Aspek keamanan komputer adalah bentuk pertimbangan yang
menyatakan sebuah komputer bisa dinyatakan aman. Begitu pentingnya aspek
keamanan dalam teknologi informasi sehingga beberapa perusahaan pengembang
software menjadikan keamanan sebagai prioritas bisnisnya. Software yang aman
menjadi nilai jual tersendiri bagi perusahaan pengembang dan menjadi
pertimbangan utama bagi perusahaan penggguna yang mengutamakan stabilitas
sistem dan kerahasiaan datanya.
Salah satu alasan utama sebuah sistem teknologi informasi
mudah terserang virus atau worm adalah karena banyaknya komputer yang terhubung
internet. Pertukaran data melalui e-mail, instant messaging service, dan
berbagai macam cara modern lainnya kini telah menjadi kebutuhan. Namun,
terkadang perusahaan atau pengguna tidak menyadari betapa hal ini membuat
sistem TI menjadi rentan terhadap serangan virus atau worm. Isu keamanan pada
awalnya timbul ketika para ahli ingin bertukar informasi dan menyebarkan ilmu
yang dimilikinya. Mereka kemudian menghubungkan sistem komputer secara global
dan membiarkan setiap orang bebas untuk mengaksesnya. (open concept).
Sudah saaatnya para penggguna komputer mulai berpikir untuk
memproteksi komputer mereka dan tidak lagi membiarkan semua orang bisa mengakses.
Hanya orang-orang kepercayaan dan yang memiliki otorisasi saja yang bisa
mengaksesnya, dan kemudian menjadi isu global dalam industri TI. Para pakar
software mengamati semua perubahan yang terjadi dan kini telah mendesain
program baru untuk masalah yang ada . Misalnya sistem operasi komputer kini
telah mengubah seting pengaturan standarnya dari bebas akses bagi siapa pun
menjadi terbatas hanya bisa diakses olweh mereka yang diberi otorisasi.
Selanjutnya, setiap software versi baru wajib melewati uji coba dan pengkajian
ulang serta audit sistem keamanan yang sangat ketat sebelum didistribusikan.
Walau mungkin tidak ada software yang sempurna, namun sistem yang sangat ketat
dapat memastikan dan mengurangi kemungkinan buruk yang bisa terjadi setelah software
tersebut didistribusikan.
Tindakan tersebut sangat penting karena para spyware akan
melancarkan “serangan” bagitu mengetahui ada perusahaan pengembang software
yang menciptakan program baru. Begitu hebatnya para programmer malware tersebut
sehingga mereka kini hanya membutuhkan sekitar sembilan hari saja untuk
memanfaatkan celah kekurangan yang ada. Hal ini “dijawab” kembali oleh
pengembaang software dengan mengeluarkan software yang lebih canggih dan
resistant terhadap virus atau worm itu. Siklus kejahatan cyber ini berlangsung
terus-menerus. Artinya, software dengan sistem keamanan tercanggih pun
seringkali belum mencukupi. Agar sistem informasi serta data yang kita miliki
dapat lebih terjaga keamanannya, setiap perusahaan harus memperhatikan tiga
aspek penting, yaitu teknologi, manusia, dan proses, atau dikenal
sebagai segitiga pengaman atau The Security Triangle.
Aspek selanjutnya adalah manusia, yang tidak kalah
pentingnya dalam keamanan sistem teknologi informasi. Bahkan, aspek ini dapat
merupakan yang paling berharga yang dimiliki suatu perusahaan. Ada tiga hal
utama yang perlu diperhatikan dalam aspek manusia, yaitu :
· Suatu perusahaan hendaknya
memiliki staf khusus pengamanan sistem teknologi informasi. Kebanyakan
perusahaan memiliki teknisi teknologi informasi yang diharapkan bisa melakukan
sesuatu yang berkenaan dengan teknologi informasi. Padahal, ahli dalam bidang
engembangan software beluum tentu paham tentang hardware dan jaringan komputer.
Selain itu, sistem teknologi informasi bisa jadi sangat rumit sehingga tidak
mungkin atu orang mengelola semua aspek yang terkait dengan sistem tersebut.
Apabila keamanan merupakan hal yang kritikal bagi perusahaan, seyogyanya
perusahaan memiliki staf yang terlatih dan ditugaskan khusus untuk mengawasi
dan mengamankan sistem tersebut.
· Tidak cukup bagi sebuah perusahaan
untuuk mempekerjakan staf khusus sistem keamanan. Staf tersebut harus dibekali
dengan pelatihan secara berkala dan berkelanjutan mengenai standar, teknologi,
dan proses karena cepatnya perkembangan dalam dunia teknologi informasi.
Pengetahuann dan keterampilan yang dimiliki dua-tiga bulan lalu bisa saja tidak
sahih lagi sekarang.
· Ketiga, dibutuhkan komitmen dari
semua karyawan dalam perusahaaan untuk menjaga sistem keamanan teknologi informasi,
seperti komitmen untuk mematuhi aturan mengenai penggunaan password dan adanya
prosedur yang jelass dalam mengakses data. Contoh awam yang terjadi adalah
ketika staf membuka attachment e-mail dari orang tak dikenal dan
ternyata bervirus, atau seorang karyawan menggunakan password yang mudah
ditebak dan bahkan memberitahukan passwordnya kepada rekan kerjanya tanpa
menyadari potensi bahaya yang bisa timbul.
Proses merupakan komponen ketiga dari The Security
Triangle. Pihak manajemen perusahaan sebaiknya memberikan perhatian
cukup tingggi terhadap asspek keamanan proses bisnis serta keamanan data
perusahaan. Ini antara lain mencakup identifikassi dan analisis resiko bisnis
yang terkait dengan sistem teknologi informasi, pemantauan sistem secara kontinu,
dan evaluasi sistem secara berkala guna memastikan keamanan sistem. Tentunya
suatu perusahaan belum tentu membutuhkan atau mampu meneapkan semua cara
pengamanan sistem. Sia-sia apabila kita menerapkan sistem yang mengggunakan
teknologi mutakhir dan biaya sangat mahal kalau ternyata kebutuhan kita tak
serumit itu dan fungsinya pun tidak optimum. Sebaliknya, tidak ada gunanya
membeli sistem murah namun tidak dapat memberikan tingkat keamanan sistem yang
diharapkan.
Perusahaan seyogyanya benar-benar mempertimbangkan bobot
kebutuhan, manfaat serta biaya yang harus dikeluarkan untuk menjaga keamanan
sistemnya. Perusahaan perlu menaksir aset serta kebutuhan bisnisnya,
mengidentifikassi dan memprioritaskan resiko yang akan dihadapi dan
memperkirakan nilai investasi yang harus dan mampu ditanamkan. Berdasarkan
analisis tersebut, perusahaan kemudian membuat dan menerapkan sebuah rencana
tindakan (action plan). Setelah itu, perusahaan sebaiknya tetap secara
berkala melakukan audit untuk memastikan bahwa sistem tersebut masih cukup
andal dan relevan untuk situasi terkini.
Dari penjelasan yang dibahas di atas, jelas bahwa keamanan
sistem teknologi informai tidaklah sederhana. Namun, perusahaan tidak memilki
banyak pilihan selain menerapkannya sesuai dengan kebutuhan. Resiko untuk tidak
menerapkan pengamanan teknologi Informasi terlalu besar dan dapat
membahayakanjalannya usaha perusahaan. Sayangnya, seperti yang telah dijelaskan
di awal tulisan ini, bahwa siklus kejahatan teknologi informasi tampaknya akan
trus berlangsung. Tidak satu pun perusahaan sistem komputer atau software yang
seratus persen bisa menjamin keamanan sistem. Tidak ada pula perusahaan yang
dapat benar-benar merasa aman dari virus, worm, atau gangguan lainnya seberapa
pun canggihnya sistem keamanan yang mereka miliki. Rasa aman yang semu dapat
menyebabkan perusahaan menjadi lengah. Hal ini semakin menekankan pentingnya
setiap perusahaan untuk tetap waspada dan senantiasa memperhatiknan ketiga
aspek keamanan sistem teknologi informasi. Dengan demikian, perusahaan dapat
meminimalisasi resiko penetrasi virus, worm, ataupun ganggguan-gangguan sistem
keamanan jenis lainnya demi kelangsungan usahanya.
Beberapa
aspek keamanan komputer meliputi aspek-aspek berikut:
· Authentication,
yaitu agar penerima informasi dapat memastikan keaslian pesan tersebut datang
dari orang yang dimintai informasi, dengan kata lain informasi tersebut
benar-benar dari orang yang dikehendaki.
· Integrity, yaitu
keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipasstikan bahwa
informasi yang dikirim tidak dimodifikassi oleh orang yang tidak berhak dalam
perrjalanan informasi tersebut.
· Nonrepudiation,
yaitu hal yang bersangkutan dengan pengirim, pengirim tidak dapat mengelak
bahwwa dialah yang mengirim informasi tersebut.
· Authority, yaitu
informasi yang berada pada sistem jaringan tidak dapat dimodifikasi oleh pihak
yang tidak berrhak atas akses tersebut
· Confidentiality,
yaitu usaha untuk menjaga informasi dari orang yang tidak berhak mengakses
(biasanya berhubungan dengan informasi yang diberikan ke pihak lain).
· Privacy, yaitu lebih
ke arah data-data yang sifatnya privat (pribadi).
· Availability, yaitu
aspek ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan.
· Acces Control, aspek
ini berhubungandenagn cara pengaturan akses kepada informasi. Biasanya
berkaitan juga dengan masalah authentication dan privacy.