Pengendalian Batasan
Menurut Weber (1999, p370), subsistem batasan menentukan hubungan antara pengguna dengan sistem informasi.
Terdapat tiga tujuan pengendalian
batasan, yaitu :
a.
Memastikan identitas dan otentifikasi
pengguna sistem.
b. Memastikan
identitas dan otentifikasi sumber daya yang
digunakan pengguna.
c. Membatasi tindakan pengguna dalam penggunaan
sistem informasi.
Menurut
Weber (1999, pp371-405), terdapat
enam pengendalian pada pengendalian
batasan, yaitu :
1. Pengendalian Cryptographic (Cryptographic
Control) Pengendalian cryptographic
dibuat
untuk
melindungi kerahasiaan data dan untuk mencegah
modifikasi data yang tidak berwenang.
Hal
di
atas
dapat
dilakukan
dengan cara mengubah
data
(cleartext) menjadi
kode
(cryptograms atau
chipertext) agar tidak memiliki arti bagi
orang yang tidak dapat menguraikannya. Terdapat tiga teknik encipherment,
yaitu :
a. Transposition Chipers
Posisi karakter data.
b. Substitution Chiphers
Substitution chiphers tetap
mempertahakan
posisi karakter yang ada tetapi menyembunyikan
identitas karakter dengan cara menukarnya
dengan karakter lain sesuai dengan aturan tertentu.
c. Product Chipers
Product
chipers menggunakan kombinasi antara metode transposisi dan
substitusi.
2. Pengendalian Akses (Access Control)
Pengendalian
akses membatasi penggunaan sistem
informasi hanya kepada pengguna yang
berwenang, membatasi tindakan yang
dapat dilakukan pengguna, dan memastikan
bahwa pengguna hanya
mendapat sistem komputer
yang asli.
a. Identifikasi dan
Otentifikasi (Identification and Authentication)
Pengguna
mengidentifikasi dirinya sendiri pada
mekanisme pengendalian akses dengan cara memberikan
informasi seperti nama atau nomor
account. Informasi identifikasi ini membuat
mekanisme dapat memilih
file yang otentik bagi pengguna. Pengguna dapat menggunakan tiga tipe
otentifikasi, yaitu informasi yang
dapat diingat (seperti nama, ulang tahun, password), objek berwujud (seperti
kartu plastik, kunci), dan karakter pribadi (seperti sidik jari, suara, ukuran tangan, tanda tangan,
pola retina mata).
b. Object Resources
Digunakan pengguna pada sistem informasi berbasis komputer dapat diklasifikasikan ke dalam
empat
tipe, yaitu perangkat keras (contohnya terminal,
printer, prosesor), perangkat lunak (contohnya program sistem
aplikasi), komoditi
(contohnya tempat penyimpanan), serta data (contohnya file, gambar,
suara). Setiap sumber daya
harus diberi nama agar dapat teridentifikasi.
c. Hak istimewa (Action Privileges)
Hak
istimewa memberikan pengguna suatu hak yang
tergantung tingkat otoritas
dan tipe sumber
daya
yang diperlukan pengguna.
d. Kebijakan
Pengendalian Akses
(Access Control Policies)
Terdapat
dua tipe kebijakan, yaitu :
1)
Discretionary Access Control. Kebijakan ini
membebaskan
penggunanya menentukan mekanisme pengendalian akses, dan pengguna
dapat memilih untuk
membagikan file pengguna kepada pengguna lain atau
tidak.
2) Mandatory Access Control. Pada kebijakan
ini pengguna dan sumber daya
diberikan kategori keamanan yang
tetap.
3. Personal Identification Numbers (PIN)
PIN
merupakan teknik yang digunakan untuk
mengotentifikasi pengguna. PIN harus
terjaga kerahasiaannya. Terdapat sembilan
fase pada daur hidup PIN, yaitu :
a. Pembuatan PIN (PIN generation)
Terdapat tiga cara pembuatan PIN, yaitu :
1) Derived PIN, yaitu
institusi membuat PIN
berdasarkan nomor account pengguna atau identitas pengguna lainnya.
2)
Random
PIN, yaitu institusi membuat nomor
acak dengan panjang yang tetap sebagai PIN.
3) Customer-selected PIN, yaitu pengguna dapat memilih PIN mereka
sendiri.
b. Penerbitan
dan Pengiriman PIN (PIN Issuance
and Delivery)
Metode penerbitan dan pengiriman PIN tergantung
pada metode pembuatan PIN. Jika institusi
yang membuat PIN (metode
derived
PIN
dan
random
PIN) maka digunakan
PIN mailer. Tetapi terdapat
empat cara jika pengguna yang memilih PIN mereka sendiri (customer-selected
PIN), yaitu :
1) Mail
solicitation, yaitu mengirim PIN melalui surat.
2) Telephone solicitation, yaitu pengguna memilih
PIN melalui telepon setelah mendapatkan PIN mailer.
3)
PIN entry via a secure terminal, yaitu pengguna datang ke institusi untuk mengisi PIN pada terminal yang tersedia.
4)
PIN entry at the issuer’s facility, yaitu pengguna
memilih PIN pada saat membuka account.
c. Validasi
PIN (PIN Validation)
Pada
saat PIN dimasukkan, biasanya
pengguna diberikan sejumlah kesempatan
sebelum kartu ditahan dan account diblokir
apabila PIN yang dimasukkan salah.
d. Transmisi
PIN (PIN Transmission)
PIN
dapat dipalsukan saat dikirim, sehingga PIN harus di-enkripsi. Chiper PIN yang dibuat haruslah
unik untuk setiap transmisi PIN.
e. Pemrosesan
PIN (PIN Processing)
Proses
yang dibutuhkan yaitu me-enkripsi dan
men- deskripsi PIN dan membandingkan PIN yang dimasukkan dengan referensi PIN.
f. Penyimpanan
PIN (PIN Storage)
Jika PIN bukan fungsi cryptographic dari nomor account maka PIN harus disimpan untuk tujuan referensi.
g. Perubahan PIN
(PIN Change)
Pengguna
dapat merubah PIN mereka, dengan cara yang sama seperti
di atas.
h. Penggantian PIN (PIN Replacement)
PIN dapat
diganti
jika
pengguna
lupa
atau
PIN
diketahui oleh orang lain.
i. Penghentian Pemakaian
PIN (PIN Termination)
Penghentian pemakaian
PIN dilakukan jika pengguna menutup account-nya, PIN diganti dengan PIN yang baru, atau jika tidak
sengaja rusak.
4. Tanda Tangan Digital (Digital Signature)
Tanda tangan digital memiliki dua tujuan yaitu :
a. Sebagai otentifikasi pengguna.
b. Menghindari
penyangkalan keterlibatan pihak-pihak yang berpartisipasi dalam pembuatan
kontrak.
5. Kartu Plastik (Plastic Card)
Jika
PIN dan tanda tangan digital digunakan
untuk keperluan otentifikasi, maka kartu digunakan untuk keperluan identifikasi.
6. Pengendalian Jejak Audit (Audit
Trail Control) Terdapat dua tipe jejak audit, yaitu :
a. Jejak audit akuntansi, yaitu catatan seluruh kejadian yang berhubungan dengan subsistem batasan.
b. Jejak audit
operasional, yaitu catatan
pemakaian sumber daya yang berhubungan dengan kejadian
pada subsistem batasan.
Jejak audit harus dianalisa secara berkala
untuk mendeteksi kelemahan
pengendalian batasan pada sistem.