CIA dan 3M
Perlindungan data adalah hal yang penting dalam masalah sekuriti. Pada bahasan sekuriti data didefinisikan sebagai :
Phsical
phenomena chosen by convention to represent certain aspects of our conceptual
and real world. The meanings we assign to data are called information. Data is
used to transmit and store information and to derive new information by
manipulating the data according to formal rules
Dari definisi di atas, data dianggap merepresentasikan informasi.
Pada sistem sekuriti data dapat
dikategorikan menjadi ;
- Data publik, yaitu data yang dapat diakses oleh siapapun
- Data rahasia, yaitu data yang tak boleh bocor ke pihak lain yang tidak berhak
- Data sembarang yaitu data yang sifatnya bebas
Seringkali
orang mempertimbangkan masalah akses
yang tidak sah dalam sekuriti karena pengaksesan tersebut tidak melalui
si-empunya. Banyak hal yang perlu dipertimbangkan dalam pengaksesan data. Dalam
perancangan dan pembahasan sistem sekuriti kazimnya kita akan dihadapkan pada
pertimbangan dengan istilah segitiga
CIA ;
- Confidentiality, yaitu segala usaha yang berkaitan dengan pencegahan pengaksesan terhadap informasi yang dilakukan oleh pihak lain yang tidak berhak.
- Integrity. Yaitu sesuatu yang berkaitan dengan pencegahan dalam modifikasi informasi yang dilakukan oleh pihak lain yang ttidak berhak.
- Availability, yaitu pencegahan penguasaan informasi atau sumber daya oleh pihak lain yang tidak berhak.
Disain suatu sistem sekuriti
akan mencoba menyeimbangkan ke tiga hal di atas.
Confidentiality berkaitan dengan privacy (data
personal) dan secrecy (kerahasiaan). Prvaicy lebih berkaitan dengan data
pribadi, sedang secrecy lebih berkaitan dengan data yang dimiliki oleh suatu
organisasi.
Secara
umum integrity berkaitan dengan jaminan bahwa sesuatu berada dalam kondisi
seharusnya. Pada sekuriti ini akan berkaitan dengan proses pengubahan data. Integrity
didefinisikan oleh Clark and Wilson adalah :
No user of the
system, even if authorized, may be permitted to modify data items in such a way
that asses or a accounting records of the company are lost or corrupted.
Pada Orange Book ( panduan
untuk evaluasi sekuriti) didefinisikan data integrity adalah :
The state that
exists when computerized data is the same as that in the source documents and
has not been exposed to accidental or malicious alteration or destruction.
Dalam
hal ini jelas bahwa integrity
berkaitan dengan konsistensi eksternal. Suatu data yang disimpan dalam sistem
komputer harus benar menggambarkan realita yang ada di luar sistem komputer.
Sedangkan dalam hal communication
security, integrity sendiri memiliki definsi sebagai :
The detection
and correction of modification, insertion, deletion or replay of transmitted
data including both intentional manipulations and random transmission errors.
Availability
didefinisikan oleh ISO 7498-2 adalah :
The property of
being accessbile and useable upan demand by an authorized entity.
Salah satu kasus yang sering terjadi
pada aspek ini adalah adanya Denial of Service, yang didefinisikan
sebagai :
The prevention
of authorized access to resources or the delaying the time-critical operations.
Setiap pengguna harus bertanggung
jawab terhadap aksi yang dilakukan pada sistem . Untuk itulah konsep accountability menjadi penting pada
sistem komputer.
- Accountability :
Audit information
must be selectively kept and protected so that action affecting security can be
traced to the responsible party
Merupakan suatu proses pencatatan yang memadai atas pemakaian resources dalam suatu sistem oleh para penggunanya
Merupakan suatu proses pencatatan yang memadai atas pemakaian resources dalam suatu sistem oleh para penggunanya
Dalam
membangun sebuah sistem informasi, perlu diperhatikan beberapa objektif dari
sekuriti komputer untuk dipertimbangkan dalam desain, implementasi, dan
operasional. Di samping hal di atas ada ada beberapa objektif sekuriti yang
penting dan diperlukan sebagai pertimbangan dalam membangun sekuriti adalah :
·
Authentication
Sekuriti menjamin proses dan hasil identifikasi oleh sistem terhadap pengguna dan oleh pengguna terhadap sistem
Sekuriti menjamin proses dan hasil identifikasi oleh sistem terhadap pengguna dan oleh pengguna terhadap sistem
·
Non Repudiation
Setiap informasi yang ada dalam sistem tidak dapat disangkal oleh pemiliknya
Setiap informasi yang ada dalam sistem tidak dapat disangkal oleh pemiliknya
Pendekatan
tradisional pada sekuriti komputer hanya berorientasi pada teknologi dan produk
(hardware dan software). Dalam pendekatan ini, terdapat anggapan bahwa hanya
sebagian orang saja yang harus mengerti dan bertanggungjawab dalam masalah
sekuriti. Disamping itu pihak manajemen menempatkan sekuriti komputer pada
prioritas yang rendah. Pendekatan tradisional biasanya ditandai dengan
ketidakmengertian pengguna akan pentingnya keikutsertaan mereka dalam membangun
sekuriti. Pengguna menganggap dengan membeli dan menggunakan produk-produk
sekuriti seperti firewall dan
kriptografi dapat menjamin keamanan suatu sistem.
Pendekatan tradisional
harus dihindari dalam membangun sekuriti. Kenyataan membuktikan bahwa pengguna
adalah mata rantai terlemah dalam rantai sekuriti itu sendiri. Oleh karena itu
diperlukan pendekatan modern yang komprehensif, yang mengikutsertakan user,
policy, manajemen, dan teknologi.
Pada hakekatnya
seringkali orang melupakan bahwa dalam pelaksanaan sekuriti akan melibatkan 3
M yaitu :
- Matematika
- Manajemen
- Manusia