dengan field di file induk bersangkutan.

4)   Field check

Field dari data yang dimasukkan diperiksa kebenarannya dengan mencocokkan nilai dari field data tersebut dengan tipe field-nya, apakah bertipe numerik, alphabetik, atau tanggal.

5)   Sign check

Field dari data yang bertipe numerik dapat diperiksa untuk menentukan apakah telah berisi dengan nilai yang mempunyai tanda yang benar, positif atau negatif.

6)   Relationship check atau logical check

Hubungan antara item-item data input harus sesuai dan masuk akal. Pengecekan ini berfungsi untuk memeriksa hubungan antara item-item data input yang dimasukkan ke komputer. Kalau tidak masuk akal, maka akan ditolak oleh komputer.

7)   Limit check atau reasonable check

Nilai dari input data diperiksa apakah cukup beralasan atau tidak.

Contohnya,tanggal transaksi yang terjadi adalah 30 Februari 2000 adalah tidak beralasan.

8)   Range check

Nilai yang dimasukkan dapat diseleksi supaya tidak keluar dari jangkauan nilai yang sudah ditentukan.

9)   Self-checking digit check

Self-checking digit check adalah pengecekan untuk memeriksa kebenaran dari digit-digit data yang dimasukkan. Pengecekan ini digunakan karena operator cenderung melakukan kesalahan memasukkan digit-digit data.

10)       Sequence check

Sequence check memeriksa urutan dari record data yang dimasukkan dengan cara membandingkan nilai field record tersebut dengan nilai field record sebelumnya yang terakhir dimasukkan.

11)       Label check

Untuk menghindari kesalahan penggunaan file, maka label internal yang ada di simpanan luar dapat diperiksa untuk dicocokkan dengan yang seharusnya digunakan.

12)       Batch control total check

Batch control total check umumnya diterapkan pada pengolahan data dengan metode batch processing.

13)       Zero-balance check

Bila transaksi yang dimasukkan merupakan nilai-nilai yang saling mengimbangi, misalnya nilai-nilai debet dan nilai-nilai kredit, maka nilai-nilai tersebut harus imbang atau kalau dikurangkan selisihnya harus nol. Zero-balance check akan melakukan pengecekan selisih antara dua sisi tersebut harus imbang.

 

  1. Kendali Pengolahan (Processing Control)

Pengendalian pengolahan mempunyai tujuan untuk mencegah kesalahan-kesalahan yang terjadi selama proses pengolahan data yang dilakukan setelah data dimasukkan ke dalam komputer yang yang mempergunakan jasa jaringan. Kesalahan pengolahan dapat terjadi karena program aplikasi yang digunakan untuk mengolah data mengandung kesalahan.

Kesalahan-kesalahan yang umumnya disebabkan oleh kesalahan dalam program adalah :

 

1)   Overflow

Overflow terjadi jika proses pengolahan mengandung perhitungan yang hasilnya terlalu besar atau terlalu kecil, sehingga tidak muat untuk disimpan di memori komputer. Jika terjadi overflow, maka hasil dari proses pengolahan data menjadi tidak tepat lagi.

2)   Kesalahan logika program

Kesalahan ini merupakan kesalahan yang berbahaya dan sulit untuk dilacak, karena kesalahan logika program tidak dapat ditunjukkan oleh komputer dan tetap akan didapatkan hasilnya, tetapi dengan hasil yang salah.

3)   Penanganan pembulatan yang salah

Permasalahan pembulatan terjadi bila tingkat ketepatan yang diinginkan dari perhitungan arithmatika lebih kecil dari tingkat ketepatan yang terjadi.

4)   Kesalahan proses serentak

Kesalahan proses serentak (concurency) terjadi jika sebuah file di dalam basis data dipergunakan oleh lebih dari seorang pemakai dalam jaringan (network).

 

  1. Kendali Keluaran (Output Controls)

Keluaran (output) yang merupakan produk dari pengolahan data dapat disajikan dalam bentuk hard copy dan soft copy. Pengendalian-pengendalian keluaran dimaksudkan untuk diterapkan pada kedua macam bentuk keluaran tersebut.

 

Dalam bentuk hard copy keluaran yang paling banyak dilakukan adalah berbentuk laporan yang dicetak menggunakan printer.

Dalam bentuk soft copy yang paling umum adalah berbentuk tampilan di layar terminal.

 

Untuk menghasilkan laporan yang berbentuk hard copy dapat dilakukan melalui beberapa tahapan, yaitu :

1)           Tahap menyediakan media laporan

2)           Tahap memproses program yang menghasilkan laporan

3)           Tahap pembuatan laporan di printer file

4)           Tahap pengumpulan laporan

5)           Tahap mencetak laporan di media kertas

6)           Tahap mengkaji ulang laporan

7)           Tahap pemilahan laporan

8)           Tahap distribusi laporan

9)           Tahap kaji ulang laporan oleh pemakai laporan

10)        Tahap pengarsipan laporan

11)        Tahap pemusnahan laporan yang sudah tidak diperlukan

 

Pengendalian-pengendalian keluaran yang dapat dilakukan untuk masing-masing tahap keluaran adalah sebagai berikut :

 

1)   Pengendalian pada tahap penyediaan media laporan.

Pengendalian terhadap penyimpanan media laporan ini dapat dilakukan dengan cara sebagai berikut :

-          Menyelenggarakan sistem penyimpanan media laporan tercetak.

-          Pengendalian terhadap pengaksesannya

-          Pemberian nomor urut

-          Penyimpanan cap pengesahan yang terpisah

 

2)   Pengendalian pada tahap pemrosesan program penghasil laporan.

Pengendalian pada proses program yang digunakan untuk mencetak laporan merupakan pengecekan-pengecekan yang sudah dipasang di dalam program. Pengendalian ini bertujuan untuk menjamin kebenaran dan kelengkapan informasi yang dicetak di dalam laporan.

 

3)   Pengendalian pada tahap pembuatan printer file.

Kemungkinan suatu laporan tidak langsung dicetak ke printer, tetapi direkam terlebih dahulu ke file, karena disebabkan oleh beberapa hal, seperti :

-          Menunggu printer yang sedang digunakan oleh proses yang lain.

-          Bentuk dan isi laporan akan dimodifikasi kembali.

Kalau printer file digunakan, maka harus dilakukan pengendalian-pengendalian sebagai berikut :

-          Isi dari pinter file tidak dapat diubah oleh orang lain yang tidak berhak.

-          Printer file tidak disalin oleh orang lain yang tidak boleh melihat isi laporan.

-          Printer file hanya dicetak untuk keperluan yang sah saja dan dihapus bila sudah tidak diperlukan

4)   Pengendalian pada tahap pencetakan laporan.

Pengendalian pada tahap ini mempunyai dua tujuan utama untuk :

-          meyakinkan bahwa yang dicetak hanya sejumlah tembusan yang diperlukan saja

-          mencegah isi dari laporan tidak terbaca oleh orang lain yang tidak berhak

 

5)   Pengendalian pada tahap pengumpulan laporan.

Setelah laporan dicetak, maka harus dikumpulkan segera oleh staf bagian pengendalian. Semua laporan dapat diletakkan terlebih dahulu di tempat yang khusus dan terkunci sebelum didistribusi-kan. Laporan tidak boleh ditinggal di ruang komputer secara sembarangan, karena dapat hilang atau terbaca oleh orang lain yang tidak berhak.

 

6)   Pengendalian pada tahap kaji ulang laporan.

Sebelum laporan didistribusikan dan digunakan oleh pemakai laporan, maka laporan-laporan tersebut harus bebas dari kesalahan serta harus mencerminkan informasi yang tidak menyesatkan. Untuk itu laporan sebelum didistribusikan harus diperiksa kembali atau dikaji ulang terhadap kesalahan yang tampak, misalnya field yang mengandung nilai yang tidak masuk akal, cetakan yang tidak benar, data yang hilang atau tidak terbaca, dsb.

 

7)   Pengendalian pada tahap pemilahan program.

Jika laporan terdiri dari beberapa halaman atau terdiri dari beberapa macam untuk beberapa pemakai yang berbeda, maka laporan tersebut perlu untuk dipilah dalam kelompok-kelompok tertentu. Staf bagian pengendalian harus turut mengawasi dan mengecek bahwa laporan-laporan tersebut telah lengkap, tidak ada yang hilang dan tidak difotokopi atau disalin. Kemudian laporan yang sudah dipilah harus langsung didistribusikan.

 

8)   Pengendalian pada tahap distribusi laporan.

Pengendalian yang dapat diterapkan pada tahap ini adalah :

-          Laporan dapat diberi tanggal kapan dibuat, sehingga distribusi yang terlambat dapat diketahui oleh pemakainya.

-          Dibuat daftar distribusi siapa-siapa saja yang berhak untuk menerima laporan, sehingga distribusi tidak keliru ke pihak lain yang tidak berhak.

-          Untuk laporan yang penting, harus dibuat daftar penerimaan yang ditandatangani oleh si penerima laporan sebagai bukti bahwa laporan telah didistribusikan dan diterima dengan benar dan lengkap.

9)   Pengendalian pada tahap kaji ulang oleh pemakai.

Penerima laporan sebaiknya mengkaji ulang isi dari laporan yang diterimanya sebelum menggunakannya untuk mendeteksi kesalahan yang mungkin ada. Pemakai laporan harus memberikan umpan balik kepada bagian Sistem Informasi terhadap kesalahan atau ketidaksesuaian serta perbaikan lebih lanjut terhadap laporan yang digunakannya, sehingga untuk di kemudian hari laporan dapat lebih efektif.

 

10)               Pengendalian pada tahap pengarsipan laporan.

Jika laporan sudah tidak digunakan lagi oleh pemakai laporan pada suatu saat tertentu, tetapi masih penting untuk digunakan di masa mendatang, maka laporan tersebut harus diarsip dengan baik. Pengarsipan laporan harus aman, tidak mudah dijangkau oleh orang lain yang tidak berhak.

 

11)               Pengendalian pada tahap pemusnahan laporan.

Bila laporan sudah tidak digunakan lagi selamanya, maka laporan harus dimusnahkan. Pemusnahan laporan harus benar-benar dilakukan tak berbekas, yang dapat dilakukan dengan dibakar atau dihancurkan dengan alat pengracik kertas.

 

Laporan yang berbentuk soft copy, informasi ditampilkan pada layar terminal. Pengendalian yang dilakukan pada laporan yang berbentuk soft copy meliputi :

 

1)   Pengendalian pada informasi yang ditansmisikan

Pengendalian ini dimaksudkan supaya orang yang tidak berhak tidak dapat menyadap di tengah jalur untuk informasi yang dikirimkan.

 

Kalau transmisi informasi menggunakan jalur telekomunikasi, maka dapat dilakukan dengan menyandikan (encryption) informasi yang ditransmisikan. Kalau pengiriman informasi sifatnya lokal dengan menggunakan kabel, maka jalur kabel harus diawasi supaya penyadapan kabel (wiretapping) dapat dicegah.

 

2)   Pengendalian pada tampilan di layar terminal

Pengendalian ini berguna untuk mencegah mereka yang tidak berhak untuk dapat melihat informasi yang ditampilkan di layar terminal.

 

Pengendalian ini dapat dilakukan dengan beberapa cara :

-          Menempatkan masing-masing terminal di ruangan yang terpisah.

-          Menampilkan informasi yang penting dan tidak ingin terlihat orang lain dengan tampilan intensitas rendah (low intensity) di layar terminal, sehingga tidak mudah dibaca dari jarak jauh. Meletakkan terminal yang menghadap ke tembok, sehingga tidak mudah terlihat bagi mereka yang lewat.

 

Kendali modul dan sistem

Kendali modul ini berguna untuk menjajaki (tracking) bagaimana perkembangan pembangunan modul dan sistem secara keseluruhan. Kendali bisa menjadi history pencapaian pengerjaan modul dalam sistem. Kendali modul dan sistem menyangkut bagaimana pengendalian modul dalam hal tanggal dan versi. Pengadaan tanggal dan versi harus disesuaikan dengan dengan hasil release dari suatu sistem atau hasil yang sudha dicapai. Kendali modul dan system ini harus benar-benar diperhatikan karena saling berhubungan satu sama lain. Kendali modul harus mencakup semua modul yang terdapat dalam system.

 


Penanganan kesalahan dipenuhi sesuai dengan persyaratan keamanan

 

Kesalahan dalam keamanan sistem sering terjadi karena sistem keamanan yang dibagun tidak benar-benar kuat, dalam arti masih memberikan celah kepada pihak yang tidak berwewenang untuk membobol dan memasuki sistem secara diam-diam. Penyebab terjadinya kesalahan keamanan yang paling banyak sekarang ini adalah Malicious Software. Malicious software ini sudah dijelaskan pada bab sebelumnya. Malicious software dapat merusak sistem keamanan karena mereka mempunyai jalan untuk bisa masuk ke sistem. Oleh karena itu untuk menangani kesalahan-kesalahan ini, harus dibangun sistem keamanan sesuai dengan persyaratan keamanan yang sudah dijelaskan dan dibahas sebelumnya.

Contoh dari penanganan masalah ini adalah dengan membuat kebijakan-kebijakan dalam perusahaan, dan yang paling utama adalah dengan membuat sistem firewall yang kuat.

 

Kendali untuk keamanan dan resiko didokumentasikan dan disampaikan kepada manajemen dan auditor untuk disetujui

Bagi auditor, dokumen merupakan sumber informasi yang utama dan sangat penting. Hal ini dikarenakan oleh:

  1. Dokumen menyangkut aliran transaksi dalam system secara keseluruhan.
  2. Dokumentasi berisi data dan informasi yang menjadi dasar apabila sistek dimodifikasi.
  3. Dokumentasi dapat menjadi bahan pelatihan dan asset perusahaan untuk digunakan sebagai bahan panduan.
  4. Dokumen menyangkut data dan informasi yang berguna sebagai dasar pengembangan dan perbaikan aplikasi selanjutnya.
  5. Dokumen merupakan acuan bagi seorang auditor untuk mengambil keputusan terhadap pengembangan sistem.

 

Hal ini yang menyebabkan bahwa kendali keamanan dan resiko keamanan perlu didokumentasikan. Dokumentasi harus disusun dengan jelas, sederhana, dan lengkap sehingga dapat memenuhi kegunaan dokumentasi itu sendiri. Dokumentasi untuk pengendalian keamanan dan resiko, mencakup 2 hal pokok yaitu:

 

  1. 1.   Pengendalian Keamanan Fisik

Pengendalian keamanan fisik perlu dilakukan untuk menjaga keamanan terhadap perangkat keras, perangkat lunak, dan manusia di dalam perusahaan.

Pengendalian keamanan fisik dapat dilakukan sebagai berikut :

1)   Pengawasan terhadap pengaksesan fisik

Pengawasan ini merupakan proteksi yang berupa pembatasan terhadap orang-orang yang akan masuk ke bagian yang penting.

Pengawasan ini dapat dilakukan dengan cara :

-          Penempatan satpam

-          Pengisian agenda kunjungan

-          Penggunaan tanda pengenal

-          Pemakaian kartu

-          Penggunaan Closed-Circuit Television

 

2)   Pengaturan lokasi fisik

Lokasi ruang komputer merupakan pertimbangan yang penting di dalam perencanaan sekuriti. Pengendalian terhadap lokasi fisik yang baik dari ruang komputer dapat berupa :

-          Lokasi yang tidak terganggu oleh lingkungan

-          Gedung yang terpisah

-          Tersedia fasilitas cadangan

 

3)   Penerapan alat-alat pengaman

Alat-alat pengaman tambahan dapat digunakan untuk mengendalikan hal-hal yang dapat terjadi yang dapat menyebabkan sesuatu yang fatal. Alat-alat pengaman tersebut dapat berupa :

-          Saluran air

-          Alat pemadam kebakaran

-          UPS (Uninteruptible Power Systems)

-          Stabilizer

-          AC (Air Conditioner)

-          Pendeteksi kebakaran

 

  1. 2.   Pengendalian Keamanan Data

Menjaga integritas dan kemanan data merupakan pencegahan terhadap keamanan data yang tersimpan di simpanan luar supaya tidak hilang, rusak dan diakses oleh orang yang tidak berhak.

 

Cara-cara pengendalian keamanan data :

 

1)   Dipergunakan Data Log

Agenda (Log) dapat digunakan pada proses pengolahan data untuk memonitor, mencatat dan mengidentifikasi data. Kumpulan data yang akan dimasukkan ke departemen sistem informasi seharusnya dicatat terlebih dahulu oleh data control group. File dan program yang dibutuhkan pada operasi pengolahan data juga harus dicatat oleh librarian di library log. Dengan demikian segala sesuatu yang dapat mempengaruhi perubahan data dapat diketahui, diidentifikasi dan dilacak. Disamping data log, dapat juga digunakan transaction log, yaitu suatu file yang akan berisi nama-nama pemakai komputer, tanggal, jam, tipe pengolahannya, lokasi, dsb tentang penggunaan sistem informasi yang perlu diketahui.

2)   Proteksi File

Beberapa alat atau teknik tersedia untuk menjaga file dari penggunaan yang tidak benar yang dapat menyebabkan rusak atau tergantinya data dengan nilai yang tidak benar, diantaranya adalah :

-          Cincin proteksi pita magnetik

-          Write-protect tab

Suatu tab yang dapat digeser naik atau turun di disket untuk membuat disket hanya dapat dibaca.

-          Label ekternal dan label internal

-          Read-only storage

 

3)   Pembatasan pengaksesan (access restriction)

Tujuan sekuriti yang penting adalah untuk mencegah personil yang tidak berwenang untuk dapat mengakses data.

Pengaksesan harus dibatasi untuk mereka yang tidak berhak dengan cara :

-          Isolasi fisik

Data yang penting dapat secara fisik diisolasi dari penggunaan personil-personil yang tidak berhak.

-          Otorisasi dan identifikasi

Tiap-tiap personil yang berhak mengakses data telah diotorisasi dan diberi pengenal (diidentifikasi) dengan memberikan password kepada personil.

-          Automatic lockout

Untuk mencegah seseorang mencoba-coba password berulang-ulang, biasanya mencoba password hanya diberikan kesempatan tiga kali.

-          Pembatasan pemakaian

-          Mengunci keyboard

 

4)   Data back-up dan recovery

Pengendalian back-up dan recovery diperlukan untuk berjaga-jaga jika file atau database mengalami kerusakan, kesalahan data, atau kehilangan data.

Back-up adalah salinan dari file atau database di tempat yang terpisah.

Recovery adalah file atau database yang telah diperbaiki dari kerusakan, kesalahan atau kehilangan datanya.

 

Ada 5 tipe penyebab yang dapat mengakibatkan kesalahan, kerusakan atau kehilangan data :

-          Disebabkan oleh kesalahan program (program error)

-          Disebabkan oleh kesalahan  perangkat lunak sistem (systems software error)

-          Disebabkan oleh kegagalan perangkat keras (hardware failure)

-          Disebabkan oleh kesalahan prosedur (procedural error)

-          Disebabkan oleh kegagalan lingkungan (environmental failure)

 

2) Ketrampilan Kerja

Metode kendali yang biasa digunakan pada sistem jaringan.

  • Mengumpulkan informasi mengenai metode kendali yang biasa digunakan pada sistem jaringan.
  • Menggunakan metode kendali yang biasa digunakan pada sistem jaringan.

 

Kendali modul dan sistem.

  • Mengumpulkan informasi mengenai kendali modul dan sistem.
  • Menggunakan dan menerapkan kendali modul dan sistem.

 

Penanganan kesalahan dipenuhi sesuai dengan persyaratan keamanan.

  • Mengumpulkan informasi mengenai persyaratan keamanan.
  • Memenuhi penanganan kesalahan sesuai dengan persyaratan keamanan.

 

Kendali untuk keamanan dan resiko didokumentasikan dan disampaikan kepada manajemen dan auditor untuk disetujui.

  • Mendokumentasikan kendali untuk keamanan dan resiko.
  • Menyampaikan kendali keamanan sistem kepada manajemen dan auditor untuk disetujui.

 

 

3) Sikap Kerja

Sikap kerja ditunjukkan pada saat praktek di lingkungan kerja.

1. Menggunakan metode kendali yang biasa digunakan pada sistem jaringan dengan benar.

2. Menggunakan dan menerapkan kendali modul dan sistem dengan benar.

3. Mendokumentasikan kendali untuk keamanan dan resiko dengan jelas dan lengkap.

4. Menyampaikan kendali keamanan sistem kepada manajemen dan auditor untuk disetujui dengan jelas.

4.5.4  Memasukkan metode-metode kendali kedalam sistem

 

1) Pengetahuan Kerja

 

Pada bagian ini dijelaskan tentang mengimplementasikan kendali ke dalam sistem dan mengidentifikasi kendali yang berbasis lingkungan, mendokumentasikan ketentuan keamanan yang dikases pengguna, da menyerahkan dokumen-dokumen untuk meminta persetujuan dari pihak manajemen.

Kendali dimasukkan ke dalam sistem, dan kendali yang berbasis lingkungan dan pada sistem operasi diidentifikasi.

Setelah mengidentifikasi dan mempelajari kendali-kendali yang berperan dalam menjaga keamanan sistem, maka kendali-kendali tersebut dapat diterapkan ke dalam sistem. Selin itu perlu juga untuk mengidentifikasi kendali yang berbasis lingkungan. Kendali yang berbasis lingkungan ini dapat berupa kemapuan atau kondisi sumber daya manusia yang dimiliki, lokasi dari penerapan sistem keamanan. Untuk lebih jelasnya hal ini dapat dibaca pada bab sebelumnya yang berhubungan dengan masalah pengendalian keamanan data secara fisik.

 

Ketentuan keamanan yang diakses oleh pengguna didokumentasikan

Pendokumentasian merupakan hal yang penting untuk memelihara data atau pengetahuan maupun melanjutkannya kepada orang lain. Yang dimaksud dengan pendokumentasian adalah menuangkan suatu pekerjaan atau aktivitas lisan ke dalam suatu tulisan dengan memenuhi standar-standar penulisan tertentu.

 

Jadi untuk memelihara pengetahuan tentang ketentuan keamanan yang diakses pengguna sehingga mempermudah untuk dipelajari oleh pengguna, maka setelah merumuskan ketentuan-ketentuan keamanan yang diakses oleh pengguna, langkah selanjutnya adalah membuat pendokumentasian. Dokumentasi ini harus benar-benar memuat data yang relevan dan memenuhi standar-standar dokumentasi, karena dokumentasi ini berguna sebagai pelaporan kepada pihak manajemen.

 

Dokumen-dokumen disetujui oleh manajemen dan auditor

 

Dokumen – dokumen yang telah disusun atau dibuat setelah diperiksa oleh si penulis, kemudian diserahkan kepada pihak manajemen dan juga auditor. Auditor dalam hal ini mempunyai fungsi atau tugas untuk memberikan pendapat terhadap kewajaran sebuah laporan atau dokumentasi yang sudah disusun oleh si penulis. Si auditor harus memastikan bahwa dokumentasi itu sudah benar-benar layak difinalisasi dan data yang disajikan sudah memenuhi atau sesuai dengan kebutuhan. Jika masih ada kekurangan maka dokumen akan dikembalikan kepada si penulis untuk diperbaiki, tetapi jika sudah lengkap dan tidak ada kekurangan data lagi, dokumen tersebut akan disetujui.

 

2) Ketrampilan Kerja

Kendali dimasukkan ke dalam sistem, dan kendali yang berbasis lingkungan dan pada sistem operasi diidentifikasi.

  • Mengumpulkan informasi mengenai kendali berbasis lingkungan dan pada sistem operasi.
  • Mengidentifikasi kendali yang berbasis lingkungan dan pada sistem operasi.

 

Ketentuan keamanan yang diakses oleh pengguna didokumentasikan.

  • Mengumpulkan informasi mengenai ketentuan keamanan.
  • Mendokumentasikan ketentuan keamanan yang diakses oleh pengguna.

Dokumen-dokumen disetujui oleh manajemen dan auditor.

  • Memberikan dokumen-dokumen kepada pihak manajemen dan auditor untuk disetujui.

 

3) Sikap Kerja

Sikap kerja ditunjukkan pada saat praktek di lingkungan kerja.

1. Mengidentifikasi kendali yang berbasis lingkungan dan pada sistem operasi dengan benar.

2. Mendokumentasikan ketentuan keamanan yang diakses oleh pengguna dengan jelas dan lengkap.

 

4.5.5  Mengimplementasikan prosedur keamanan tambahan

 

1) Pengetahuan Kerja

 

Pada bagian ini dijelaskan tentang meninjau ulang dan merekomendasikan hak akses sistem secara internal dan eksternal dan perangkat yang tepat, mengevaluasi pasar dari firewall dan merekomendasikannya ke pihak manajemen, memasang dan meng-konfigurasi firewall, meninjau ulang kebutuhan dan merekomendasikan penambahan perangkat, dan memasang perangkat yang sudah disetujui penambahannya dan mengkonfigurasinya.

 

Hak akses sistem secara internal dan eksternal ditinjau ulang, dan perangkat yang tepat seperti firewall direkomendasikan

Sistem tentu saja harus dapat diakses oleh orang-orang yang  berkepentingan, baik dalam internal perusahaan maupun eksternal. Semakin luas jangkuan pemakaian suatu sistem maka akan dibutuhkan suatu tingkat keamanan yang lebih tinggi. Oleh karena itu perlu ditinjau ulang sejauh mana hak akses system oleh pihak-pihak yang berkepentingan apakah sesuai dengan yang diharapkan.  Untuk menjaga sistem terhindar dari campur tangan atau gangguan dari pihak-pihak yang tidak berkepentingan, bahkan kesalahan pemberian hak akses sistem maka  keamanan harus benar-benar kuat dan juga pengelolaan pembagian atau penjabaran data dalam sistem harus benar-benar diperhatikan dan ditinjau ulang. Untuk itu diperlukan suatu firewall.

Firewall adalah perangkat lunak atau keras yang menyaring (filter) informasi yang masuk melalui koneksi internet ke network privat atau sistem komputer. Jika paket informasi yang masuk ditandai oleh filter, paket itu tidak boleh masuk lebih dalam dan harus disingkirkan. Misalkan anda bekerja di perusahaan dengan 500 pekerja. Jadi perusahaan itu mempunyai ratusan komputer yang dihubungkan dengan kartu network. Perusahaan ini juga mempunyai koneksi ke internet melalui T1 atau T3 (semacam kabel modem tapi untuk perusahaan besar). Tanpa menggunakan firewall, ratusan komputer ini akan berhubungan langsung dengan internet. Hacker bisa menganalisa komputer yang dipakai oleh akuntan, misalnya, lalu berusaha membuat koneksi ke komputer tadi melalui FTP, telnet, atau cara lain. Jika satu pekerja membuat kesalahan dan membuka lubang untuk hacker bisa masuk, hacker ini akan mengkontrol komputer tersebut. Dengan firewall, keadaannya akan sangat berubah. Perusahaan ini memasang firewall ditiap koneksi ke internet (misalnya, ditiap T1 yang masuk ke perusahaan). Di firewall ini bisa dipasang peraturan sekuriti, misalnya:

Dari 500 komputer di perusahaan ini, hanya satu yang diperbolehkan untuk menerima lalu-lintas FTP. Komputer lain harus berubungan dengan komputer ini untuk menggunakan fasilitas FTP.

 

Gambar rancangan jaringan contoh

Perusahaan bisa membuat peraturan seperti di atas untuk FTP server, Web server, Telnet server dan lain-lain. Perusahaan bisa juga mengkontrol bagaimana pekerjanya mengakses ke situs internet, apa boleh mengirim file keluar dari perusahaan melalui network, dll.

Dengan membaca betapa pentingnya firewall dalam menjaga keamanan data, maka perlu direkomendasikan pengadaan firewall apabila jaringan untuk kebutuhan perusahaan atau individu belum menggunakan firewall. Rekomendasi pengadaan firewall harus diikuti dengan keterangan-keterangan yang jelas tentang apa itu sebenarnya firewall.

 

Pasar dari firewall dievaluasi dan rekomendasi dibuat untuk manajemen

 

Sebelum merekomendasikan pengadaan firewall ke pihak manajemen, maka terlebih dahulu dilakukan evaluasi terhadap pasar firewall. Menurut data Barracuda, pada 2003, pasar firewall dunia mencapai US$3,8 juta dan akan melonjak menjadi US$5,5 juta pada akhir tahun ini. Sedangkan penjualan aplikasi antivirus dunia diprediksi mencatat nilai US$4 juta pada 2005 dan pada 2007 akan mendekati US$4,4 juta.

 

Melihat pasar dari firewall sangat penting sehingga  bisa memilih firewall apa yang ahrus diterapkan sesuai dengan dana atau keuangan yang tersedia. Sebagai contoh jika perusahaan atau individu mempunyai budget yang terbatas, pakai Firewall Software Kerio WinRoute Firewall. Tetapi jika budget-nya cukup, dapat pakai Firewall Hardware WatchGuard.

 

Firewall dipasang dan dikonfigurasi sesuai dengan rekomendasi pabrik dan standar keamanan

 

Setelah pihak manajemen sudah menyetujui pengadaan firewall, maka firewall yang sudah disediakan dipasang dan dikonfigurasi. Contoh pemasangan dan konfigurasi firewall yang diberikan pada bagian ini adalah Mengkonfigurasi Firewall di Linux dengan APF. Langkah-langkahnya adalah:

APF atau Advanced Policy Firewall adalah policy set yang berbasis pada sistem firewall iptables yang ditujukan untuk memudahkan administrator dalam penggunaan maupun konfigurasi firewall.

APF bisa didapatkan dalam paket RPM atau tar.gz, sehingga fleksibel bisa di-deploy di berbagai environment Linux.

 

Cara Instalasi

Di dalam contoh instalasi ini kita menggunakan paket tar.gz, yang bisa didownload di http://www.rfxnetworks.com/downloads/apf-current.tar.gz.

  • Ekstrak paket apf-current.x.x.x tersebut

# tar xvzf apf-current.tar.gz

  • Masuk ke dalam direktori ekstrak

# cd apf-0.9.6-1

  • Jalankan script instalasi yang terdapat dalam direktori tersebut

# ./install.sh

Jika anda sudah mendapat pesan :

Installing APF 0.9.5-1: Completed.

Maka anda sudah berhasil menginstall apf dalam Linux anda. Konfigurasi apf sesuai dengan requirement (kebutuhan) dilakukan dengan mengedit file /etc/apf/conf.apf

Saatnya untuk melakukan konfigurasi apf.

 

 

Mengkonfigurasi Firewall

Untuk mengkonfigurasi firewall di apf ini, pertama kita harus mengidentifikasi kebutuhan port mana saja yang akan dibuka baik inbound (ke dalam sistem) ataupun outbound (ke luar sistem) direction. Dibawah ini hanya contoh untuk mendefinisikan port mana yang di allow untuk inbound dan outbound. Edit file /etc/apf/conf.apf

Common ingress (inbound) ports
# Common ingress (inbound) TCP ports
IG_TCP_CPORTS=”21,22,80,5050 “
#
# Common ingress (inbound) UDP ports
IG_UDP_CPORTS=”53″

Common egress (outbound) ports
# Egress filtering [0 = Disabled / 1 = Enabled]
EGF=”1″
# Common egress (outbound) TCP ports
EG_TCP_CPORTS=”21,25,80,443,43,2089″
#
# Common egress (outbound) UDP ports
EG_UDP_CPORTS=”20,21,53″

 

Cek Log APF

 

Untuk melakukan checking log apf bisa dilakukan dengan perintah

# tail -f /var/log/apf_log

Perintah untuk menjalankan apf setiap kali sistem booting

# chkconfig — level 2345 apf on

dan untuk menghentikannya

# chkconfig — del apf

 

Menghilangkan fitur Development

Apf mempunyai fitur development yang membuat firewall di stop secara otomatis setiap 5 menit sekali. Fitur ini ditujukan untuk menghindari administrator terjebak di dalam policy firewall yang salah sehingga administrator tidak bisa mengakses sistem secara remote.

Jika proses konfigurasi apf sudah dianggap selesai dan siap diimplementasikan maka fitur development harus dinon-aktifkan dengan cara, edit file /etc/apf/conf.apf

DEVM=”1″

Diganti dengan

DEVM=”0″

 

Jalankan Apf

# /etc/init.d/apf start

 

Kebutuhan keamanan ditinjau ulang dan rekomendasi untuk penambahan perangkat

 

Untuk memastikan bahwa kebutuhan keamanan yang sudah direncanakan dan dirancang sudah lengkap dan tidak memungkinkan lagi dibobol atau diakses oleh orang yang tidak berwewenang maka dilakukan kembali tinjauan ulang. Untuk menyempurnakan tingkat keamanan sistem dapat direkomendasikan penambahan perangkat. Penambahan perangkat itu contohnya adalah:

 

  1. a.   Antivirus

Antivirus adalah sebuah jenis perangkat lunak yang digunakan untuk mendeteksi dan menghapus virus komputer dari sistem komputer. Disebut juga Virus Protection Software. Aplikasi ini dapat menentukan apakah sebuah sistem komputer telah terinfeksi dengan sebuah virus atau tidak. Umumnya, perangkat lunak ini berjalan di latar belakang (background) dan melakukan pemindaian terhadap semua berkas yang diakses (dibuka, dimodifikasi, atau ketika disimpan). Sebagian besar antivirus bekerja dengan beberapa metode seperti di bawah ini:

  • Pendeteksian dengan menggunakan basis data virus signature (virus signature database): Cara kerja antivirus ini merupakan pendekatan yang banyak digunakan oleh antivirus tradisional, yang mencari tanda-tanda dari keberadaan dari virus dengan menggunakan sebagian kecil dari kode virus yang telah dianalisia oleh vendor antivirus, dan telah dikatalogisasi sesuai dengan jenisnya, ukurannya, daya hancurnya dan beberapa kategori lainnya. Cara ini terbilang cepat dan dapat diandalkan untuk mendeteksi virus-virus yang telah dianalisia oleh vendor antivirus, tapi tidak dapat mendeteksi virus yang baru hingga basis data virus signature yang baru diinstalasikan ke dalam sistem. Basis data virus signature ini dapat diperoleh dari vendor antivirus dan umumnya dapat diperoleh secara gratis melalui download atau melalui berlangganan (subscription).
  • Pendeteksian dengan melihat cara bagaimana virus bekerja: Cara kerja antivirus seperti ini merupakan pendekatan yang baru yang dipinjam dari teknologi yang diterapkan dalam Intrusion Detection System (IDS). Cara ini sering disebut juga sebagai Behavior-blocking detection. Cara ini menggunakan policy (kebijakan) yang harus diterapkan untuk mendeteksi keberadaan sebuah virus. Jika ada kelakuan perangkat lunak yang “tidak wajar” menurut policy yang diterapkan, seperti halnya perangkat lunak yang mencoba untuk mengakses address book untuk mengirimkan e-mail secara massal terhadap daftar e-mail yang berada di dalam address book tersebut (cara ini sering digunakan oleh virus untuk menularkan virus melalui e-mail), maka antivirus akan menghentikan proses yang dilakukan oleh perangkat lunak tersebut. Antivirus juga dapat mengisolasi kode-kode yang dicurigai sebagai virus hingga administrator menentukan apa yang akan dilakukan selanjutnya. Keuntungan dari cara ini adalah antivirus dapat mendeteksi adanya virus-virus baru yang belum dikenali oleh basis data virus signature. Kekurangannya, jelas karena antivirus memantau cara kerja perangkat lunak secara keseluruhan (bukan memantau berkas), maka seringnya antivirus membuat alarm palsu atau “False Alarm” (jika konfigurasi antivirus terlalu “keras”), atau bahkan mengizinkan virus untuk berkembang biak di dalam sistem (jika konfigurasi antivirus terlalu “lunak”), terjadi false positive. Beberapa produsen menyebut teknik ini sebagai heuristic scanning.

Dengan melihat cara kerja software Antivirus di atas, dapat dipastikan bahwa software itu akan sangat berguna untuk mendukung keamanan sistem dari virus.

Perangkat yang disetujui  dipasang dan dikonfigurasi untuk menyediakan tingkat keamanan yang dibutuhkan.

 

Setelah penambahan alat direkomendasikan kepada pihak yang terkait, seperti auditor maupun manajemen, maka penambahan perangkat diimplementasikan. Seperti contoh di atas software Antivirus dapat dipasang dan dikonfigurasi.

 

 

2) Ketrampilan Kerja

Hak akses sistem secara internal dan eksternal ditinjau ulang, dan perangkat yang tepat seperti firewall direkomendasikan.

  • Mengumpulkan informasi mengenai perangkat yang tepat untuk sistem jaringan.
  • Meninjau ulang hak akses sistem secara internal dan eksternal.
  • Merekomendasikan perangkat yang tepat untuk sistem jaringan

 

Pasar dari firewall dievaluasi dan rekomendasi dibuat untuk manajemen.

  • Mengumpulkan informasi mengenai pasar dari firewall.
  • Mengevaluasi dan merekomendasikan pasar dari firewall.

 

Firewall dipasang dan dikonfigurasi sesuai dengan rekomendasi pabrik dan standar keamanan.

  • Mengumpulkan informasi mengenai konfigurasi dan pemasangan firewall.
  • Memasang dan mengkonfigurasi firewall.

 

Kebutuhan keamanan ditinjau ulang dan rekomendasi untuk penambahan perangkat.

  • Mengumpulkan informasi tentang kebutuhan keamanan untuk penambahan perangkat.
  • Meninjau ulang dan merekomendasikan penambahan perangkat.

 

Perangkat yang disetujui  dipasang dan dikonfigurasi untuk menyediakan tingkat keamanan yang dibutuhkan.

  • Mengumpulkan informasi tentang perangkat yang disetujui.
  • Memasang dan mengkonfigurasi perangkat yang ditambahi.

 

3) Sikap Kerja

Sikap kerja ditunjukkan pada saat praktek di lingkungan kerja.

1. Meninjau ulang hak akses sistem secara internal dan eksternal dengan benar.

2. Merekomendasikan perangkat yang tepat untuk sistem jaringan.

3. Mengevaluasi dan merekomendasikan pasar dari firewall dengan benar dan lengkap.

4. Memilih, meninjau ulang dan merekomendasikan penambahan perangkat yang tepat.

 


BAB V

SUMBER-SUMBER YANG DIPERLUKAN UNTUK PENCAPAIAN                          KOMPETENSI

 

5.1 Sumber Daya Manusia

Sumber daya manusia yang dimaksud dalam pencapaian kompetesi ini adalah orang yang terlibat dalam pencapaian kompetensi, yang terdiri dari pelatih, penilai dan teman-teman sekerja lainnya.

 

Pelatih

 

Pelatih Anda dipilih karena dia telah berpengalaman. Peran Pelatih adalah untuk :

  1. Membantu Anda untuk merencanakan proses belajar.
  2. Membimbing Anda melalui tugas-tugas pelatihan yang dijelaskan dalam tahap belajar.
  3. Membantu Anda untuk memahami konsep dan praktik baru dan untuk menjawab pertanyaan Anda mengenai proses belajar Anda.
  4. Membantu anda untuk menentukan dan mengakses sumber tambahan lain yang Anda perlukan untuk belajar Anda.
  5. Mengorganisir kegiatan belajar kelompok jika diperlukan.
  6. Merencanakan seorang ahli dari tempat kerja untuk membantu jika diperlukan.

 

Penilai

 

Penilai Anda melaksanakan program pelatihan terstruktur untuk penilaian di tempat kerja. Penilai akan :

  1. Melaksanakan penilaian apabila Anda telah siap dan merencanakan proses belajar dan penilaian selanjutnya dengan Anda.
  2. Menjelaskan kepada Anda mengenai bagian yang perlu untuk diperbaiki dan merundingkan rencana pelatihan selanjutnya dengan Anda.
  3. Mencatat pencapaian / perolehan Anda.

 

 

Teman kerja / sesama peserta pelatihan

 

Teman kerja Anda/sesama peserta pelatihan juga merupakan sumber dukungan dan bantuan. Anda juga dapat mendiskusikan proses belajar dengan mereka. Pendekatan ini akan menjadi suatu yang berharga dalam membangun semangat tim dalam lingkungan belajar/kerja Anda dan dapat meningkatkan pengalaman belajar Anda.

 

5.2.    Sumber-sumber Kepustakaan ( Buku Informasi )

 

Pengertian sumber-sumber adalah material yang menjadi pendukung proses pembelajaran ketika peserta pelatihan sedang menggunakan Pedoman Belajar ini.

Sumber-sumber tersebut dapat meliputi :

  1. Buku referensi (text book)/ buku manual servis
  2. Lembar kerja
  3. Diagram-diagram, gambar
  4. Contoh tugas kerja
  5. Rekaman dalam bentuk kaset, video, film dan lain-lain.

 

Ada beberapa sumber yang disebutkan dalam pedoman belajar ini untuk membantu peserta pelatihan mencapai unjuk kerja yang tercakup pada suatu unit kompetensi.

Prinsip-prinsip dalam CBT mendorong kefleksibilitasan dari penggunaan sumber-sumber yang terbaik dalam suatu unit kompetensi tertentu, dengan mengijinkan peserta untuk menggunakan sumber-sumber alternatif lain yang lebih baik atau jika ternyata sumber-sumber yang direkomendasikan dalam pedoman belajar ini tidak tersedia/tidak ada.

5.3         Daftar Peralatan dan Bahan yang digunakan

 

  1. Judul/Nama Pelatihan        :    Mengelola Keamanan Sistem
  2. Kode Program Pelatihan    :    TIK.JK05.008.01

 

NO

UNIT

KOMPETENSI

KODE UNIT

DAFTAR PERALATAN

DAFTAR BAHAN

KETERANGAN

1.

Mengelola Keamanan Sistem

TIK.JK05.008.01

- Komputer Klien sebagai media untuk melakukan konfigurasi aplikasi untuk menjaga keamanan sistem.

- Komputer Server

- Software Antivirus.

 

- Buku tentang bagaimana menjaga keamanan sistem

- Buku manual bagaimana memasang dan mengkonfigurasi firewall

- Buku informasi tentang bagaimana menyusun dokumen yang baik.

- Buku inforamasi tentang Malicious Software.

- Buku informasi tentang kendali keamanan dan aplikasi.

 

-

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 


DAFTAR PUSTAKA

 

Testimoni

Filed under : blog, tags: