Penjelasan Pengendalian Batasan

Pengendalian Batasan
Menurut Weber (1999, p370), subsistem batasan menentukan hubungan antara pengguna dengan sistem informasi. Terdapat tiga tujuan pengendalian batasan, yaitu :
a.  Memastikan identitas dan otentifikasi pengguna sistem.
b.  Memastikan identitas dan otentifikasi sumber daya yang digunakan pengguna.
c.  Membatasi tindakan pengguna dalam penggunaan sistem informasi.

Menurut Weber (1999, pp371-405), terdapat enam pengendalian pada pengendalian batasan, yaitu :
1.   Pengendalian Cryptographic (Cryptographic Control) Pengendalian  cryptographic  dibuat  untuk  melindungi kerahasiaan data dan untuk mencegah modifikasi data yang  tidak  berwenang.  Hal  di  atas  dapat  dilakukan dengan  cara  mengubah  data  (cleartext)  menjadi  kode (cryptograms atau chipertext) agar tidak memiliki arti bagi orang yang tidak dapat menguraikannya. Terdapat tiga teknik encipherment, yaitu :
a.   Transposition Chipers
Posisi karakter data.

b.   Substitution Chiphers

Substitution chiphers tetap mempertahakan posisi karakter yang ada tetapi menyembunyikan identitas karakter dengan cara menukarnya dengan karakter lain sesuai dengan aturan tertentu.
c.   Product Chipers

Product chipers menggunakan kombinasi antara metode transposisi dan substitusi.

2.   Pengendalian Akses (Access Control)
Pengendalian akses membatasi penggunaan sistem informasi hanya kepada pengguna yang berwenang, membatasi  tindakan  yang  dapat  dilakukan  pengguna, dan   memastikan   bahwa   pengguna   hanya   mendapat sistem komputer yang asli.
a.   Identifikasi   dan   Otentifikasi   (Identification   and Authentication)
Pengguna mengidentifikasi dirinya sendiri pada mekanisme pengendalian akses dengan cara memberikan informasi seperti nama atau nomor account. Informasi identifikasi ini membuat mekanisme dapat memilih file yang otentik bagi pengguna.  Pengguna  dapat  menggunakan  tiga  tipe otentifikasi, yaitu informasi yang dapat diingat (seperti nama, ulang tahun, password), objek berwujud (seperti kartu plastik, kunci), dan karakter pribadi (seperti sidik jari, suara, ukuran tangan, tanda tangan, pola retina mata).
b.   Object Resources

Digunakan pengguna pada sistem informasi berbasis komputer  dapat  diklasifikasikan  ke  dalam  empat tipe, yaitu perangkat keras (contohnya terminal, printer, prosesor), perangkat lunak (contohnya program  sistem  aplikasi),  komoditi  (contohnya tempat penyimpanan), serta data (contohnya file, gambar,  suara).  Setiap  sumber  daya  harus  diberi nama agar dapat teridentifikasi.
c.   Hak istimewa (Action Privileges)

Hak istimewa memberikan pengguna suatu hak yang tergantung  tingkat  otoritas  dan  tipe  sumber  daya yang diperlukan pengguna.
d.   Kebijakan   Pengendalian   Akses   (Access   Control Policies)


Terdapat dua tipe kebijakan, yaitu :
1) Discretionary Access Control. Kebijakan ini membebaskan penggunanya menentukan mekanisme  pengendalian  akses,  dan  pengguna dapat memilih untuk membagikan file pengguna kepada pengguna lain atau tidak.
2) Mandatory Access Control. Pada kebijakan ini pengguna dan sumber daya diberikan kategori keamanan yang tetap.
3.   Personal Identification Numbers (PIN)

PIN merupakan teknik yang digunakan untuk mengotentifikasi pengguna. PIN harus terjaga kerahasiaannya. Terdapat sembilan fase pada daur hidup PIN, yaitu :
a.   Pembuatan PIN (PIN generation) Terdapat tiga cara pembuatan PIN, yaitu :
1) Derived PIN, yaitu institusi membuat PIN berdasarkan nomor   account   pengguna   atau identitas pengguna lainnya.
2)  Random  PIN,  yaitu  institusi  membuat  nomor acak dengan panjang yang tetap sebagai PIN.
3) Customer-selected PIN, yaitu pengguna dapat memilih PIN mereka sendiri.

b.   Penerbitan dan Pengiriman PIN (PIN Issuance and Delivery)

Metode penerbitan dan pengiriman PIN tergantung pada metode pembuatan PIN. Jika institusi yang membuat  PIN  (metode  derived  PIN  dan  random PIN) maka digunakan PIN mailer. Tetapi terdapat empat cara jika pengguna yang memilih PIN mereka sendiri (customer-selected PIN), yaitu :
1) Mail solicitation, yaitu mengirim PIN melalui surat.
2) Telephone solicitation, yaitu pengguna memilih PIN melalui telepon setelah mendapatkan PIN mailer.
3)  PIN entry via a secure terminal, yaitu pengguna datang ke institusi untuk mengisi PIN pada terminal yang tersedia.
4)  PIN entry at the issuers facility, yaitu pengguna memilih PIN pada saat membuka account.
c.   Validasi PIN (PIN Validation)

Pada saat PIN dimasukkan, biasanya pengguna diberikan  sejumlah  kesempatan  sebelum  kartu ditahan dan account diblokir apabila PIN yang dimasukkan salah.
d.   Transmisi PIN (PIN Transmission)

PIN dapat dipalsukan saat dikirim, sehingga PIN harus di-enkripsi. Chiper PIN yang dibuat haruslah unik untuk setiap transmisi PIN.
e.   Pemrosesan PIN (PIN Processing)
Proses yang dibutuhkan yaitu me-enkripsi dan men- deskripsi PIN dan membandingkan PIN yang dimasukkan dengan referensi PIN.
f. Penyimpanan PIN (PIN Storage)
Jika PIN bukan fungsi cryptographic dari nomor account maka PIN harus disimpan untuk tujuan referensi.
g.   Perubahan PIN (PIN Change)

Pengguna dapat merubah PIN mereka, dengan cara yang sama seperti di atas.
h.   Penggantian PIN (PIN Replacement)

PIN  dapat  diganti  jika  pengguna  lupa  atau  PIN diketahui oleh orang lain.

i. Penghentian Pemakaian PIN (PIN Termination)
Penghentian pemakaian PIN dilakukan jika pengguna menutup account-nya, PIN diganti dengan PIN yang baru, atau jika tidak sengaja rusak.

4.   Tanda Tangan Digital (Digital Signature)

Tanda tangan digital memiliki dua tujuan yaitu :

a.   Sebagai otentifikasi pengguna.

b.   Menghindari penyangkalan  keterlibatan pihak-pihak yang berpartisipasi dalam pembuatan kontrak.
5.   Kartu Plastik (Plastic Card)

Jika PIN dan tanda tangan digital digunakan untuk keperluan otentifikasi, maka kartu digunakan untuk keperluan identifikasi.
6.   Pengendalian Jejak Audit (Audit Trail Control) Terdapat dua tipe jejak audit, yaitu :
a.   Jejak audit akuntansi, yaitu catatan seluruh kejadian yang berhubungan dengan subsistem batasan.
b. Jejak audit operasional, yaitu catatan pemakaian sumber  daya  yang  berhubungan  dengan  kejadian pada subsistem batasan.
Jejak audit harus dianalisa secara berkala untuk mendeteksi  kelemahan  pengendalian  batasan  pada sistem.

Subscribe to receive free email updates: