TUGAS RESUME 3
BAB 9-12
Nama : Ircham Machbubi Sholih
Kelas : 3KB04
Npm : 20121603
Dosen : Kurniawan B.Prianto, SKOM.,
SH,MM.
Mata
Kuliah : Keamanan Komputer
BAB 9
PENGAMANAN WEB SYSTEM (Server, Client dan Jaringan)
9.1 Sistem
kerja dari Web System.
Web Server adalah suatu perangkat lunak (software)
yang fungsinya untuk menerima permintaan HTTP atau HTTPS yang berasal dari
client (web browser) dan mengirimkan respon atas permintaan tersebut kepada
client dalam bentuk halaman web. Atau secara singkat definisi Web Server yaitu
server yang memberikan layanan kepada client yang dimana client tersebut
meminta informasi yang ada hubungannya dengan halaman web.
Web server terdiri dari
dua unsur, yaitu komputer dan perangkat lunak server web yang digunakan.
Komputer dapat digunakan sebagai server web. Web server dapat berkomunikasi
dengan client menggunakan protokol HTTP dan HTTPS. Dengan protokol HTTP dan
HTTPS, komunikasi antara server dan client dapat saling terhubung serta dapat
dimengerti dengan mudah.
CARA KERJA WEB SERVER
1. Web server merupakan mesin dimana tempat
aplikasi atau software beroperasi dalam medistribusikan web page ke user, tentu
saja sesuai dengan permintaan user tersebut.
2. Hubungan antara Web Server dan Browser Internet
merupakan gabungan atau jaringan komputer yang ada di seluruh dunia. Setelah
terhubung secara fisik, Protocol TCP/IP (networking protocol) memungkinkan
semua komputer dapat berkomunikasi satu dengan yang lainnya. Pada saat browser
meminta data web page ke server, instruksi permintaan data oleh browser
tersebut dikemas di dalam TCP yang merupakan protocol transport dan dikirim ke
alamat yang dalam hal ini merupakan protocol berikutnya yaitu Hyper Text
Transfer Protocol (HTTP). HTTP ini merupakan protocol yang digunakan dalam
World Wide Web (WWW) antar komputer yang terhubung dalam jaringan di dunia ini.
Data yang dipassing dari browser ke Web server disebut sebagai HTTP request
yang meminta web page dan kemudian web server akan mencari data HTML yang ada
dan dikemas dalam TCP protocol dan dikirim kembali ke browser. Data yang
dikirim dari server ke browser disebut sebagai HTTP response. Jika data yang
diminta oleh browser tidak ditemukan oleh si Web server maka akan menimbulkan
error yang sering Anda lihat di web page yaitu Error: 404 Page Not Found.
Proses tridimensional pada penggunaan internet
memungkinkan pengguna untuk membaca dokumen dari satu halaman ke halaman lain
hanya dengan mengklik beberapa bagian dari halaman dokumen tersebut. Proses
dimulai dari permintaan pengguna melalui browser, kemudian diterima oleh
server, diproses, dan hasilnya dikembalikan ke pengguna secara transparan.
Setiap orang dapat dengan mudah memahami apa yang terjadi pada setiap proses.
Secara umum, server hanya memproses semua masukan yang diterimanya dari
pengguna.
FUNGSI WEB SERVER
Server web berfungsi untuk mentransfer berkas atas
permintaan pengguna melalui protokol komunikasi yang telah ditentukan. Karena
sebuah halaman web dapat terdiri dari berkas teks, gambar, video, dan lainnya,
maka server web juga berfungsi untuk mentransfer seluruh aspek pemberkasan
dalam sebuah halaman web yang terkait, termasuk di dalamnya teks, gambar,
video, atau lainnya.
Dalam menjalankan fungsinya, server web menerima
permintaan dari pengguna melalui browser, kemudian memproses permintaan
tersebut dan mengirimkan kembali hasilnya dalam bentuk halaman web. Server web
juga bertanggung jawab untuk membersihkan cache dan dokumen yang tidak terpakai
lagi, serta membatasi bandwidth untuk memastikan jaringan tidak terlalu penuh
dan bisa mengirimkan file dengan lancar.
Secara umum, server web bertugas untuk menghosting
website agar bisa diakses di internet. Fitur dan fungsi server web difokuskan
pada pembuatan dan pemeliharaan lingkungan hosting, sehingga kualitas server
web yang digunakan akan mempengaruhi performa website. Ada beberapa jenis
server web yang digunakan, namun server web terbaik yang mampu memaksimalkan
kinerja website adalah LiteSpeed.
Pengguna internet biasanya meminta layanan atas
berkas atau halaman web yang terdapat pada sebuah server web melalui aplikasi
pengguna seperti peramban web. Kemudian, server web sebagai manajer layanan
tersebut akan merespon balik dengan mengirimkan halaman dan berkas-berkas
pendukung yang dibutuhkan, atau menolak permintaan tersebut jika halaman yang
diminta tidak tersedia.
Saat ini, server web telah dilengkapi dengan mesin
penerjemah bahasa skrip yang memungkinkan server web menyediakan layanan situs
web dinamis dengan memanfaatkan pustaka tambahan seperti PHP dan ASP.
Pemanfaatan server web tidak terbatas hanya untuk
publikasi situs web dalam World Wide Web. Pada prakteknya, server web banyak
digunakan dalam perangkat-perangkat keras lain seperti printer, router, kamera
web yang menyediakan akses layanan http dalam jaringan lokal yang ditujukan
untuk menyediakan perangkat manajemen serta mempermudah peninjauan atas
perangkat keras tersebut.
CONTOH WEB SERVER
XAMP
Xamp adalah perangkat lunak bebas, yang mendukung
banyak sistem operasi, merupakan kompilasi dari beberapa program.
Fungsinya adalah sebagai server yang berdiri
sendiri (localhost), yang terdiri atas program Apache HTTP Server, MySQL
database, dan penerjemah bahasa yang ditulis dengan bahasa pemrograman PHP dan
Perl. Nama XAMPP merupakan singkatan dari X (empat sistem operasi apapun),
Apache, MySQL, PHP dan Perl. Program ini tersedia dalam GNU General Public
License dan bebas, merupakan web server yang mudah digunakan yang dapat
melayani tampilan halaman web yang dinamis. Untuk mendapatkanya dapat
mendownload langsung dari web resminya.
Apache HTTP Server
Server HTTP Apache atau Server Web/WWW Apache
adalah server web yang dapat dijalankan di banyak sistem operasi seperti Unix,
BSD, Linux, Microsoft Windows, Novell Netware, dan platform lainnya. Apache
berfungsi untuk melayani dan memfungsikan situs web dengan menggunakan protokol
HTTP. Apache memiliki fitur-fitur canggih seperti pesan kesalahan yang dapat
dikonfigur, autentikasi berbasis basis data, dan lain-lain. Selain itu, Apache
juga didukung oleh sejumlah antarmuka pengguna berbasis grafik (GUI) yang
memudahkan penanganan server. Apache merupakan perangkat lunak sumber terbuka
yang dikembangkan oleh komunitas terbuka yang terdiri dari
pengembang-pengembang di bawah naungan Apache Software Foundation. Saat ini,
server web Apache tidak hanya digunakan untuk publikasi situs web dalam World
Wide Web, tetapi juga digunakan dalam perangkat-perangkat keras lain seperti
printer, router, kamera web yang menyediakan akses layanan http dalam jaringan
lokal yang ditujukan untuk menyediakan perangkat manajemen serta mempermudah
peninjauan atas perangkat keras tersebut.
IIS (Internet Information Services)
IIS adalah sebuah HTTP web server yang digunakan
dalam sistem operasi server Windows, mulai dari Windows NT 4.0 Server, Windows
2000 Server atau Windows Server 2003. Layanan ini merupakan layanan
terintegrasi dalam Windows 2000 Server, Windows Server 2003 atau sebagai add-on
dalam Windows NT 4.0.
Berfungsi sebagai pendukung protokol TCP/IP yang
berjalan dalam lapisan aplikasi (application layer). IIS juga menjadi fondasi
dari platform Internet dan Intranet Microsoft, yang mencakup Microsoft Site
Server, Microsoft Commercial Internet System dan produk-produk Microsoft
BackOffice lainnya.
9.2 Bentuk
ancaman keamanan dari Web System.
Scripting
Kesalahan dalam scripting
pembuatan web sering dimanfaatkan oleh para attacker, sehingga rata-rata web
yang berhasil diserang melalui lubang ini. Kelemahan-kelemahan scripting yang
ditemukan pada proses vulnerabilities scanning misalnya, XSS, SQL Injection,
PHP Injection, HTML Injection, dan lain sebagainya. CMS seperti Mambo, Joomla,
WordPress, dan lainnya memiliki banyak komponen pendukung di internet yang bisa
kita download, implement, dan konfigurasi. Sehingga sangat memungkinkan
terdapat bug pada scriptingnya. Langkah terbaik adalah melakukan pembedahan
(oprek) terhadap buku panduan serta melakukan pengujian sebelum komponen
tersebut digunakan pada web yang sebenarnya. Pengujian bisa dilakukan melalui
localhost pada komputer dengan menginstall PHP, apache, dan mySQL, atau
menginstall module semisal WAMP ataupun XAMPP yang merupakan paket all in one.
Untuk mengatasi hal tersebut,
sebaiknya kita harus mulai belajar dan memahami scripting secara bertahap, baik
HTML, PHP, javascript, dan sebagainya. CMS sebenarnya cukup aman, namun
komponen tambahan yang tidak dibuat dengan baik, tentu saja bisa menimbulkan
masalah besar bagi sistem secara keseluruhan. Ada beberapa jenis kerentanan
yang sering ditemukan pada situs web, seperti Cross-Site Scripting (XSS), SQL
Injection, dan 3rd Party Software Misconfiguration. Untuk mengatasi kerentanan
tersebut, dapat dilakukan dengan melakukan analisis kerentanan menggunakan
tools seperti OWASP ZAP dan melakukan rate limiting pada situs web.
Lubang
pada Situs Tetangga
Salah satu faktor yang sering diabaikan adalah
kurangnya perhatian dari webmaster ketika web lain yang satu hosting di-hack.
Beberapa webmaster berpikir bahwa web mereka tidak akan terkena dampak dari
serangan tersebut. Padahal, hal ini justru menjadi kesalahan yang fatal. Jika
web kita ditempatkan pada perusahaan hosting yang sama dengan web lain yang
memiliki celah keamanan, attacker dapat menanam module backdoor pada web
tetangga tersebut. Dengan backdoor tersebut, attacker dapat masuk ke dalam web
kita bahkan web lainnya. Selain itu, attacker juga dapat melakukan defacing
massal pada web kita. Oleh karena itu, penting bagi webmaster untuk
memperhatikan keamanan web lain yang satu hosting dengan web kita.
Tempat Hosting yang Bermasalah
Pada beberapa kasus justru
tempat hosting yang bermasalah menjadi sebab dihackednya banyak situs yang
berada di bawah pengelolaannya. Pernah terjadi situs milik sebuah perusahaan
dideface.Kemudia setelah diperbaiki, dideface lagi. Kemudian lapor ke admin
perusahaan hosting, justru balik menyalahkan pemilik situs dengan alasan yang
nggak masuk akal.
Kenyataannya, justru web hosting
itu yang tidak pernah di administrasi dengan baik, jarang diupdate, dan jarang
dipatch, sehingga mudah terkena serangan. Dengan indication pengelolaan yang
seperti ini jangan berharap web kita akan aman. Karena itu, pastikan tempat
hosting yang digunakan benar-benar memperhatikan tingkat keamanan bagi
pelanggannya.
9.3 Cara mengatasi ancaman pada Web System.
Ada banyak jenis software untuk mengatasi ancaman
dari Hacker, salah satunya adalah Zona Alarm. Zone Alarm di design untuk
melindungi komputer PC, Laptop maupun Netbook dari ancaman hacker di internet.
Software ini memiliki 4 fungsi keamanan yaitu:
1. Firewall
Firewall pada zone alarm berfungsi untuk
mengendalikan akses masuk ke komputer anda dan meminta izin untuk mengakses
situs/web yang ingin anda kunjungi dengan demikian anda memiliki kesempatan
untuk cek web tersebut layak atau tidak dibuka, biasanya situs/web yang
mengandung pornografi, content dewasa, dll. Selain itu juga anda dapat mengatur
tingkat keamanan internet zona security dan trusted zona security
2. Aplication Control
Aplication Control berfungsi untuk mengontrol
program-program yang beroperasi membutuhkan akses internet seperti: Internet
Explorer, Mozilla, FTP, dll. Nah dengan bantuan fitur ini tentu mengurangi
resiko terhadap serangan/ancaman langsung dari hacker yang sedang online.
3. Anti Virus Monitoring
Antivirus Monitoring berfungsi untuk memonitor
status dari ancaman virus yang masuk ke komputer anda baik online maupun
offline
4. Email Protection
Dari namanya tentu anda tahu fungsinya?, benar
fungsi dari Email Protection adalah melindungi email dari ancaman virus,
malware, dll.
Salah satu contoh software keamanan komputer yaitu
BitDefender Internet Security 2009. BitDefender Internet Security 2009 menjaga
koneksi internet seluruh keluarga anda tanpa harus menurunkan kinerja komputer
anda. BitDefender mengunci viruses, hackers dan spam, sementara secara
bersamaan memberikan perlindungan firewall dan juga memberikan pengawasan /
kendali orang tua terhadap anak-2.
Ada banyak cara untuk melindungi sistem dari
ancaman programmed threats, seperti menggunakan software anti-virus, selalu
memperbarui sistem, dan memberikan pelatihan kepada pengguna tentang cara
berinternet yang aman. Semua tindakan tersebut harus dilakukan untuk melindungi
sistem. Jika tidak, pengguna dapat menjadi korban dari ancaman internet yang
sangat banyak. Untuk melindungi asset informasi yang sangat sensitif dan
kritis, seperti data perusahaan, pengguna dapat mempercayakan keamanan sistem
mereka kepada BitDefender Internet Security yang secara proaktif melindungi
komputer pengguna.
Media sosial memiliki berbagai keuntungan, seperti
memfasilitasi komunikasi yang kontinyu dan menciptakan situasi yang
kolaboratif. Namun, pengguna media sosial juga harus memperhatikan keamanan
data dan informasi mereka. Organisasi masyarakat sipil (CSO) dan komunitas di
Indonesia sering menggunakan media sosial untuk melakukan advokasi kebijakan
publik atau mendorong inisiasi gerakan sosial. Namun, mereka juga harus
memiliki kapasitas dan kapabilitas yang memadai dalam menyusun strategi,
menyiapkan taktik, dan melakukan aksi untuk menggunakan media sosial tersebut.
Oleh karena itu, disarankan untuk menyusun strategi, taktik, dan aksi yang
dilengkapi dengan sejumlah aktivitas dan praktik online. Selain itu, penting
untuk memperhatikan privasi dan keamanan data/informasi.
Penetrasi pengguna internet di wilayah Indonesia
Timur masih kecil. Jumlah pengguna internet dan media sosial di Indonesia terus
meningkat setiap tahunnya. Berdasarkan hasil survei yang dipublikasikan oleh
Asosiasi Penyelenggara Jasa Internet Indonesia (APJII), jumlah pengguna
internet di Indonesia sudah mencapai 132,7 juta dengan tingkat penetrasi
sebesar 51,8%. Penetrasi internet di Indonesia didominasi oleh kaum muda
berusia 25-34 tahun (75,8%) dan usia 10-24 tahun (75,5%), sedangkan penetrasi
internet pada usia 50 tahun ke atas paling kecil.
Sumber :
http://www.pengertianku.net/2017/05/pengertian-web-server-dan-cara-kerjanya.html
http://pelajarbaruku.blogspot.com/2015/04/pengertian-dan-cara-kerja-web-server.html
http://priscapica-tugassoftskill.blogspot.com/2012/11/web-server.html
http://fawziyah25.blogspot.com/2012/11/cara-mengatasi-ancaman-web-sistem.html
BAB 10
SOP dan AUDIT KEAMANAN
10.1
Pengaturan Keamanan Dalam Sistem
Untuk menjamin keamanan dalam jaringan, perlu
dilakukan perencanaan keamanan yang matang berdasarkan prosedur dan kebijakan
dalam keamanan jaringan. Perencanaan tersebut akan membantu dalam hal-hal
berikut ini:
· Menentukan
data atau informasi apa saja yang harus dilindungi
· Menentukan
berapa besar biaya yang harus ditanamkan dalam melindunginya
· Menentukan
siapa yang bertanggung jawab untuk menjalankan langkah-langkah yang diperlukan
untuk melindungi bagian tersebut
Metode
Keamanan Jaringan
Ada 3 beberapa konsep yang ada dalam pembatasan
akses jaringan, yakni sebagai berikut:
·
Internal Password Authentication
·
Server-based password authentication
·
Firewall dan Routing Control Menggunakan metode enkripsi
Password
Pemonitoran terjadwal terhadap jaringan Akun
administrator pada suatu server sebaiknya diubah namanya dan sebaiknya hanya
satu akun saja yang dapat mengakses. Pemberian password yang tepat dengan
kebijakan keamanan dalam akun admin, password itu harus memiliki suatu karakter
yang unik dan sukar ditebak. Ada beberapa karakter
yang dapat digunakan agar password sukar untuk ditebak, antara lain adalah
sebagai berikut:
·
Karakter # , %, $ dan lain – lain
·
Untuk melakukan pengujian terhadap password yang
dibuat. Ada utilitas yang dapat digunakan
Brute force attack adalah upaya untuk menebak
informasi login pengguna, seperti username dan password, dengan menggunakan
algoritma yang mencoba berbagai variasi sampai menemukan login yang berhasil.
Metode brute force attack dapat dilakukan dengan beberapa cara, seperti metode
sederhana, metode kamus, credential stuffing, dan rainbow table. Untuk
menghindari serangan brute force attack, pengguna dapat menggunakan kombinasi
password yang rumit dan panjang, tidak menggunakan informasi yang dapat
ditemukan secara online, memiliki karakter sebanyak mungkin, mengombinasikan
huruf, angka, dan simbol, menggunakan password yang berbeda pada tiap akun, dan
mengaktifkan autentikasi dua faktor. Selain itu, pengguna juga dapat
menggunakan software anti-virus, selalu memperbarui sistem, dan memberikan
pelatihan kepada pengguna tentang cara berinternet yang aman untuk melindungi
sistem dari ancaman programmed threats.
DES (Data Encryption Standard) adalah mekanisme
enkripsi data yang populer dan banyak digunakan. DES melakukan transformasi
informasi dalam bentuk plain text ke dalam bentuk data terenkripsi yang disebut
dengan ciphertext melalui algoritma khusus dan seed value yang disebut dengan
kunci. PGP (Pretty Good Privacy) adalah bentuk proteksi kriptografi yang digunakan
untuk melindungi file, email, dan dokumen-dokumen yang mempunyai tanda digital
dan tersedia dalam versi komersial maupun freeware.
Dalam sebuah perusahaan, kewenangan akses bagi user
lain perlu didokumentasikan untuk memenuhi kebutuhan klien. Kewenangan user
selain administrator antara lain adalah memasukkan data-data terbaru sesuai
dengan tujuan tertentu untuk memenuhi kebutuhan klien.
SSL (Secure Socket Layer) adalah protokol keamanan
yang digunakan untuk melindungi transaksi online pada internet. SSL mendukung
beberapa protokol enkripsi yang berbeda dan menyediakan autentifikasi client
dan server. SSL beroperasi pada layer transport, membuat sebuah kanal data yang
terenskripsi sehingga aman, dan dapat mengenkripsi berbagai tipe data.
Penggunaan SSL sering dijumpai pada saat berkunjung ke sebuah secure site untuk
menampilkan sebuah secure document dengan Communicator. SSL juga dapat membantu
memastikan enkripsi semua komunikasi antara browser dan situs web, sehingga
memperkuat kepercayaan pelanggan. Sertifikat SSL/TLS adalah objek digital yang
memungkinkan sistem untuk memverifikasi identitas dan kemudian membuat koneksi
jaringan terenkripsi ke sistem. Browser memvalidasi sertifikat SSL/TLS dari
situs web mana pun untuk memulai dan memelihara koneksi aman dengan server
situs web. Teknologi SSL/TLS membantu memastikan enkripsi semua komunikasi
antara browser dan situs web.
SSH (Secure Shell) adalah program yang digunakan
untuk membuat koneksi terenkripsi saat melakukan login ke suatu sistem remote.
SSH memungkinkan pengguna untuk mengontrol dan memodifikasi server secara remote,
dan sering digunakan oleh administrator untuk mengelola sistem atau aplikasi
tertentu dari jarak jauh. SSH dapat memproses koneksi dengan menggunakan kunci
kriptografi untuk verifikasi dan identifikasi data pengguna yang berhasil
tersalurkan ke SSH server. SSH juga dapat memutus koneksi secara otomatis jika
ada aktivitas yang mencurigakan pada koneksi yang digunakan, sehingga pengguna
dapat terhindar dari berbagai ancaman siber seperti spoofing IP dan DNS,
manipulasi data, pelacakan ilegal, dan lain-lain. Contoh SSH dapat digunakan
untuk mengakses perangkat lunak dan memberikan antarmuka klien dengan command
line. SSH bekerja dengan memanfaatkan metode klien-server guna memperbolehkan
autentikasi dari pengguna dan memproses koneksi dengan menggunakan teknik
enkripsi. SSH dapat digunakan pada sistem operasi Windows, Linux, dan macOS.
Ancaman pada jaringan yang perlu dimonitoring dan
diwaspadai oleh administrator jaringan antara lain adalah sebagai berikut:
· Program
perusak seperti virus, trojan, worm, dsb.
· Denial of
service
· Scanning
· MAC Address
· IP Address
Aplikasi Monitor Jaringan
Selain NS Auditor :
· GFI Network
Server Monitoring
· MRTG
Selain perangkat lunak, perangkat keras pun perlu
dilakukan monitoring. Hal apakah yang perlu diperhatikan dalam monitoring
perangkat keras antara lain adalah sebagai berikut:
· Waktu
respon perangkat keras
· Kompatibilitas
dengan perangkat lunak
Instrusion Detection System (IDS) adalah sebuah
sistem yang digunakan untuk mendeteksi penyalahgunaan jaringan dan sumber daya
komputer. IDS memiliki sejumlah sensor yang digunakan untuk mendeteksi penyusupan,
seperti sensor untuk memonitor TCP request, log file monitor, dan file
integrity checker. IDS memiliki diagram blok yang terdiri dari tiga modul,
yaitu modul sensor, modul analisis, dan modul basis data. Sistem IDS
bertanggung jawab untuk mengumpulkan data dari sensor dan kemudian
menganalisisnya untuk diberikan kepada administrator keamanan jaringan.
Tujuannya adalah untuk memberikan peringatan terhadap gangguan pada jaringan.
Beberapa ancaman pada jaringan yang perlu
dimonitoring dan diwaspadai oleh administrator jaringan antara lain adalah:
- Vulnerability exploits
- Malicious activity
- Policy violations
- Spoofing IP dan DNS
- Manipulasi data
- Pelacakan ilegal
Untuk menghindari serangan tersebut, pengguna dapat
menggunakan metode-metode seperti software anti-virus, selalu memperbarui
sistem, memberikan pelatihan kepada pengguna tentang cara berinternet yang
aman, dan menggunakan teknologi seperti SSH (Secure Shell) untuk membuat
koneksi terenkripsi saat melakukan login ke suatu sistem remote. Selain itu,
pengguna juga dapat menggunakan IDS yang dapat membantu mendeteksi ancaman pada
jaringan dan memberikan peringatan kepada administrator keamanan jaringan. Terdapat
beberapa jenis IDS, seperti network-based intrusion detection system (NIDS) dan
host-based intrusion detection system (HIDS), yang dapat dipilih sesuai dengan
kebutuhan pengguna.
10.2
Analisa Resiko
Perlunya Analisa Resiko
· Memberi
gambaran biaya perlindungan keamanan
· Mendukung
proses pengambilan keputusan yg berhubungan dengan konfigurasi HW dan desain
sistem SW
· Membantu
perusahaan untuk fokus pada penyediaan sumber daya keamanan
· Menentukan
aset tambahan (orang, HW, SW, infrastruktur, layanan)
· Memperkirakan
aset mana yang rawan terhadap ancaman
Tujuan dari Analisis Risiko
Analisis risiko adalah proses untuk
mengidentifikasi dan menganalisis potensi masalah yang dapat berdampak negatif
terhadap inisiatif atau proyek bisnis kunci. Tujuan utama dari melakukan
analisis risiko adalah untuk mengukur dampak dari ancaman-ancaman yang
berpotensi untuk berdampak terhadap sistem, serta untuk menafsir harga atau
nilai terhadap kemampuan bisnis yang hilang akibat ancaman-ancaman tersebut.
Beberapa komponen dari analisis risiko antara lain:
- Identifikasi risiko: mengevaluasi sistem atau
aspek organisasi untuk menentukan risiko terhadap perangkat lunak, hardware,
data, dan karyawan IT. Identifikasi risiko melibatkan menentukan kemungkinan
terjadinya peristiwa yang merugikan, seperti kesalahan manusia, kebakaran,
banjir, atau gempa bumi.
- Penilaian risiko: mengevaluasi risiko yang
teridentifikasi untuk menentukan dampaknya terhadap organisasi, baik dari segi
finansial maupun organisasional. Penilaian risiko membantu manajemen untuk
membuat rencana risiko yang proaktif.
- Pengurangan risiko: mengurangi risiko dengan
mengimplementasikan kontrol keamanan yang sesuai dengan risiko yang teridentifikasi.
- Pemantauan risiko: memantau dan mengevaluasi
lingkungan organisasi secara terus-menerus untuk memverifikasi efektivitas
operasi kontrol keamanan.
Untuk melakukan analisis risiko, organisasi dapat
menggunakan berbagai metode dan alat, seperti software anti-virus, selalu
memperbarui sistem, memberikan pelatihan kepada pengguna tentang cara
berinternet yang aman, dan menggunakan teknologi seperti SSH (Secure Shell)
untuk membuat koneksi terenkripsi saat melakukan login ke suatu sistem remote.
Selain itu, organisasi juga dapat menggunakan IDS (Instrusion Detection System)
yang dapat membantu mendeteksi ancaman pada jaringan dan memberikan peringatan
kepada administrator keamanan jaringan.
4 Respon Terhadap Resiko
· Avoidance:
pencegahan terjadinya resiko
· Transfer:
pengalihan resiko dan responnya ke pihak lain. Contoh: asuransi
· Mitigation:
pengurangan probabilitas terjadinya resiko dan/atau pengurangan nilai resiko
· Acceptance:
penerimaan resiko beserta konsekuensi. Contoh: contingency plan tindakan yang
sudah dipersiapkan untuk menghadapi resiko yang akan terjadi.
10.3
Perencanaan Keamanan Dalam Sistem Komputer
Ada banyak tahapan dalam mengamankan suatu sistem
informasi, namun pada tahap awalnya kita harus membuat suatu security policy
yang mendasari pembuatan security plan. Security policy berisi tentang
aturan-aturan yang akan membantu memastikan setiap kinerja para karyawan dalam
bekerja sesuai dengan apa yang diinginkan perusahaan. Semua batasan-batasan
secara jelas dipaparkan dalam security plan sehingga seluruh karyawan mengerti
aturan-aturan yang berkaitan dengan keamanan informasi atau basis data perusahaan.
Dalam membangun security plan sistem keamanan basis data, upaya pertimbangan
yang dilakukan mencakup hal-hal berikut :
1. keamanan
dari sisi sistem (System Security);
2. keamanan
dari sisi data (Data Security);
3. keamanan
dari sisi pengguna (User Security);
4. manajemen
password (Password Management).
1) Keamanan Dari
Sisi Sistem
Setiap database memiliki satu atau lebih
administrator yang bertanggung jawab terhadap segala aspek mengenai kebijakan
sekuritas, yaitu security administrator. Kebijakan sekuritas dari suatu
database terdiri dari beberapa sub-kebijakan sebagai berikut:
Database
user management
User dari
database merupakan jalur akses menuju informasi dalam suatu database. Maka dari
itu, manajemen user dari database harus memiliki kemanan yang ketat. Tergantung
dari besarnya sistem database dan jumlah pekerjaan mengatur user dari database,
security administrator mungkin menjadi satu-satunya user yang memiliki
privilege untuk melakukan perintah create, alter, atau drop user dari database.
Namun ada juga administrator lain yang memiliki privilege untuk mengatur user
dari database. Bagaimanapun juga, hanya individual yang bisa dipercaya yang
memiliki powerful privilege untuk mengatur user dari database.
User
authentication
User dalam
database dapat diverifikasi melalui penggunaan kata sandi database, sistem
operasi, layanan jaringan, atau Secure Socket Layer (SSL).
Operating
system security
Hal-hal
lain yang perlu dipertimbangkan di lingkungan sistem operasi yang berkaitan
dengan keamanan aplikasi database adalah sebagai berikut:
Administrator
database perlu memiliki izin dalam sistem operasi agar dapat membuat dan
menghapus file.;
Pengguna
biasa dalam database tidak memiliki izin dalam sistem operasi untuk membuat
atau menghapus file yang terkait dengan database.
2) Keamanan
Dari Sisi Data
Keamanan
data adalah suatu mekanisme yang mengatur cara akses dan penggunaan database
pada tingkat objek. Manajemen keamanan data memutuskan pengguna mana yang
memiliki izin akses ke objek skema tertentu. Sebagai contoh, seorang pengguna
tertentu mungkin memiliki izin untuk menjalankan perintah select dan insert,
tetapi tidak diizinkan untuk menjalankan perintah delete pada tabel tertentu.
Manajemen keamanan data ditentukan berdasarkan sejauh mana tingkat keamanan
akan diterapkan pada data dalam database. Secara umum, tingkat keamanan data
bergantung pada tingkat sensitivitas data dalam database.dalam database. Secara
umum, level sekuritas data bergantung pada tingkat sensitifitas suatu data
dalam database.
3) Keamanan
Dari Sisi Pengguna
Manajemen
keamanan user dapat dibagi menjadi aspek-aspek berikut :
Sekuritas
pengguna umum berfokus pada aspek-aspek seperti keamanan kata sandi dan
pengelolaan izin akses.;
Dalam
keamanan pengguna akhir, ketika ukuran database sangat besar dengan jumlah
pengguna yang banyak, administrator keamanan harus mengidentifikasi kelompok
pengguna, membuat peran (role) untuk setiap kelompok pengguna, memberikan hak
istimewa (privilege) kepada peran-peran tersebut, dan kemudian mengaitkan peran
tersebut kepada masing-masing pengguna.;
Administrator
keamanan, pada situasi di mana database memiliki cakupan yang luas dan
melibatkan beberapa administrator database, perlu menentukan kelompok hak
administratif yang akan diberikan kepada beberapa peran administratif.;
Application
developer security, security administrator perlu mendefinisikan kebijakan
sekuritas yang khusus membangun aplikasi berbasis database;
Dalam
konteks keamanan administrator aplikasi, dalam sistem database yang besar
dengan banyak aplikasi database, diperlukan beberapa administrator aplikasi
yang bertanggung jawab untuk menciptakan peran-peran untuk aplikasi dan
mengelola hak istimewa (privilege) untuk setiap peran aplikasi tersebut.
4) Manajemen
Password
Sistem
keamanan database bergantung pada kerahasiaan penyimpanan password. Namun
demikian, panggunaan password masih saja rentan terhadap pencurian, pemalsuan,
dan penyalahgunaan. Untuk itu diperlukan manajemen password. Sebagai contoh,
database Oracle memiliki manajemen password yang dapat mengatasi hal-hal
berikut:
Account
Locking
Jika ada
user yang melakukan kesalahan login beberapa kali melebihi dengan yang sudah
ditentukan, maka server secara otomatis akan melakukan locking terhadap account
tersebut. Administrator akan menentukan jumlah batas percobaan kesalahan
melakukan login, dan lamanya account akan di-locking. Namun administrator juga
dapat melakukan locking terhadap account tertentu secara langsung. Locking
dengan cara ini, tidak dapat dilakukan unlocking secara otomatis.
Password
Aging & Expiration
Administrator
dapat menentukan masa berlakunya penggunaan password. Bila masa berlakunya
sudah lewat, maka user tersebut atau administratornya harus mengubah password
tersebut. Administrator juga dapat menentukan grace period, yaitu tenggang
waktu yang diberikan kepada user untuk mengganti passwordnya. Bila passwordnya
belum diganti hingga grace period berakhir, maka accountnya akan hangus dan
user tersebut tidak dapat lagi melakukan login. Administrator juga dapat
menentukan interval waktu di mana password yang sudah expired tidak dapat
digunakan lagi secara langsung.
3. Password
Complexity Verification
Password complexity verification dapat
dispesifikasi menggunakan PL/SQL yang akan mengatur parameter profil default.
10.4
Pengembangan Audit Keamanan Dalam Sistem Komputer
Sistem
pengaturan keamanan dan dilengkapi dengan kebijakan firewall diperkenalkan
Firewall
dan perangkat lunak antivirus komputer pengguna telah menjadi bagian penting
dalam menjaga keamanan internet, namun cara mengoptimalkan perangkat lunak
antivirus, firewall, dan pengaturan keamanan merupakan masalah kebijakan utama.
Meskipun perangkat lunak antivirus biasanya memiliki pengaturan default yang
cukup untuk memberikan tingkat dasar keamanan, mengkonfigurasi fitur keamanan
yang efektif bukanlah tugas yang sederhana, terutama pada komputer yang
memiliki perangkat lunak firewall. Tanpa dukungan kebijakan yang kuat, upaya
untuk menghentikan ancaman hanya akan berhasil sebatas sekitar 7 persen.
Gunakan Status.
Trojan
virus epidemi di era komputer saat ini, keamanan jaringan sangat penting. Ahli
telah diberhentikan ini, masih belum menginstal jaringan dan perangkat lunak
firewall untuk membunuh “melesat”, walaupun master belum diinstal membunuh
lunak-dan firewall pihak ketiga, tetapi ia datang dengan kemampuan sistem
firewall, membangun strategi akan melawan musuh di luar barisan polisi. awam
Banyak berpikir bahwa firewall windows tidak dapat diandalkan, sebenarnya itu
karena kebijakan firewall tidak mengerti bagaimana persiapan, sehingga tidak
dapat dibiarkan untuk bermain karena beberapa fitur, sehingga empat-lari di
sekitar kimiawan untuk melindungi keamanan sistem.
Pengaturan firewall keseluruhan
Bagi
pengguna biasa dan administrator server, konfigurasi firewall dan perangkat
lunak antivirus memiliki tingkat penting yang sama. Dalam Control Panel, dalam
opsi konfigurasi firewall, pengguna dapat mengelola daftar pengecualian data,
mengizinkan atau memblokir aplikasi yang terhubung ke internet. Dalam
pengaturan lanjutan, pengguna dapat menyesuaikan pengaturan jendela log
firewall, yang mencatat informasi tentang paket yang ditolak dan koneksi yang
berhasil. Mereka juga dapat menentukan nama dan lokasi file log (biasanya
disimpan di systemroot\pfirewall.log) serta kapasitas maksimumnya. Selain itu,
pengguna dapat mengatur opsi pengiriman dan penerimaan pesan ICMP untuk tujuan
diagnosis, pelaporan kesalahan, dan konfigurasi peran. Dalam pengaturan khusus,
pengguna dapat mengaktifkan atau menonaktifkan firewall Windows dan mengelola
pesan ICMP masuk dengan memilih jenis pesan yang diizinkan atau diblokir.
Software Restriction
Kebijakan
Ini dapat
diatur untuk memastikan bahwa perangkat lunak beroperasi dengan aman di
komputer. Untuk melakukannya, buka menu Run dari Start, kemudian masukkan
gpedit.msc untuk membuka jendela konfigurasi Kebijakan Grup. Di dalamnya,
navigasi ke Konfigurasi Komputer -> Pengaturan Windows -> Pengaturan
Keamanan -> Kebijakan Pembatasan Perangkat Lunak. Di sini, pengguna dapat
menemukan empat strategi perangkat lunak yang diterapkan (Tip: Jika belum ada
strategi keamanan yang diatur, maka setelah membuat strategi baru, menu
Kebijakan Pembatasan Perangkat Lunak akan muncul). Empat strategi ini adalah
langkah-langkah resmi untuk memastikan bahwa Windows berjalan dengan proses-proses
yang aman dan terkonfigurasi dengan baik.
1. lingkungan
variabel dan prioritas
Pengguna
kemudian dapat klik-kanan dalam aturan lain, aturan baru dari jalan baru,
wildcard umum adalah: “*” dan “?”,* bahwa jumlah karakter Merupakan karakter?
Sebuah. variabel lingkungan umum folder (default dengan XP terinstal dalam
penghitungan drive C):
Untuk
mengonfigurasi perangkat lunak agar beroperasi dengan aman di komputer,
pengguna dapat membuka menu Jalankan dari Mulai dan mengetik gpedit.msc untuk
membuka jendela konfigurasi Kebijakan Grup. Dari sana, pengguna dapat
menavigasi ke Konfigurasi Komputer -> Pengaturan Windows -> Pengaturan
Keamanan -> Kebijakan Pembatasan Perangkat Lunak. Di sini, pengguna dapat
menemukan empat strategi pembatasan perangkat lunak yang secara resmi
direkomendasikan untuk memastikan bahwa Windows berjalan dengan proses yang
aman dan dikonfigurasi dengan baik. Strategi tersebut meliputi identifikasi
risiko, penilaian risiko, pengurangan risiko, dan pemantauan risiko. Dengan
menerapkan strategi ini, pengguna dapat membantu melindungi sistem mereka dari
potensi ancaman.
2. Larangan
dari file ekstensi ganda dan disk U Operasi
Karena
sebagian besar pengguna menggunakan pengaturan default XP, termasuk sistem
tersembunyi ekstensi dikenal. Tidak menjadi bingung oleh virus dan ekstensi
pengguna yang lebih, di mana kebutuhan untuk membangun
*. jpg.exe diperbolehkan dan tidak diperbolehkan *.
strategi txt.exe. Kemudian tambahkan h: *. exe tidak memungkinkan, h *.
com tidak memungkinkan dua, sehingga U disk file eksekusi tidak dapat memulai.
(Catatan: di sini penulis surat disk drive U h)
3. Berjalan
terhadap empat
Virus
komputer pengguna saat ini menyelinap ke dalam Trojan menyembunyikan banyak
keberadaan mereka sendiri untuk lolos dari perhatian manajemen. Di sini untuk
membentuk strategi untuk mencegah Trojans dari Recycle Bin, Sistem Informasi
Volume (System Restore folder), C: folder WINDOWSsystem, C:
WINDOWSsystem32Drivers folder 4 untuk memulai.
4. Proses
dilarang kamuflase
Salah satu
strategi untuk mencegah virus menyamar sebagai file sah adalah dengan
mengonfigurasi perangkat lunak agar beroperasi dengan aman di komputer. Untuk
melakukan ini, pengguna dapat membuka menu Run dari Start dan mengetik
gpedit.msc untuk membuka jendela konfigurasi Kebijakan Grup. Dari sana,
pengguna dapat menavigasi ke Konfigurasi Komputer -> Pengaturan Windows
-> Pengaturan Keamanan -> Kebijakan Pembatasan Perangkat Lunak. Di sini,
pengguna dapat menemukan empat strategi pembatasan perangkat lunak yang secara
resmi direkomendasikan untuk memastikan bahwa Windows berjalan dengan proses
yang aman dan dikonfigurasi dengan baik. Dengan menerapkan strategi ini,
pengguna dapat membantu melindungi sistem mereka dari potensi ancaman.
PIF tidak
diperbolehkan
Catatan:
Beberapa virus akan menggunakan akhiran PIF yang explorer.pif.pif dan
exe, com, semua berasal dari file eksekusi, dan XP, default tingkat prioritas
lebih tinggi dari program executable exe com, akhiran memiliki yang kuat
tersembunyi. Jika pengguna membuka ekstensi file, seperti kasus akhiran tidak
bisa melihat program ini, yaitu dengan WinRAR atau browser pihak ketiga untuk
melihat.
· Port
Kebijakan Grup
Ketika
strategi perangkat lunak selesai, pengguna dapat masuk ke dalam rintangan
terakhir, konfigurasi komputer dari kebijakan pelabuhan. Hal ini dikenal,
mengatur strategi port dapat menyerang program yang besar, dan serangan Trojan
digunakan untuk menghentikan memainkan peran pelabuhan, proses setup sederhana,
cukup ikuti empat langkah berikut:
· Langkah
pertama adalah membuka Control Panel, lalu pergi ke Administrative Tools dan
dari sana ke Local Security Policy. Kemudian, dalam wizard, langkah selanjutnya
adalah memberi nama pada kebijakan keamanan, memilih opsi "Secure
Communication" (komunikasi yang aman), dan mengaktifkan aturan bawaan
dengan menghapus tanda centang pada pilihan yang sesuai. Hal ini akan
menciptakan kebijakan IP Security baru dengan konfigurasi awal yang lengkap.
· Pada
langkah berikutnya, klik kanan pada IP Security Policy. Dalam kotak dialog
Properties, gunakan tombol "Add" pada Wizard untuk menghapus centang
dari aturan yang ada. Kemudian, klik "Add" untuk membuat aturan baru,
dan dalam kotak dialog Properties yang muncul, klik "Add". Dalam
jendela pop-up Filter IP berikutnya, dalam daftar, gunakan tombol
"Add" pada Wizard untuk menghapus centang dari filter yang ada, dan
kemudian tambahkan filter baru.
· Langkah
ketiga melibatkan pengisian kotak dialog Filter Properties. Di sini, Anda harus
memilih alamat sumber dari alamat IP yang Anda inginkan, kemudian alamat IP
tujuan yang sesuai. Pilih opsi protokol yang sesuai, yaitu TCP, dari menu dropdown
jenis protokol. Selanjutnya, di bawah kotak teks yang menyebutkan
"port," masukkan nomor port yang ingin Anda tutup, seperti
"XXXX" (XXXX adalah nomor port yang perlu dinonaktifkan, seperti
3389, 139, dll). Anda juga dapat menentukan pintu keluar jika diperlukan.
(Catatan: Untuk informasi lebih lanjut, pastikan untuk mengkonsultasikan daftar
port yang sesuai dengan kebutuhan pengguna Anda, dan daftar tersebut dapat
ditemukan melalui mesin pencari utama.)
· Langkah
keempat melibatkan kotak dialog Properties untuk aturan baru. Pada langkah ini,
Anda harus memilih daftar filter IP yang telah Anda buat sebelumnya dan
mengaktifkan opsi operasi setelah titik operasi filter. Gunakan Wizard
"Add" untuk menghapus centang dari opsi yang ada, lalu tambahkan operasi
"Stop" (berhenti). Dalam Filter Properties baru, pilih
langkah-langkah "Stop" dalam opsi Aksi Keamanan. Anda dapat kembali
ke dialog Properties Kebijakan Keamanan IP yang baru dibuat untuk menentukan
alamat IP yang sesuai. Setelah itu, klik "OK." Di jendela Kebijakan
Keamanan Lokal, klik kanan untuk mengatur IP Kebijakan Keamanan baru yang telah
Anda tetapkan.
2. STANDAR OPERASIONAL PROSEDUR (SOP)
Standar Operasional
Prosedur adalah pedoman
atau acuan untuk melaksanakan tugas pekerjaan
sesuai dengan fungsi
dan alat penilaian
kinerja instasi pemerintah berdasarkan indikator
indikator teknis, administrasif
dan prosedural sesuai
dengan tata kerja, prosedur
kerja dan sistem
kerja pada unit
kerja yang bersangkutan. Tujuan
SOP adalah menciptakan komitment
mengenai apa yang
dikerjakan oleh satuan
unit kerja instansi pemerintahan
untuk mewujudkan good governance.
Standar Operasional Prosedur (SOP) tidak hanya
memiliki relevansi internal, tetapi juga memainkan peran penting dalam konteks
eksternal. SOP digunakan untuk menilai kinerja organisasi publik, terutama
dalam hal ketepatan pelaksanaan program dan waktu. Namun, SOP juga digunakan
untuk mengevaluasi kinerja organisasi publik dari sudut pandang masyarakat,
termasuk sejauh mana instansi pemerintah responsif, bertanggung jawab, dan
akuntabel dalam memberikan pelayanan publik.
Hasil penelitian menunjukkan bahwa tidak semua unit
kerja dalam instansi pemerintah memiliki SOP. Oleh karena itu, setiap unit
kerja yang memberikan pelayanan publik di instansi pemerintah seharusnya
memiliki SOP sebagai panduan tindakan mereka. Hal ini penting agar kinerja
instansi pemerintah dapat dievaluasi dan diukur secara akuntabel.
Pelayanan publik yang diberikan oleh instansi
pemerintah, baik di tingkat pusat, provinsi, kabupaten, kota, maupun kecamatan,
adalah implementasi dari peran aparatur negara sebagai pelayan masyarakat.
Dalam era otonomi daerah, pelayanan publik menjadi salah satu fokus utama dalam
upaya meningkatkan kinerja instansi pemerintah daerah. Oleh karena itu,
fasilitas pelayanan publik harus diakses lebih mudah oleh masyarakat sebagai
tindakan otomatis dalam meningkatkan aksesibilitas.
Pemerintah pusat telah mengeluarkan berbagai
kebijakan untuk meningkatkan kinerja instansi pemerintah dan kualitas pelayanan
publik. Ini termasuk kebijakan tentang penyusunan sistem dan prosedur kegiatan,
peningkatan akuntabilitas kinerja instansi pemerintah (sebagaimana diatur dalam
Inpres No. 7 Tahun 1999), serta panduan umum penyusunan indeks kepuasan
masyarakat terhadap unit pelayanan instansi pemerintah (sebagaimana diatur
dalam SK Menpan No. KEP/25/M.PAN/2/2004). Langkah-langkah ini bukan hal baru,
karena sebelumnya pemerintah telah mengeluarkan kebijakan serupa dalam bentuk
keputusan Menpan dan instruksi presiden (Inpres).
· Penilaian Kinerja Organisasi Publik
Organisasi adalah sistem kerja sama yang teratur
dan berkelanjutan antara sekelompok individu dengan tujuan bersama yang telah
ditetapkan. Di dalamnya terdapat pedoman kerja sama dan hubungan antara
pemimpin dan bawahan. Organisasi bukan hanya sebagai wadah, melainkan juga melibatkan
pembagian wewenang, menentukan siapa yang mengambil keputusan, dan kepada siapa
tanggung jawab diberikan (Gibson; 1996:6).
Organisasi dapat dilihat dari dua perspektif, yaitu
perspektif objektif dan subjektif. Dalam konteks objektif, organisasi mengacu
pada struktur, sementara dalam pandangan subjektif, organisasi mengacu pada
proses (sebagaimana dikemukakan oleh Wayne Pace dan Faules, seperti yang
dijelaskan dalam Gibson, 1997:16). Pendekatan objektif menekankan pada aspek
struktural, perencanaan, kontrol, dan pencapaian tujuan, serta menempatkan
faktor-faktor ini dalam kerangka adaptasi organisasi. Di sisi lain, pendekatan
subjektif mendefinisikan organisasi sebagai perilaku pengorganisasian
(organizing behavior).
Sebagai sistem sosial, organisasi memiliki tujuan
kolektif yang ingin dicapai (seperti yang diungkapkan oleh Muhadjir Darwin;
1994). Salah satu ciri khasnya adalah adanya hubungan antar individu yang
terstruktur dalam pola hubungan yang jelas, dengan fungsi yang terbagi secara
tegas, sehingga membentuk suatu sistem administrasi. Hubungan terstruktur ini
memiliki sifat otoritatif, yang berarti bahwa setiap individu yang terlibat
dalam pola hubungan tersebut tunduk pada pembagian kewenangan formal dengan
aturan yang tegas.
Fremont Kast dan James Rosenzweig (2000)
menjelaskan bahwa organisasi adalah subsistem dari lingkungan yang lebih luas
dan berorientasi pada tujuan. Organisasi terdiri dari subsistem teknik
(individu dengan pengetahuan, teknik, peralatan, dan fasilitas), subsistem
struktural (individu yang bekerja bersama dalam aktivitas yang terkoordinasi),
subsistem jiwa sosial (hubungan sosial antar individu), dan semuanya diatur
oleh subsistem manajemen (yang bertanggung jawab atas perencanaan dan
pengendalian semua kegiatan).
Kinerja, atau yang juga dikenal sebagai
"performance," dapat didefinisikan sebagai tingkat pencapaian hasil
atau prestasi. Selain itu, Atmosudirdjo (1997) menjelaskan bahwa kinerja juga
dapat berarti prestasi dalam pelaksanaan suatu tugas atau penyelenggaraan sesuatu.
Faustino (1995) juga memberikan batasan kinerja sebagai cara untuk mengukur
kontribusi individu-individu dalam organisasi terhadap pencapaian tujuan
organisasi.
Lenvine
(1996) mengemukakan tiga
konsep yang dapat
digunakan untuk mengukur kinerja
organisasi publik, yakni :
1. Responsivitas (responsiveness) :
menggambarkan kemampuan organisasi publik dalam menjalankan
misi dan tujuannya
terutama untuk memenuhi kebutuhan masyarakat. Penilaian responsivitas bersumber pada data organisasi
dan masyarakat, data organisasi dipakai
untuk mengidentifikasi jenis-jenis
kegiatan dan program organisasi, sedangkan
data masyarakat pengguna
jasa diperlukan untuk mengidentifikasi demand dan kebutuhan
masyarakat.
2. Responsibilitas (responsibility): pelaksanaan
kegiatan organisasi publik
dilakukan sesuai dengan prinsip-prinsip
administrasi yang benar atau
sesuai dengan kebijakan organisasi baik yang implisit atau eksplisit.
Responsibilitas dapat dinilai dari analisis terhadap dokumen
dan laporan kegiatan
organisasi. Penilaian dilakukan
dengan mencocokan
pelaksanaan kegiatan dan
program organisasi dengan
prosedur administrasi dan ketentuan-ketentuan yang ada dalam organisasi.
3. Akuntabilitas
(accountability): menunjuk pada seberapa besar kebijakan dan kegiatan
organisasi publik tunduk
pada para pejabat politik
yang dipilih oleh
rakyat. Data akuntabilitas dapat
diperoleh dari berbagai
sumber, seperti penilaian
dari wakil rakyat, para pejabat politis,
dan oleh masyarakat. Penilaian kinerja aparatur pemerintah dapat dilakukan
secara eksternal yaitu melalui respon
kepuasan masyarakat. Pemerintah
menyusun alat ukur
untuk mengukur kinerja Pelayanan
public secara eksternal
melalui Keputusan Menpan No./KEP/M.PAN/2/2004. Berdasarkan
Keputusan Menpan No.
25/KEP/M.PAN/2/2004 tentang Pedoman Umum
Penyusunan Indeks Kepuasan
Masyarakat Unit Pelayanan Instansi Pemerintah, terdapat 14
indikator kriteria pengukuran kinerja organisasi sebagai berikut:
4. Prosedur
pelayanan, yaitu kemudahan tahapan
pelayanan yang diberikan kepada masyarakat dilihat dari sisi kesederhanaan alur
pelayanan.
5. Persyaratan
pelayanan, yaitu persyaratan teknis dan administratif yang diperlukan untuk
mendapatkan pelayanan sesuai dengan jenis pelayanannya.
6. Kejelasan petugas
pelayanan, yaitu keberadaan
dan kepastian petugas
yang memberikan pelayanan (nama,
jabatan serta kewenangan
dan tanggung jawabnya).
7. Kedisiplinan
petugas pelayanan, yaitu
kesungguhan petugas dalam memberikan pelayanan, terutama
terhadap konsistensi waktu
kerja sesuai ketentuan
yang berlaku.
8. Tanggung jawab
petugas pelayanan, yaitu
kejelasan wewenang dan
tanggung jawab petugas dalam penyelenggaraan dan penyelesaian pelayanan.
9. Kemampuan petugas
pelayanan, yaitu tingkat
keahlian dan ketrampilan
yang dimiliki petugas dalam
memberikan/menyelesaikan
pelayanan kepada masyarakat.
10.
Kecepatan pelayanan, yaitu
target waktu pelayanan
dapat diselesaikan dalam waktu yang telah ditentukan oleh unit
penyelenggara pelayanan.
Berdasarkan penjelasan di atas, evaluasi kinerja
organisasi publik dapat dilakukan baik secara internal maupun eksternal.
Evaluasi internal mencakup penilaian terhadap sejauh mana pencapaian tujuan
sesuai dengan rencana yang telah dibuat, dengan mempertimbangkan proses dan
waktu yang diperlukan. Di sisi lain, evaluasi eksternal melibatkan pengukuran
tingkat kepuasan masyarakat terhadap layanan yang diberikan oleh organisasi
tersebut.
·
Standar Operasional Prosedur
Paradigma
governance membawa pergeseran
dalam pola hubungan
antara pemerintah dengan masyarakat
sebagai konsekuensi dari
penerapan prinsip-prinsip
corporate governance. Penerapan prinsip
corporate governance juga
berimplikasi pada perubahan manajemen pemerintahan menjadi lebih
terstandarisasi, artinya ada
sejumlah kriteria standar yang
harus dipatuhi instansi
pemerintah dalam
melaksanakan aktivitas-aktivitasnya.
Standar kinerja ini sekaligus dapat untuk menilai kinerja instansi
pemerintah secara internal mupun eksternal.
Standar internal yang
bersifat prosedural inilah
yang disebut dengan Standar Operasional Prosedur (SOP).
Tahap penting dalam penyusunan Standar operasional
prosedur adalah melakukan analisis sistem dan prosedur kerja, analisis tugas,
dan melakukan analisis prosedur kerja.
1. Analisis sistem dan prosedur kerja
Analisis
sistem dan prosedur
kerja adalah kegiatan mengidentifikasikan fungsi-fungsi utama
dalam suatu pekerjaan,
dan langkah-langkah yang
diperlukan dalam melaksanakan
fungsi sistem dan prosedur kerja. Sistem
adalah kesatuan unsur atau unit yang
saling berhubungan dan
saling mempengaruhi
sedemikian rupa, sehingga muncul dalam bentuk
keseluruhan, bekerja, berfungsi
atau bergerak secara
harmonis yang ditopang oleh
sejumlah prosedur yang
diperlukan, sedang prosedur merupakan urutan kerja
atau kegiatan yang
terencana untuk menangani pekerjaan
yang berulang dengan cara seragam dan terpadu.
2. Analisis Tugas
Analisis
tugas merupakan proses
manajemen yang merupakan
penelaahan yang mendalam dan
teratur terhadap suatu pekerjaan, karena itu analisa tugas diperlukan dalam.
Analisis prosedur kerja adalah aktivitas yang
bertujuan untuk mengidentifikasi rangkaian langkah-langkah yang terkait dengan
apa yang harus dilakukan, bagaimana caranya dilakukan, kapan dilakukan, di mana
lokasinya, dan siapa yang bertanggung jawab melaksanakannya. Proses ini
melibatkan perencanaan awal berbagai langkah yang dianggap penting untuk
menyelesaikan suatu pekerjaan.
Sumber :
dewi_anggraini.staff.gunadarma.ac.id/Downloads/files/46078/SOP+%26+Audit+2.pdf\
http://delysya.blogspot.com/2011/04/keamanan-komputer.html
https://imanuelkurma.wordpress.com/tag/standar-operasional-prosedur/
BAB 11-12
Permasalahan
Trend dan Kedepan
1 Trusted Computing Group
Trusted Computing Group (TCG) adalah grup
standardisasi industri internasional, sebuah konsorsium yang diprakarsai oleh
para pemimpin di industri komputasi dengan tujuan menetapkan standar dan
menerapkan Trusted Computing. Inisiatif ini bertujuan untuk mengatasi masalah
keamanan melalui perbaikan dan modifikasi pada perangkat keras dan perangkat
lunak.
TCG menggantikan Trusted Computing
Platform Appliance (TCPA) dan didirikan pada tahun 2003 oleh para pemimpin
industri, termasuk AMD, Cisco, HP, Intel, IBM, Microsoft.
Sistem Gelombang Corp adalah perusahaan
yang pada awalnya berfokus pada pengembangan Trusted Platform Module (TPM),
yaitu modul elektronik atau sirkuit terpadu yang dapat dimasukkan ke dalam
sistem komputer untuk mendukung fitur komputasi tepercaya yang telah
distandardisasi oleh grup tersebut.
TCG adalah sebuah organisasi nirlaba yang
terdiri dari anggota dari berbagai perusahaan dalam industri. TCG membuat
rancangan dan menerbitkan spesifikasi serta contoh penggunaan teknologi yang
terkait dengan TCG. Dalam kerangka organisasi ini, para ahli dari berbagai
bidang teknologi bekerja sama untuk mengembangkan spesifikasi dalam lingkungan
yang netral, memungkinkan pesaing untuk berkolaborasi dalam pengembangan
teknologi yang interoperabel dan tidak bias terhadap vendor.
Digital Rigths Management
1. Digital
Rights Management
Digital Right Management (DRM)
system adalah istilah yang digunakan untuk mengatur data digital dan
memproteksinya dari user yang tidak mempunyai hak akses. DRM dapat berasal dari
banyak bentuk antara lain:
· Dokumen
· Gambar
· Musik
· Video
· dan
sebagainya
Data digital
ini selanjutnya oleh pemiliknya diamankan agar hanya orang-orang tertentu saja
yang dapat mengaksesnya. Penerapan DRM dapat melibatkan banyak metode bahkan
setiap vendor besar seperti Sony, Microsoft, Apple, dan Adobe mempunyai
mekanisme sendiri. Sebagai contoh, Microsoft menerapkan DRM pada produk Windows
Media, Operating System Windows dan Microsoft Office.
1.2 Metadata
Beberapa metode untuk
menerapkan DRM pada data digital dengan memasukkan informasi tertentu pada
bentuk metadata kedalam data tersebut. Informasi metadata biasanya meliputi
nama, informasi account atau e-mail. Metadata juga diterapkan pada data
komersial contohnya Apple’s iTunes yang meletakan data DRM yang dimasukkan
kedalam MPEG standard metadata.
1.3 Membentuk DRM
Sistem Digital Rights
Management (DRM) dibangun melalui integrasi teknologi keamanan ke dalam suatu
sistem yang mencakup keseluruhan proses, dan yang dapat memenuhi kebutuhan
serta kepentingan pemilik konten, distributor, pengguna, dan pihak terkait
lainnya. Dalam membangun DRM, ada dua arsitektur kunci yang perlu
dipertimbangkan. Pertama adalah arsitektur fungsional yang mencakup modul atau
komponen tingkat tinggi yang, saat digabungkan, akan membentuk sistem
end-to-end. Kedua adalah arsitektur informasi yang melibatkan pemodelan entitas
dalam DRM dan hubungan antara entitas tersebut.
Arsitektur Fungsional Kerangka kerja keseluruhan DRM dapat dimodelkan
dalam tiga area bahasan:
· Intellectual
Propierty (IP) Asset Creation and Capture: yakni suatu cara untuk
mengelola pembuatan/kreasi suatu konten sedemikian hingga mudah untuk
diperjual-belikan.
· IP Asset
Management: yakni suatu cara untuk mengelola dan memperjual-belikan konten.
Termasuk di dalamnya menerima suatu konten dari creator/pembuat kedalam suatu
sistem manajemen asset.
· IP Asset
Usage: yakni bsuatu cara untuk mengelola penggunaan konten pada saat pertama
kali diperjual-belikan. Termasuk di dalamnya mendukung kendala-kendala yang
terjadi pada perdagangan konten dalam suatu system desktop /software tertentu.
Arsitektur Informasi Arsitektur ini berhubungan dengan bagaimana cara agar
entitas-entitas yang ada dibuat modelnya dalam kerangka kerja keseluruhan DRM
berikut hubungan/relasi di antaranya.
1.4 DRM Server
DRM Server
merupakan bagian terpenting untuk melakukan proses DRM pada suatu dokumen
elektronik. Komponen ini bertanggung jawab mengatur dokumen elektronik yang
akan diamankan termasuk manajemen cryptography key. Komponen DRM Server
meliputi:
· DRM Server
berbasis Web Service
· DRM
Database Server
· Directory
Service
· CA Server
1.5 Privacy Engineering (PE)
Bagian ini akan membahas beberapa aspek yang terkait dengan pentingnya rekayasa
privasi (privacy engineering) untuk mengatasi masalah yang sering dihadapi oleh
DRM konvensional. Namun, sebelumnya akan dijelaskan aspek dasar dan latar
belakang penggunaan rekayasa privasi.
Aspek dasar dan latar belakang penggunaan rekayasa
privasi
Latar belakang penggunaan rekayasa privasi sebagai
solusi muncul dalam transaksi bisnis berbasis Internet atau distribusi konten
dengan pasar massal yang khususnya dipengaruhi oleh DRM. Sebagai contoh, dalam
model distribusi yang tidak melibatkan DRM, pada transaksi dasar di mana
pengguna mengunduh produk digital dari situs web distributor, transaksi
tersebut mungkin melibatkan atau tidak melibatkan pembayaran. Jika melibatkan
pembayaran, pengguna akan menggunakan kartu kredit atau informasi pribadi
lainnya untuk proses pembayaran yang pada akhirnya memungkinkan pengguna untuk
mendapatkan produk digital dan menggunakannya sesuai keinginan mereka.
Ada dua hal utama dari transaksi tersebut yang
dapat menjadi ancaman dari sisi privacy pengguna:
· Pertama
(yang merupakan tipikal dari kebanyakan perdagangan berbasis Web),
aktifitas Web-nya terawasi (misal, cookies client, log server, dll).
· Kedua,
yakni, data kartu kredit atau pembayaran lainnya dapat diketahui pihak lain.
Tidak ada
hasil pencarian relevan yang secara langsung menjawab pertanyaan pemberian
gambaran biaya perlindungan keamanan. Namun terdapat beberapa hasil pencarian yang
membahas berbagai aspek keamanan, seperti deteksi intrusi, konfigurasi
perangkat lunak, dan penanganan kesalahan.
Secara keseluruhan, strategi keamanan yang
komprehensif harus mencakup serangkaian tindakan, seperti deteksi intrusi,
konfigurasi perangkat lunak, penanganan kesalahan, dan perintah efektif untuk
chatbots. Biaya penerapan langkah-langkah ini akan bergantung pada berbagai
faktor, seperti ukuran dan kompleksitas organisasi, tingkat risiko, serta alat
dan teknologi spesifik yang digunakan.
2. Kasus
Keamanan Pada DRM
Pada tahun 1996, bermunculan banyak sekali pencipta
DRM yang berusaha untuk mencoba peruntungan mereka. Kebanyakan dari mereka
selalu berusaha untuk menciptakan teknologi yang bisa diimplementasikan di
berbagai komputer pada umumnya serta di internet. Mungkin yang bisa menjadi
pengecualian disini hanyalah Wave Systems yang menciptakan sebuah prosesor yang
dinamakan EMBASSY. Dalam prosesor ini, terdapat sebuah DRM yang sudah
dipasangkan di dalamnya. Tapi sayang, teknologi ini juga tidak terlalu banyak
menuai sukses. Walau begitu, ada banyak pembuat periferal komputer yang
menggunakan chip tersebut untuk dipasangkan ke dalam periferal komputer yang
mereka buat.
Situasi ini berlanjut hingga sekarang, dengan
pengembang dan penerbit terus berusaha untuk melindungi produk mereka dengan
menggunakan teknologi DRM. Pada saat yang sama, peretas juga terus berupaya
untuk mengatasi proteksi DRM dengan tekun. Sejauh yang kami ingat, ada beberapa
jenis DRM yang masih cukup umum digunakan dalam industri game hingga sekarang,
seperti SecuROM, SafeDisc, LaserLock, dan banyak lagi. Jika Anda mencari di
mesin pencari seperti Google atau situs serupa, Anda akan menemukan berbagai
perangkat lunak yang dapat digunakan untuk menghindari atau mengeksploitasi
DRM, seperti Daemon Tools, Anti-Blaxx, dan Alcohol 120%.
Dari perspektif pengembang dan penerbit perusahaan,
penggunaan DRM merupakan langkah yang sangat penting untuk melindungi
produk-produk berharga mereka. Mengapa kami menyebutnya berharga? Karena
produk-produk ini adalah sumber pendapatan utama bagi mereka. Selain itu,
mungkin mereka juga memiliki niat baik untuk mengatasi praktik pembajakan yang
merajalela di seluruh dunia. Praktik pembajakan telah membuat perusahaan di
industri hiburan, seperti game, film, dan musik, menghadapi berbagai tantangan.
Beberapa perusahaan bahkan harus mengurangi jumlah karyawan mereka atau bahkan
menghentikan operasi mereka karena pendapatan dari karya-karya yang telah
mereka buat ternyata tidak mencukupi.
3. Trend
Masalah Keamanan Kedepan dan Bioinformatika
Bio informatika adalah disiplin ilmu yang fokus
pada penerapan teknik komputasi untuk mengelola dan menganalisis informasi yang
berkaitan dengan bidang biologi. Bio informatika merupakan hasil dari
kolaborasi antara ilmu biologi dan teknik informasi (TI), dan pada umumnya
digambarkan sebagai penggunaan perangkat komputasi dan analisis data untuk
memahami dan menginterpretasikan informasi biologis. Ini adalah disiplin ilmu
yang relatif baru yang mencakup berbagai bidang ilmu, termasuk ilmu komputer,
matematika, fisika, biologi, dan kedokteran, dan semua bidang ini saling
berinteraksi dan memberikan manfaat satu sama lain. Bioinformatika muncul
berkat upaya para ahli komputer yang menggunakan kecerdasan buatan untuk
menyimulasikan berbagai fenomena alam, dan perkembangan dalam teknologi
informasi dan disiplin ilmu yang mendukungnya telah memunculkan bidang
bioinformatika. Kajian ini semakin penting karena telah memacu kemajuan dalam bioteknologi
di satu sisi, dan di sisi lain, memberikan dampak signifikan pada bidang
kedokteran, farmasi, lingkungan, dan banyak bidang lainnya.
Bio informatika memiliki cakupan yang sangat luas
dan memiliki peran yang sangat signifikan dalam bidangnya. Bahkan, dalam sektor
layanan kesehatan, bioinformatika telah memunculkan disiplin ilmu baru yang
menghasilkan peningkatan dalam pelayanan kesehatan. Bioteknologi modern
ditandai oleh kemampuan manusia untuk mengendalikan kode genetik DNA. Berbagai
aplikasi bioteknologi telah merambah berbagai sektor, termasuk kedokteran,
pangan, lingkungan, dan lainnya. Kemajuan dalam ilmu bioinformatika ini dimulai
dari proyek genom global yang menghasilkan sejumlah besar informasi genetik
dari berbagai jenis makhluk, mulai dari organisme tingkat rendah hingga
organisme tingkat tinggi.
Bioinformatika bukan hanya sekedar bagi seorang ahli biologi
yang sedang menggunakan komputer untuk menyimpan dan mengambil data tapi tahap
lebih dari itu, dimana komputer merupakan software dalam melakukan penelitian
terhadap data biologis, yaitu:
a. Komputer dari sel-sel hidup
Usaha para ilmuwan untuk mengembangkan komputer
dari selsel hidup mulai memperoleh hasil. Sejumlah ilmuwan di Universitas
Princeton, Amerika Serikat berhasil menumbuhkan bakteri yang dapat bertingkah
laku mirip komputer. Bakteri-bakteri tersebut saling merakit satu sarna lain
membentuk formasi yang komplek sesuai instruksi yang diberikan pada kode
genetiknya.
b. Forensik computer
Kita sering mendengar tentang penggunaan ujian DNA
untuk tujuan seperti menentukan keturunan dan penyakit dalam bidang kedokteran.
Demikian pula, ujian forensik digunakan untuk mengidentifikasi penyebab
kematian dan faktor-faktor terkait pada mayat. Namun, perlu dicatat bahwa
teknologi forensik yang awalnya dikembangkan untuk bidang kedokteran juga telah
diterapkan dalam perkembangan teknologi komputasi digital yang pesat..
c. Bioinformatika berkaitan dengan teknologi
database.
Saat ini, banyak pekerjaan dalam bidang
bioinformatika terkait dengan teknologi database. Penggunaan database ini
mencakup aspek tempat penyimpanan database, seperti GenBank atau PDB, serta
database pribadi yang digunakan oleh kelompok penelitian yang terlibat dalam
proyek pemetaan gen atau database yang dimiliki oleh perusahaan-perusahaan
bioteknologi.
Bioinformatika masih belum dikenal secara luas oleh
masyarakat umum. Ini dapat dimengerti karena penggunaan komputer sebagai alat
bantu belum menjadi bagian dari budaya umum. Bahkan di kalangan peneliti
sendiri, mungkin hanya sebagian kecil peneliti dalam bidang biologi molekuler
yang mengikuti perkembangan bioinformatika secara intensif, karena mereka perlu
menggunakan alat-alat bioinformatika untuk menganalisis data mereka. Di sisi
lain, dalam bidang teknologi informasi (TI), bioinformatika belum mendapatkan
perhatian yang cukup. Ketersediaan database dasar seperti database DNA dan
protein yang gratis dan terbuka merupakan peluang besar untuk menggali
informasi berharga dari data ini. Database genom manusia, misalnya, telah
disepakati akan tetap terbuka untuk publik, sehingga informasi mengenai gen-gen
yang memiliki potensi dalam bidang kedokteran atau farmasi dapat diakses dan
dimanfaatkan.
Sumber Referensi :
https://media.neliti.com/media/publications/131004-ID-digital-rights-management-sebagai-solusi.pdf
https://www.techopedia.com/definition/16161/trusted-computing-group-tcg
http://dewanggaputra21.blogspot.com/2012/11/keamanan-komputer.html
