Tugas Sistem Keamanan Teknologi Informasi

SISTEM KEAMANAN TEKNOLOGI INFORMASI

1.      Enkripsi pesan “TURN BACK HOAX” dengan kata kunci “PERANG”

·       Enkripsi dengan Vigenere Cipher

Jawab :

Plaintext: TURN BACK HOAX

Key: PERANG

Cipher: IYINOGROYOND

2.      Dalam pengembangan sistem informasi, dibutuhkan juga aspek pengamanan komputer, sebutkan dan berikan contohnya

Jawab :

a.           Privacy/Confdentiality

Berkaitan dengan informasi mengeunai data yang sensitive atau rahasia.

Contohnya : Data Pasien di rumah sakit dan data nasabah bank

b.          Non Repudiation

Berkaitan dengan bukti agar seseoran tidak dapat menyangkal tentang aksi yang telah dilakukan.

Contohnya : History transfer atau Tarik tunai pada mesin atm

c.           Integrity

Informasi yang utuh atau asli yang tidak boleh diubah tanpa mendapat izin orang yang bersangkutan

Contohnya : Sebuah e-mail dapat saja “diambil/ditangkap” (intercept) di tengah jalan saat proses pengiriman dan diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Artinya integritas dari informasi sudah tidak terjaga.

d.          Autentication

Metode untuk mencegah seseorang yang tidak berhak mengakses informasi dan menjamin orang tersebut benar memiliki akses

Contohnya : Autentication password ketika ingin login ke aplikasi sosial media yang dipunya

e.           Availability

Hal ini berkaitan dengan apakah data yang diminta tersedia saat dibutuhkan atau diperlukan.

Contohnya : Ketika mencetak rangkuman nilai pada studentsite universitas gunadarma

f.           Access Control

Berkaitan dengan pemberian hak akses (Grant).

Contohnya: Memberi hak askes kepada Content Auditor sebuah aplikasi sosial media untuk memberi aksi pada konten aplikasi

3.      Bagaimana cara untuk menangani web browser yang terkena malware?

Jawab :

Lakukan sort program yang terakhir di install. Jika terdapat keanehan, misalnya terdapat program yang terinstall tanpa sepengetahuan kita, lakukanlah aksi remove atau menguninstall aplikasi tersebut. Setelah itu lakukanlah scan menggunakan antivirus yang kita punya untuk menghapus sisa-sisa dari malware tersebut, lalu jangan lupa untuk melakukan update browser, antivirus dan siste operasi yang kita punya

4.      Dokumen yang sifatnya rahasia di Divisi Finance dapat dilihat oleh divisi lainnya, bagaimana cara penanganan agar kerahasiaannya terjaga?

Jawab :

Dengan menggunakan enkripsi dan pastikan orang-orang yang berhak mengaksesnya saja yang dapat mengakses operasi membaca, mengubah, menghapus data

5.      Ketika sedang browsing, tiba-tiba koneksi internet lambat, setelah ditelusuri terdapat serangan DDOS, bagaimana menanganinya?

Jawab :

lakukanlah identifikasi serangan, tanda-tanda serangan akan terlihat dengan mengecek server. Lalu lakukan recover dengan mengaktifkan firewall untuk mencegah  serangan DDOS. Selanjutnya lakukan block pada alamat IP dan port attacker

IMPLEMENTASI KEGUNAAN ALGORITMA DI BIDANG KEAMANAN DATA

            Kriptografi adalah ilmu yang mempelajari tentang proses pengaman data atau dalam arti sebenarnya kriptografi adalah ilmu yang mempelajari tentang bagaimana menjaga rahasia suatu pesan,agar isi pesan yang disampaikan tersebut aman sampai ke penerima pesan. Kriptografi merupakan teknik pengamanan informasi yang dilakukan dengan cara mengolah informasi awal (plainteks) dengan suatu kunci tertentu menggunakan suatu metode enkripsi tertentu sehingga menghasilkan suatu informasi baru (Chiperteks) yang tidak dapat dibaca secara langsung. Chiperteks dapat dikembalikan menjadi informasi awal (plainteks) melalui proses deskripsi.

1.      DES  

Algoritma DES merupakan algoritma standar untuk kriptografi simetri. DES beroperasi pada ukuran blok 64-bit. DES mengenkripsi 64 bit plainteks menjadi 64 bit chiperteks dengan menggunakan 56 bit kunci internal. Kunci internal pada Algoritma DES dibangkitkan dari kunci eksternal yang panjangnya 64 bit.

Contoh Implementasi DES pada sistem keamanan PIN ATM, keamanan PIN dari sebuah kartu ATM merupakan unsur terpenting dalam seluruh proses sistem keamanan ATM. Mesin PIN menyimpan kunci DES dalam Electrically Erasable Programmable Read Only Memory (EEPROM). Kunci ini digunakan untuk mengenkripsi nomor kartu dan menghasilkan nilai enkripsi DES. Hasil dari enkripsi DES berupa bilangan hexadecimal. Selanjutnya diambil 4 digit dari hasil enkripsi DES dan mengganti semua huruf hexadecimal A sampai F berturut-turut dengan angka 0 sampai 5. Empat digit ini disebut dengan natural PIN. Untuk mendapatkan PIN  yang digunakan oleh nasabah (a) tambahkan PIN offset (b) yang tersimpan didalam ATM server dengan natural PIN (c) yang dihasilkan oleh mesin ATM. sistem keamanan PIN ATM pada ATM Eurocheque yaitu metode untuk menentukan PIN yang digunakan oleh nasabah dalam ATM Eurocheque. Dalam pembahasan ini penulis mengambil referensi dari jurnal Probability Theory for Pickpockets- ec-PIN Guessing yang ditulis oleh Markus G. Kuhn.

Menurut Kuhn, PIN ATM yang digunakan oleh nasabah pengguna kartu ATM Eurocheque ditentukan oleh bank bersangkutan. Bank menghitung  dan menentukan PIN untuk setiap nasabahnya sebagaimana ditunjukkan dalam Gambar 1.1.

Gambar 1.1 Contoh Implementasi DES

Gambar tersebut menunjukkan 16 digit nomor kartu yang berupa bilangan hexadesimal dirangkai dari lima digit bank routing number (nomor urut bank), sepuluh digit account number (nomor rekening), dan satu digit card sequence number (nomor urutan kartu) yang terdapat dalam magnetic stripe pada kartu ATM Eurocheque. Kemudian 16 digit bilangan hexadesimal tersebut ditransformasi kedalam 64 bit bilangan biner dengan masing-masing grup  tersusun dari 4 bit yang selanjutnya menjadi plaintext dari kartu ATM Eurocheque. Selanjutnya plaintext ini dienskripsi menggunakan algoritma DES dengan kunci rahasia sepanjang 56 bit yang disebut dengan institute key (KI). Hasil dari enkripsi ini adalah ciphertext berupa bilangan biner dengan panjang 64 bit yang selanjutnya dikonversi kedalam 16 digit bilangan hexadesimal.

Chipertext yang berupa 16 digit bilangan hexadesimal tersebut diambil empat digit, yaitu digit ke tiga sampai dengan digit ke enam dan mengganti semua huruf hexadesimal A sampai F berturut-turut dengan angka 0 sampai 5. Jika empat digit tersebut yang pertama adalah 0, maka harus di ganti dengan 1. Jaringan ATM yang dimiliki oleh bank penerbit kartu dikenal dengan KI. Jaringan ini menentukan PIN dengan cara yang sama dan membandinganya dengan PIN yang dimasukkan oleh nasabah.

2.      RSA

Algoritma RSA (Rivest, Shamir, Adleman), algoritma kriptografi kunci public dapat digunakan untuk pengiriman kunci simetri. Contoh algoritma yang dapat digunakan untuk aplikasi ini adalah algoritma RSA. Keamanan dari algoritma RSA terletak pada sulitnya memfaktorkan bilangan yang besar menjadi factor-faktor prima. Selama pemfaktoran bilangan yang besar menjadi factor-faktor prima belum ditemukan algoritma yang efektif, maka selama itu pula keamanan algoritma kriptografi RSA tetap terjamin keamanannya.

Contoh implementasi algoritma RSA pada Email, Proses pendaftaran diawali dengan menekan tombol Daftar pada halaman utama aplikasi. pengguna diminta untuk mengisi dua buah masukan, yaitu nama lengkap pengguna dan alamat email. Pada halaman ini juga, pengguna mendapatkan nilai p dan q yang nantinya digunakan untuk membangkitkan pasangan kunci, yaitu kunci publik dan kunci private. Nilai p dan q merupakan bilangan prima yang dibangkitkan oleh sistem sehingga pengguna tidak bisa menentukan sendiri nilai p dan q yang didapat. Selain itu nilai p dan q untuk masing- masing pengguna berbeda satu sama lain. Untuk melihat pesan asli dari pesan yang telah diterima, klien harus menekan tombol Decrypt Pesan dan muncul halaman detail pesan yang menampilkan baik cipherteks maupun pesan asli atau plainteksnya. Pasangan kunci yang digunakan pada menu Pesan Masuk merupakan pasangan kunci publik dan kunci private milik penerima pesan.

Proses pembentukan kunci untuk memperoleh pasangan kunci publik dan kunci rahasia kemudian proses enkripsi dan proses dekripsi terhadap data/informasi yang akan dtransmisikan. Pada aplikasi yang dibuat menunjukkan bahwa algoritma kriptografi nirsimetri RSA sangat baik untuk mengatasi masalah manajemen distribusi kunci yaitu dengan menyimpan pasangan kunci pada basisdata sedangkan kunci yang di distribusikan hanya kunci publik. Algoritma RSA termasuk algoritma yang baik (aman secara komputasi). Dengan jumlah cipherteks yang lebih banyak dari plainteks mengakibatkan faktor kerja yang dibutuhkan untuk melakukan pemecahan chiperteks membutuhkan waktu yang lebih lama. Dengan membuat panjang faktor prima dari p dan q menjadi tidak seimbang (nilai p jauh lebih kecil dari nilai q) maka waktu yang diperlukan untuk melakukan serangan faktorisasi terhadap nilai n akan semakin lama. Semakin panjang karakter kunci yang digunakan maka semakin lama waktu yang dibutuhkan untuk menemukan plainteks, sehingga dapat dikatakan semakin panjang karakter kunci semakin kuat juga terhadap serangan Brute-Force.

3.      PGP

PGP atau Pretty Good Privacy adalah suatu metode enkripsi informasi yang bersifat rahasia sehingga jangan sampai diketahui oleh orang lain yang tidak berhak. PGP menggunakan metode kriptografi yang disebut “public key encryption” yaitu suatu metode kriptografi yang sangat sophisticated. Pretty good privacy (PGP) adalah program kriptografi yang menjadi standar untuk melindungi surat elektronik (e-mail).

Implementasi PGP pada keamanan EMAIL, Electronic Mail adalah salah satu alat (cara) yang paling Banyak digunakan ketika berbisnis dan berkomunikasi pribadi di dunia saat ini. Catatan, Pesan dan Gambar dapat dikirim dengan cepat dari sumber ke tujuan menggunakan E-Mail. Pengiriman pesan melalui e-mail sering diasumsikan bahwa isi pesan yang pribadi akan sampai pada tujuan. Dengan teknik yang tepat, hacker jahat dan spammer dapat membaca dan mengirim E-Mail yang berisi informasi yang  tidak sah.

Gambar 2.1 Ilustrasi PGP

PGP menggunakan infrastruktur kunci publik (PKI) untuk penandatanganan dan enkripsi pesan. Bila dienkripsi e- mail akan dikirim pesan dienkripsi menggunakan kunci pribadi pengirim dan itu kunci publik penerima. Itu penerima kemudian menggunakan kunci pribadi, dan ini kunci publik pengirim untuk mendekripsi pesan. Semua kunci pribadi harus dilindungi dengan kata sandi yang kuat dan kunci pribadi harus dilindungi terhadap pengungkapan. Jika kunci pribadi yang pernah dikenal maka semua pesan dienkripsi bisa dibaca. Selanjutnya, pesan bisa ditandatangani dan dienkripsi oleh orang yang memiliki kunci pribadi dan bukan pemilik, yang akan meniadakan penggunaan kunci. Menggantikan tombol secara teratur akan membantu melindungi integritas dari ditandatangani dan pesan dienkripsi.

Dengan PGP, dan variannya, yang telah keluar di jalan selama lebih dari sepuluh tahun yang luar biasa rendah jumlah orang benar-benar menggunakan solusi ini. Hal ini bisa menjadi hasil dari harus melakukan set up dan menggunakan tambahan software atau karena orang hanya tidak melihat perlunya mengamankan komunikasi mereka. Selain itu, pengguna non-mungkin bingung dengan menerima pesan masuk dari pengguna PGP karena suntikan tanda tangan PGP pada akhir pesan (lihat Gambar 3 di bawah). Ini tambahan informasi tidak merugikan non-pengguna dengan cara apapun.

Gambar 3.2 ilustrasi penerimaan e-mail dengan PGP

PGP diciptakan terutama untuk mengenkripsi e- mail menggunakan kunci publik atau konvensional kriptografi. Dengan demikian orang dapat meyakinkan bahwa tulisan atau artikel tersebut betul-betul berasal dari penulis.Pada dasarnya, PGP merupakan program yang digunakan untuk mengenkripsi satuatau lebih dokumen. Dengan PGP tersebut hanya orang-orang tertentu saja yang dapat membaca file-file enkripsi tersebut.Dibawah ini gambaran pengiriman mail dengan menggunakan PGP.

Gambar 3.3 proses pengiriman e-mail dengan PGP

SUMBER:

http://www.academia.edu/26170023/PRETTY_GOOD_PRIVACY_PGP_Metode_Kriptografi_yang_Sophisticated_&ved=0ahUKEwiF7-P1t_XWAhVCkpQKHaSdAzAQFgggMAI&usg=AOvVaw0n9T0s8g3zLBMkMbVDLxEH

https://eprints.uns.ac.id/4175/1/61271206200907051.pdf&ved=0ahUKEwjJmfTNovXWAhVEkJQKHd6qCX8QFggsMAY&usg=AOvVaw3Xdv4t9jhOhKAL4PWiGGxL

http://www.anekamakalah.com/2013/02/pretty-good-privacy-untuk-keamanan-e.html?m=1

https://www.researchgate.net/publication/42349330_Implementasi_Algoritma_Kriptografi_Des_RSA_Dan_Algoritma_Kompresi_LZW_Pada_Berkas_Digital/amp&ved=0ahUKEwi93rqnuvXWAhVKp5QKHXmgC6QQFggeMAA&usg=AOvVaw3HVCF2v5K85Y2SdqhMl815&ampcf=1

http://download.portalgaruda.org/article.php%3Farticle%3D270625%26val%3D4717%26title%3DIMPLEMENTASI%2520ALGORITMA%2520KRIPTOGRAFI%2520RSA%2520PADA%2520SURAT%2520ELEKTRONIK%2520(E-Mail)&ved=0ahUKEwjh3NiUwfXWAhVDJ5QKHUuoB5sQFggwMAY&usg=AOvVaw21jKRpkIpPE2mrSnoUs49M

AUDIT TEKNOLOGI INFORMASI

AUDIT TEKNOLOGI INFORMASI

1.                   DEFINISI

Audit teknologi informasi (Inggris: information technology (IT) audit atau information systems (IS) audit) adalah proses sistematis mengumpulkan dan mengevaluasi bukti untuk menentukan secara independen dan obyektif apakah suatu sistem informasi telah dapat melindungi aset, menjaga integritas data, dan memungkinkan tujuan organisasi tercapai secara efektif, dengan menggunakan sumber daya secara efisien, dan mematuhi peraturan yang berlaku.

Para auditor biasanya mengaudit di luar komputer (audit around the computer) dan tidak menghiraukan komputer dengan program-programnya. Mereka hanya mempelajari catatan dan output dari system tersebut, dan berpikir jika output telah dengan benar dihasilkan dari input sistem, maka pemrosesan pastilah andal. Pendekatan yang lebih baru, yaitu audit melalui komputer (audit through the computer), menggunakan komputer untuk memeriksa kecukupan pengendalian sistem, data dan output.

2.                   PRINSIP

Prinsip-prinsip audit ialah,

1.      Ketepatan waktu, Proses dan pemrograman akan terus menerus diperiksa untuk mengurangi resiko, kesalahan dan kelemahan, tetapi masih sejalan dengan analisis kekuatan dan fungsional dengan aplikasi serupa.

2.      Sumber Keterbukaan, Membutuhkan referensi tentang audit program yang telah dienskripsi, seperti penanganan open source.

3.      Elaborateness, Proses Audit harus berorientasi ke standar minimum. Kebutuhan pengetahuan khusus di satu sisi untuk dapat membaca kode pemrograman tentang prosedur yang telah di enskripsi. Komitmen seseorang sebagai auditor adalah kualitas, skala dan efektivitas.

4.      Konteks Keuangan, transparansi berkelanjutan membutuhan klarifikasi apakah perangkat lunak telah dikembangkan secara komersial dan didanai.

5.      Referensi Ilmiah Perspektif Belajar, setiap audit harus menjelaskan temuan secara rinci. Seorang auditor berperan sebagai mentor, dan auditor dianggap sebagai bagian dari PDCA = Plan-Do-Check-Act).

6.      Sastra-Inklusi, Seorang pembaca tidak boleh hanya mengandalkan hasil dari satu review, tetapi juga menilai menurut loop dari sistem manajemen. Maka dalam manajemen membutuhkan reviewer untuk menganalisa masalah lebih lanjut.

7.      Pencantuman buku petunjuk dan dokumentasi, langkah selanjutnya adalah melakukan hal tersebut, baik secara manual dan dokumentasi teknis.

8.      Mengidentifikasi referensi untuk inovasi, Aplikasi yang memungkinkan pesan offline dan kontak online, sehingga membutuhkan lebih dari 2 fungsi dalam satu aplikasi.

3.                  PERSONALITI

The CISM dan CAP Kredensial adalah dua kredensial keamanan audit terbaru yang ditawarkan oleh ISACA dan ISC.

Sertifikat Professional

1.      Certified Information Systems Auditor (CISA)

2.      Certified Internal Auditor (CIA)

3.      Certified in Risk and Information Systems Control (CRISC)

4.      Certification and Accreditation Professional (CAP)

5.      Certified Computer Professional (CCP)

6.      Certified Information Privacy Professional (CIPP)

7.      Certified Information Systems Security Professional (CISSP)

8.      Certified Information Security Manager (CISM)

9.      Certified Public Accountant (CPA)

10.  Certified Internal Controls Auditor (CICA)

11.  Forensics Certified Public Accountant (FCPA)

12.  Certified Fraud Examiner (CFE)

13.  Certified Forensic Accountant (CrFA)

14.  Certified Commercial Professional Accountant (CCPA)

15.  Certified Accounts Executive (CEA)

16.  Certified Professional Internal Auditor (CPIA)

17.  Certified Professional Management Auditor (CPMA)

18.  Chartered Accountant (CA)

19.  Chartered Certified Accountant (ACCA/FCCA)

20.  GIAC Certified System & Network Auditor (GSNA)

21.  Certified Information Technology Professional (CITP)

22.  Certified e-Forensic Accounting Professional] (CFAP)

23.  Certified ERP Audit Professional (CEAP).

4.                   MANFAAT

1.      Untuk Meningkatkan perlindungan atas aset TIK lembaga pemerintahan yang merupakan kekayaan negara, atau dengan kata lain aset milik publik,

2.      Untuk Meningkatkan integritas dan ketersediaan sistem dan data yang digunakan oleh lembaga pemerintahan baik dalam kegiatan internal lembaga maupun dalam memberikan layanan publik,

3.      Untuk Meningkatkan penyediaan informasi yang relevan dan handal bagi para pemimpin lembaga pemerintahan dalam mengambil keputusan dalam menjalankan layanan publik,

4.      Untuk Meningkatkan peranan TIK dalam pencapaian tujuan lembaga pemerintaha dengan efektif, baik itu untuk terkait dengan kebutuhan internal lembaga tersebut, maupun dengan layanan publik yang diberikan oleh lembaga tersebut,

5.      Untuk Meningkatkan efisiensi penggunaan sumber daya TIK serta efisiensi secara organisasional dan prosedural di lembaga pemerintahan. Dengan kata lain, Audit Sistem Informasi merupakan suatu komponen dan proses yang penting bagi lembaga pemerintahan dalam upayanya untuk memberikan jaminan yang memadai kepada publik atas pemanfaatan TIK yang telah dilaksanakan oleh lembaga pemerintahan.

5.                   TUJUAN

1.      Mengamankan Asset
Aset (aktiva) yang berhubungan dengan instalasi sistem informasi mencakup: perangkat keras (hardware), perangkat lunak (software), manusia (people), file data, dokumentasi sistem, dan peralatan pendukung lainnya.

2.      Menjaga Integritas Data
Integritas data berarti data memiliki atribut:
kelengkapan, baik dan dipercaya, kemurnian, dan ketelitian. Tanpa menjaga integritas data, organisasi tidak dapat memperlihatkan potret dirinya dengan benar atau kejadian yang ada tidak terungkap seperti apa adanya. Keputusan maupun langkah-langkah penting di organisasi salah sasaran karena tidak didukung dengan data yang benar. Oleh karena itu, upaya untuk menjaga integritas data, dengan konsekuensi akan ada biaya prosedur pengendalian yang dikeluarkan harus sepadan dengan manfaat yang diharapkan.

3.      Menjaga Efektifitas Sistem
Sistem informasi dikatakan efektif hanya jika sistem tersebut dapat mencapai tujuannya. perlu upaya untuk mengetahui kebutuhan pengguna sistem tersebut (user), apakah sistem menghasilkan laporan atau informasi yang bermanfaat bagi user. Auditor perlu mengetahui karakteristik user berikut proses pengambilan keputusannya. Biasanya audit efektivitas sistem dilakukan setelah suatu sistem berjalan beberapa waktu. Manajemen dapat meminta auditor untuk melakukan post audit guna menentukan sejauh mana sistem telah mencapai tujuan.

4.      Efisiensi
Dikatakan efisien jika ia menggunakan sumberdaya seminimal mungkin untuk menghasilkan output yang dibutuhkan. Pada kenyataannya, sistem informasi menggunakan berbagai sumberdaya, seperti mesin, dan segala perlengkapannya, perangkat lunak, sarana komunikasi dan tenaga kerja yang mengoperasikan sistem tersebut.

6.                   JALANNYA

Berikut adalah langkah-langkah dalam melakukan Audit Teknologi Informasi

1.      Melakukan perencanaan audit.

2.      Mempelajari aset-aset teknologi informasi yang ada di organisasi dan Mengevaluasi Kontrol.

3.      Melakukan pengujian dan evaluasi control.

4.      Melakukan pelaporan.

5.      Mengikuti perkembangan evaluasi pelaporan.

6.      Membuat Dokumen Laporan.

Source:

http://audit-si-untag.blogspot.com/2015/04/audit-sistem-informasi.html

http://sisteminformasiaudit-sia.blogspot.com/2011/12/peranan-audit-sistem-informasi-manfaat.html

http://myinstan.blogspot.com/2015/04/sejarah-dan-manfaat-audit-sistem.html

https://klc.kemenkeu.go.id/audit-teknologi-informasi/

http://fenyfidyah.staff.gunadarma.ac.id/Downloads/files/37586/AUDIT+SISTEM+INFORMASI+BERBASIS+KOMPUTER.doc

https://www.dictio.id/t/apa-yang-dimaksud-dengan-audit-teknologi-informasi/15065/2