Knowledge: SISTEM KEAMANAN INFORMASI KESEHATAN

Pengertian Keamanan Informasi Kesehatan

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.

Strategi keamanan informasi adalah rencana untuk mengurangi risiko sekaligus mematuhi persyaratan hukum, undang-undang, kontrak, dan dikembangkan secara internal. Langkah-langkah yang khas untuk membangun strategi meliputi definisi tujuan pengendalian, identifikasi dan penilaian pendekatan untuk memenuhi tujuan, pemilihan kontrol, pembentukan tolok ukur dan metrik, dan persiapan implementasi dan pengujian rencana.

Selain itu keamanan sistem informasi bisa diartikan sebagai kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan lunak komputer, jaringan komunikasi, dan data.

Jadi, keamanan sistem informasi adalah segala betuk mekanisme yang harus dijalankan dalam sebuah sistem yang ditujukan agar sistem tersebut terhindar dari segala ancaman yang membahayakan. Dalam hal ini, keamanannya melingkupi keamanan data/informasi dan keamanan pelaku sistem (user).

Beberapa bentuk serangan terhadap keamanan sistem informasi, diantaranya:

1. Interruption

Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan kepada ketersediaan (availability) dari sistem. Contoh serangan adalah “denial of service attack”.

2. Interception

Pihak yang tidak berwenang berhasil mengakses aset atau informasi. Contoh dari serangan ini adalah penyadapan (wiretapping).

3. Modification

Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah mengubah isi dari website dengan pesan-pesan yang merugikan pemilik web site.

4. Fabrication

Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem. Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail palsu ke dalam jaringan computer.

Upaya keamanan sistem informasi tidak hanya dengan mencegah sistem dari kemungkinan adanya serangan-serangan seperti tersebut di atas, tetapi juga pada kemungkinan adanya resiko yang muncul atas sistem tersebut. Sehingga, keamanan sistem informasi terdiri dari dua masalah utama, yaitu ancaman atas sistem dan kelemahan atas sistem. Masalah tersebut dapat berdampak pada 6 hal utama dalam sistem informasi, yaitu: efisiensi, kerahasiaan, integritas, keberadaan, kepatuhan dan keandalan.

Pentingnya Keamanan Sistem Informasi

Sering kali sebuah keamanan sistem informasi dianggap kurang penting dan dinomor sekiankan. Kebanyakan suatu perusahaan lebih mementingkan mengurangi pengeluaran dan menambah daya saing perusahaan tersebut, meskipun perusahaan tersebut tahu bahwasannya sebuah sistem informasi kalau sudah rusak akan menelan biaya yang tidak sedikit. Apalagi kalau ada informasi rahasia yang diambil oleh pihak yang tidak bertanggung jawab tersebut, jika hal tersebut terjadi maka perusahaan tersebut akan sangat dirugikan.

Pengamanan suatu sistem informasi sangatlah penting dalam hal menjaga kerahasiaan informasi suatu perusahaan, apabila suatu informasi penting jatuh ke tangan pihak yang tidak bertanggungjawab pastilah perusahaan tersebut yang akan sangat dirugikan, bahkan bisa saja informasi yang dicuri tersebut dapat menjadikan perusahaan tersebut bangkrut.

Keamanan informasi menggambarkan usaha untuk melindungi komputer dan non peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh orang yang tidak bertanggungjawab. Keamanan informasi dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan integritas di dalam sumber daya informasi dalam suatu perusahaan.

Saat ini informasi sudah menjadi suatu komoditi yang sangat penting. Kecakapan dalam mengakses dan menyediakan informasi secara cepat dan akurat menjadi esensial bagi suatu perusahaan, baik informasi berupa komersial, perguruan tinggi, lembaga pemerintah, maupun informasi individual. Dalam perkembangan informasi sangat dimungkinkan perkembangan teknologi komputer dan telekomunikasi akan semakin pesat.

Sangat pentingnya suatu informasi sering kali beberapa informasi hanya boleh diakses oleh orang tertentu saja. Bahkan informasi yang jatuh ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi.

Suatu keamanan sistem informasi diharapkan menjadi beberapa aspek diantaranya :

1. Kerahasiaan

Sudah jelas bahwasannya keamanan suatu sistem informasi haruslah menjaga kerahasiaannya agar data dan informasi suatu perusahaan tersebut tidak diketahui oleh orang-orang yang tidak berhak. Maksud dari aspek kerakasiaan ini adalah untuk menjaga informasi-informasi yang bersifat privacy. Privacy lebih kearah data-data yang sifatnya private. Serangan terhadap aspek privacy misalnya usaha untuk melakukan penyadapan.

2. Ketersediaan

Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi ini asli, atau orang yang mengakses dan memberikan informasi adalah orang yang dimaksud. Dalam hal keaslian ini dapat dibuktikan dengan penandatanganan sebuah dokumen atau pembatasan informasi hanya kepada orang-orang tertentu saja. Dalam hal ini penguna harys dapat menunjukkan bahwa dia adalah orang yang sah dan berhal dalam menerima informasi tersebut.

3. Intergritas

Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa izin. Sistem informasi perlu menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan.

Ancaman Keamanan Sistem Informasi

Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi.

Ancaman dalam keamanan sistem informasi ini bukan hanya berasal dari luar perusahaan seperti lawan bisnis atau individu dan kelompk lain tapi juga dapat berasal dari dalam perusahaan.

Sebuah ancaman dalam keamanan akan dilanjutkan dengan adanya serangan, dalam kesempatan kali ini akan kami bahas mengenai serangan seranga yang dapat mengancam keamanan sistem informasi :

1. Virus

Tentunya kita sudah tidak asing lagi dengan Virus. Pada dasarnya, virus merupakan program komputer yang bersifat “malicious” (memiliki tujuan merugikan maupun bersifat mengganggu pengguna sistem) yang dapat menginfeksi satu atau lebih sistem komputer melalui berbagai cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user” sebagai pengguna komputer. Kerusakan yang dapat ditimbulkan pun bermacam-macam mulai dari yang mengesalkan sampai kepada jenis kerusakan yang bersifat merugikan dalam hal finansial

2. Worms

Worms merupakan program malicious yang dirancang terutama untuk menginfeksi komputer yang berada dalam sebuah sistem jaringan. Perbedaan prinsip yang membedakan worms dengan virus adalah bahwa penyebaran worm tidak tergantung pada campur tangan manusia atau pengguna. Worms merupakan program yang dibangun dengan algoritma tertentu sehingga mampu untuk mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa melalui bantuan maupun keterlibatan pengguna.

Karena karakteristiknya yang tidak melibatkan manusia, maka jika sudah menyebar sangat sulit untuk mengontrol atau mengendalikannya. Usaha penanganan yang salah justru akan membuat pergerakan worms menjadi semakin liar tak terkendali untuk itulah dipergunakan penanganan khusus dalam menghadapinya.

3. Trojan Horse

Istilah Trojan Horse atau Kuda Troya adalah sebuah taktik perang yang digunakan dalam penaklukan kota troy yang dikelelilinggi benteng yang kuat. Pihak penyerang membuat sebuah patung kuda raksasa yang di dalamnya memuat beberapa prajurit yang nantinya ketika sudah berada di dalam wilayah benteng akan keluar untuk melakukan peretasan dari dalam. Ide ini mengilhami sejumlah hacker dan cracker dalam membuat virus atau worms yang cara kerjanya mirip dengan fenomena taktik perang ini, mengingat banyaknya antivirus yang bermunculan maka mereka menciptakan sesuatu yang tidak dapat terdeteksi oleh antivirus.

Dalam mengklasifikasi sebuah ancaman dapat dilakukan dengan metode stride. STRIDE berasal dari kata :

1. Spoofing

Menggunakan hak akses / Mengakses sistem dengan menggunakan identitas orang lain

2. Tampering

Tanpa mempunyai hak akses namun dapat mengubah data yang ada didalam database.

3. Repudiation

Membuat sebuah sistem atau database dengan sengaja salah, atau sengaja menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi sehingga dapat digunakan untuk mengakses sistem pada suatu saat.

4. Information disclosure

Membuka atau membaca sebuah informasi tanpa memiliki hak akses atau membaca sesuatu tanpa mempunyai hak otorisasi.

5. Denial of service

Membuat sebuah sistem tidak bekerja atau tidak dapat digunakan oleh orang lain.

6. Elevation of priviledge

Menyalahgunakan wewenang yang dimiliki untuk mengakses sebuah sistem untuk kepentingan pribadi.

Dalam keamanan sistem informasi seorang dapat berpotensi sebagai ancaman dalam keamanan apabila memiliki kriteria sebagai berikut :

1. Kewenangan tinggi untuk login kedalam sebuah sistem.

2. Memiliki hak akses ( password ) seseorang yang dia ketahui dari berbagai sumber.

3. Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian dibidang itu

4. Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem tersebut.

Cara mengamankan sistem informasi

Pada umumnya, pengamanan sistem dapat dikelompokkan menjadi dua yaitu pencegahan dan pengobatan. Usaha pencegahaan dilakukan agar sebuah sistem keamanan tidak memiliki lubang dalam pengoperasiannya, sedangkan pengobatan dilakukan apabila saat ada liubang dalam sebuat sistem tersebut dapat segera di atasi.

Pengamanan dalam sebuah sistem informasi diharapkan dapat menjaga setiap informasi yang ada di dalamnya. Pengamanan dalam sebuah sistem dapat dilakukan dengan beberapa cara diantaranya :

1. Memilih Password

Pemilihan password yang tidak tepat juga dapat menjadi salah satu akibat sebuah keamanan sistem informasi dapat dengan mudah diretas. Pemilihan passwword juga menjadi sebuah perhatian tersendiri dalam sebuah keamanan sistem informasi. Password yang mudah ditebak seperti hal atau kata yang lekat pada anda merupakan password yang salah, pemilihan password seperti itu sangat dimungkinkan keamanan sistem anda akan terancam.

2. Memasang Proteksi

Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat ditambahkan. Proteksi ini dapat berupa filter (secara umum)dan yang lebih spesifik adalah firewall. Filter dapat digunakanuntuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet.

Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal. Tujuan utama dari firewall adalah untuk menjaga (prevent) agarakses (ke dalam maupun ke luar) dari orang yang tidak berwenang(unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewallbergantung kepada kebijaksanaan (policy) dari organisasi yangbersangkutan, yang dapat dibagi menjadi dua jenis:

Apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted).
Apa-apa yang tidak dilarang secara eksplisit dianggap diperbolehkan (permitted)

3. Pemantauan Adanya Serangan

Sistem ini digunakan untuk mengetahui jika adanya tamu tak diundangan atau serangan terhadap sistem tersebut. .Nama lain dari sistem ini adalah “intruder detection system” (IDS).Sistem ini dapat memberitahu administrator melalui e-mail maupunmelalui mekanisme lain seperti melalui pager.Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan memonitor logfile. Contoh software IDS antara lain:

Autobuse, mendeteksi probing dengan memonitor logfile.
Courtney, mendeteksi probing dengan memonitor packet yang lalu lalang
Shadow dari SANS.

4. Pemantauan Integritas Sistem

Pemantaun integritas sistem dijalankan secara berkala untuk menguji integratitas sistem.

5. Melakukan backup secara rutin.

Sering kali tamu tak diundang datang dan masuk kedalam sebuah sistem dan merusak bahkan menghapus informasi-informasi yang ada didalam sebuah sestem tersebut. Jika dalam pengoperasian sebuah sistem tidak adanya backup data, dapat dipastikan data yang ada dalam sistem tersebut akan hilang. Maka dari itu backup data harus dilakukan jika ada tamu tak diundang tersebut datang dan merusak sistem dan informasi didalamnya. Kalau dalam sistem tersebut kita telah melakukan backup data, saat ada tamu tak diundang tersebut kita tak perlu takut akan kehilangan data tersebut.

6. Penggunaan Enkripsi

Data-data yang dikirimkan diubah sedemikian rupa sehingga tidak mudah disadap. Banyak servis di Internet yang masih menggunakan “plain text”untuk authentication, seperti penggunaan pasangan user id dan password. Informasi ini dapat dilihat dengan mudah oleh program penyadap (sniffer). Contoh servis yang menggunakan plain text antara lain:

Akses jarak jauh dengan menggunakan telnet dan login
Transfer file dengan menggunakan FTP
Akses email melalui POP3 dan IMAP4
Pengiriman email melalui SMTP
Akses web melalui HTTP

Kebijakan Dalam Keamanan Sistem Informasi

Kebijakan sebuah keamanan dalam sistem informasi kebanyakan disusun oleh pemipin terhadap para karyawannya agar mereka tahu akan pentingnya sebuah keamanan sistem informasi. Pada dasarnya keamanan sebuah sistem informasi bukanlah hanya tanggung jawab dari pemimpin melainkan juga tanggung jawab seluruh pihak yang tersangkut didalamnya. Secara garis besar rangkaian keamanan sebuah sistem adalah sebagai berikut :

1. Keamanan sistem adalah urusan dan tanggungjawab seluruh pihak yang ada didalamnya.

2. Penetapan pemilik sistem

Hal ini dilakukan agar dalam pengamanan sebuah sistem tersebut ada yang memimpin dan menjadi penaanggung jawab atas sistem yang dijalankan.

3. Langkah pengamanan harus sesuai dengan undang-undang

4. Dalam hal ini berkaitan dengan proteksi data, computer crime, dan hak cipta.

5. Antisipasi terhadap kesalahan

Antisipasi dan pencegahan dengan tindakan keamanan yang ketat akan memberikan garansi atas integritas, kelanjutan, dan kerahasiaan transaksi yang terjadi. Tindakan pecegahan tambahan harus diimplementasikan agar dapat mendeteksi dan melaporkan kesalahan yang terjadi sehingga kejanggalan dapat ikoreksi secepat mungkin.

6. Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai akhir sistem informasi.

7. Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan (change request).

8. Sistem yang akan dikembangkan harus sesuai dengan standart metode pengembangan sistem yang diemban oleh organisasi.

9. Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode identiitasnya (user-ID).

Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang dilakukan dengan ID ini akan terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang berdampak akan mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik user-ID ini.

SISTEM KEAMANAN INFORMASI BERBASIS SOFTWARE DAN HARDWARE

Jenis jenis sistem keamanan diantaranya terdiri dari sistem keamanan informasi berbasis software dan sistem keamanan informasi berbasis hardware.

A. Sistem Keamanan Informasi Berbasis Software

Kerusakan software dapat disebabkan oleh beberapa hal, antara lain :

Penggunaan software bajakan. Software yang bajakan karena tidak berasal dari pembuatnya langsung maka kualitas software tersebut tidak dapat dijamin sehingga resiko kerusakan akan besar dan kita tidak dapat melakukan komplain.
Kesalahan prosedur Pemasangan/install software yang tidak benar dapat menyebakan crash/bertabrakan dengan software lain atau tidak lengkap sehingga menyebabkan software rusak.
Virus Virus selain dapat merusak data, dapat juga merusak software dan biasanya menyerang sistem operasi dan aplikasi yang berjalan di sistem operasi Windows.

Hal-hal yang dapat dilakukan untuk meminimalkan kerusakan komputer adalah antara lain :

Menggunakan software yang terpercaya baik itu yang berbayar atau open source.
Memasang Antivirus. Antivirus dapat menangkal dan memperbaiki virus yang merusak software.
Backup sistem. Sistem komputer dapat dibackup secara keseluruhan dengan menggunakan aplikasi tertentu sehingg bila terjadi kerusakan yang paling parah sekalipun dapat dikembalikan ke kondisi semu
Lakukan sesuai prosedur. Bila tidak ada sistem backup dan software serta data dalam komputer bersifat vital, ada baiknya tidak melakukan proses pemasangan software sendiri bila tidak yakin dengan langkah-langkahnya. Pada dasarnya tidak ada software yang sempurna yang dapat mengatasi semua kesalahan pemakaian sehingga penggunaan sesuai prosedur sangat dianjurkan.

B. Sistem Keamanan Informasi Berbasis Hardware

Hal-hal yang dapat menyebabkan kerusakan hardware adalah antara lain :

1. Kelistrikan

Hardware komputer sangat tergantung pada listrik. Oleh karena itu ketidakstabilan listrik akan mempengaruhi kinerja dan ketahanan hardware. Komputer yang sering mati dengan tiba-tiba akibat kehilangan pasokan listrik dapat memicu kerusakan baik pada hard disk, motherboard bahkan power supply dan perangkat lainnya.

2. Kesalahan Prosedur

Penggunaan atau penempatan yang tidak sesuai aturan akan menyebabkan memperpendek masa pakai hardware. Menyalakan komputer diruang yang panas atau memaksakan komputer menyala terus menerus dapat menimbulkan kerusakan.

3. Bencana Alam/Kerusuhan.

Faktor ini adalah yang paling sulit dihindarkan karena diluar kemampuan kita. Banjir, gempa atau kerusuhan bila mencapai komputer maka kerusakan parah sangat mungkin terjadi.

Pencegahan yang dapat dilakukan adalah antara lain:

1. Memasang Stavolt atau UPS (Universal Power Saving). Dengan adanya stavolt yang berfungsi menstabilkan arus listrik atau UPS yang berfungsi untuk menyediakan daya listrik selama beberapa waktu sehingga kita dapat melakukan proses shutdown secara baik, maka kerusakan akibat listrik dapat diminimalkan. UPS ada yang dilengkapi dengan aplikasi untuk mengendalikan UPS, baik untuk melihat kapasitas bateray atau memantau kondisi UPS lewat internet.

2. Menggunakan sesuai prosedur. Penempatan komputer yang benar, menyalakan dan mematikan, serta pemakaian sesuai fungsinya akan membuat hardware lebih awet. Selain itu penggunaan sesuai dengan prosedur khususnya yang berhubungan dengan kelistrikan akan mengurangi resiko kebakaran, misalnya mematikan komputer hingga stavolt/UPS.

Ancaman-ancaman keamanan hardware pada computer standalone :