Running head: MENGATASI MASALAH KEAMANAN JARINGAN 1

Mengatasi Masalah Keamanan Jaringan

Melalui Perspektif Chief Security Officer

Alyssa L.Reph

Universitas Wilkes

Perkenalan

Menurut Bruce Schneier, “Jika Anda berpikir teknologi dapat memecahkan masalah

keamanan Anda, maka Anda tidak memahami masalahnya dan Anda tidak memahami

teknologinya” (“Top 10,” nd). Keamanan informasi bergantung pada lebih dari sekedar

teknologi; hal ini membutuhkan orang-orang cerdas di belakang sistem. Dalam sebuah

perusahaan, Chief Security Officer memiliki tanggung jawab untuk menilai risiko, mengelola

teknologi, menerapkan kebijakan, dan mendidik staf (Whitman & Mattord, 2014, hal. 35).

Meskipun terdapat berbagai masalah keamanan, lima situasi unik akan ditangani melalui sudut

pandang Chief Security Officer.

 MENGATASI MASALAH KEAMANAN JARINGAN 2

Diskusi

Mengakses File Perusahaan

Dewan Pengawas akan mundur ke Florida dan perlu mengakses file mereka di server file

perusahaan, yang merupakan server internal saja. Kekhawatiran utamanya adalah bagaimana

mereka dapat diberi akses ke file mereka dengan cara yang aman dan apa yang perlu dilakukan

oleh perusahaan? Untuk mendapatkan akses ke jaringan, Chief Security Officer akan

memanfaatkan jaringan pribadi virtual. Jenis jaringan ini adalah “jaringan data pribadi yang

memanfaatkan infrastruktur telekomunikasi publik, menjaga privasi melalui penggunaan

protokol terowongan dan prosedur keamanan” (Whitman & Mattord, 2014, hal. 347). Dengan

kata lain, jaringan pribadi virtual akan memungkinkan perusahaan memperluas koneksi jaringan

ke lokasi lain dengan aman.

Sebelum Dewan Pengawas ditawari akses ke jaringan tersebut, Chief Security Officer harus

memastikan bahwa perusahaan memiliki kebijakan untuk mengontrol penggunaan. Penting

untuk memiliki kebijakan keamanan khusus masalah, yang merinci penggunaan resmi jaringan

pribadi virtual dan sumber daya yang menyertainya (Whitman & Mattord, 2014, hal. 164).

Apakah sudah ada kebijakan khusus permasalahan yang berlaku? Jika ya, apakah hal ini

mencakup penggunaan sumber daya melalui jaringan pribadi virtual? Format kebijakan dapat

berupa dokumen elektronik yang dikirimkan melalui email kepada Dewan, dengan kuis singkat

untuk menilai pemahaman mereka terhadap pedoman tersebut. Dewan Pengawas akan diminta

untuk membaca dan menandatangani bahwa mereka setuju dengan kebijakan tersebut (Whitman

& Mattord, 2014, hal. 112).

Membeli Server

Departemen keuangan sedang mencari untuk membeli server untuk menyimpan semua
 MENGATASI MASALAH KEAMANAN JARINGAN 3

materi penganggaran. Saat memutuskan untuk membeli peralatan penting tersebut, banyak

faktor yang harus dipertimbangkan. Perangkat lunak dan server apa yang saat ini dioperasikan

oleh perusahaan dan apakah efektif? Jika berfungsi dengan baik, Chief Security Officer dapat

memutuskan untuk membeli model serupa lainnya. Selain itu, apakah ada anggaran untuk server

baru? Chief Security Officer perlu memeriksa anggaran dan menyetujui pembelian server.

Setelah keputusan dibuat mengenai jenis dan ukuran server, perlindungan informasi perlu

diperhitungkan.

Bagaimana perusahaan melindungi informasi yang disimpan di server? Karena server akan

menjaga informasi keuangan, dokumentasi adalah kunci untuk menjaga keamanan file

perusahaan. Sistem deteksi dan pencegahan intrusi (IDPS) harus disiapkan untuk mencatat data

dan menjaga keamanan server (Whitman & Mattord, 2014, hal. 361). IDPS akan

mendokumentasikan semua aktivitas di server sehingga jika terjadi serangan, perusahaan akan

memiliki dokumentasi yang diperlukan untuk melacak penyusup. Selain IDPS, firewall juga

perlu dikonfigurasi. Siapa yang akan bertanggung jawab atas konfigurasi firewall? Akan ada

karyawan yang ditunjuk sebagai administrator firewall resmi. Mereka akan menyiapkan firewall

untuk melindungi server dari serangan luar. “Konfigurasi dan pengoperasian firewall jaringan”

(Whitman & Mattord, 2014, hal. 168) dapat ditemukan dalam kebijakan keamanan khusus

sistem. Kebijakan tersebut akan memandu administrator dalam membangun firewall sesuai

instruksi perusahaan.

Memecat Administrator Jaringan

Ketika salah satu administrator jaringan utama dipecat, prosedur harus diikuti untuk

memastikan keamanan informasi perusahaan. Bagaimana perusahaan dapat meminimalkan

risiko terhadap keamanan mereka? Risiko dapat dikurangi jika prosedur khusus diikuti “terlepas
 MENGATASI MASALAH KEAMANAN JARINGAN 4

dari tingkat kepercayaan yang dimiliki perusahaan terhadap karyawan” (Whitman & Mattord,

2014, hal. 578). Wawancara keluar harus dilakukan apakah keberangkatan tersebut bersahabat

atau bermusuhan. Siapa yang akan melakukan wawancara keluar karyawan? Chief Security

Officer kemungkinan besar akan menangani exit interview karena mereka telah bekerja sama

dengan administrator jaringan dan telah membangun hubungan yang baik. Wawancara akan

terdiri dari pertemuan dengan karyawan untuk meninjau “kewajiban kontrak, seperti perjanjian

kerahasiaan, dan untuk mendapatkan umpan balik tentang masa kerja karyawan” (Whitman &

Mattord, 2014, hal. 577).

Prosedur khusus apa yang akan menjamin bahwa karyawan tersebut tidak lagi memiliki

akses ke informasi jaringan? Chief Security Officer harus menonaktifkan akses karyawan ke

sistem jaringan, mengamankan hard drive, dan mengumpulkan semua media yang dapat dilepas,

perangkat perusahaan, dan kartu akses. Kunci pada lemari arsip dan pintu harus diubah

bersamaan dengan kata sandi tingkat administratif (Whitman & Mattord, 2014, hal. 578).

Karena karyawan ini memiliki akses resmi yang luas ke jaringan, Chief Security Officer harus

menjalankan pemeriksaan keamanan untuk memeriksa kerentanan jaringan terhadap serangan

dari luar (Verry, 2008).

Ketika administrator jaringan dipecat, siapa yang harus diberitahu tentang perubahan

tersebut? Sumber daya manusia harus diberi tahu karena mereka akan bertanggung jawab untuk

menyediakan dokumen penting, seperti kontrak dan perjanjian kerahasiaan, kepada

pewawancara untuk ditinjau sebelum pertemuan. Selain itu, sumber daya manusia bertanggung

jawab untuk memposting peluang kerja. Selain itu, karyawan perusahaan akan diberi tahu

karena harus dijelaskan bahwa setiap komunikasi dengan karyawan yang diberhentikan harus

dilaporkan kepada manajemen (Verry, 2008). Mitra bisnis dan konsultan harus diberitahu bahwa
 MENGATASI MASALAH KEAMANAN JARINGAN 5

karyawan tersebut tidak lagi bekerja di perusahaan. Hal ini merupakan tindakan pencegahan

agar karyawan tidak memanfaatkan kontak tersebut sebagai sarana untuk memperoleh informasi

perusahaan (Verry, 2008).

Bagaimana dampak pemecatan ini terhadap perusahaan, dan siapa yang akan mengambil alih

posisi ini untuk sementara? Karena pentingnya keamanan perusahaan, maka sangat penting bagi

seseorang untuk menempati posisi tersebut. Kemungkinan besar Chief Security Officer akan

mempunyai tanggung jawab tersebut karena mereka telah memperoleh akses dan pengetahuan

yang tepat tentang jaringan. Begitu seseorang baru dipekerjakan atau dipromosikan, mereka

akan dilatih mengenai kebijakan dan prosedur perusahaan. Mencegah Serangan Cacing

Worm Internet baru baru saja dilaporkan oleh CERT. Menurut Whitman dan Mattord (2014),

“perilaku kompleks worm dapat dimulai dengan atau tanpa pengguna mengunduh atau

mengeksekusi file” (hal. 84). Worm adalah jenis perangkat lunak berbahaya yang dapat

menyalin dirinya sendiri ke server Web dan “menyebar ke ratusan mesin dalam hitungan menit”

(“Penanganan Insiden,” nd). Bagaimana perusahaan dapat melindungi diri dari kemungkinan

ancaman ini? Perusahaan dapat memilih untuk memulai dengan memeriksa sistem perlindungan

penyusup dan menggunakan alat pemindaian untuk “mengevaluasi kesiapan sistem” (Whitman

&

Mattord, 2014, hal. 360). Bagaimana langkah-langkah keamanan saat ini merespons ancaman?

Data yang dikumpulkan dari pemindaian sistem dapat dianalisis untuk menentukan area

kelemahan dan menemukan cara untuk meningkatkan perlindungan.

Apakah perusahaan mempunyai kebijakan keamanan khusus untuk worm? Perusahaan

mungkin memiliki kebijakan yang merinci “konfigurasi minimum spesifik komputer untuk

melindungi dari worm dan virus” (Whitman & Mattord, 2014, hal. 165). Apakah langkah-
 MENGATASI MASALAH KEAMANAN JARINGAN 6

langkah yang diterapkan efektif atau apakah perusahaan perlu memperbarui kebijakannya?

Menurut Whitman dan Mattord (2014), “Kebijakan hanya dapat mempertahankan efektivitasnya

dalam lingkungan yang berubah jika kebijakan tersebut ditinjau secara berkala untuk

mengetahui kekinian dan keakuratannya, lalu dimodifikasi sesuai kebutuhan” (hal. 172).

Kebijakan tersebut mungkin sudah ketinggalan jaman atau kurang memiliki keamanan yang

diperlukan untuk melindungi perusahaan dari worm baru. Kebijakan tersebut harus diperiksa

untuk revisi terbaru dan diuji efektivitasnya. Jika kebijakan tersebut tidak cukup rinci untuk

melindungi perusahaan dari ancaman baru, maka kebijakan tersebut harus segera direvisi dan

diperbarui.

Bagaimana staf akan diberitahu mengenai perubahan kebijakan dan ancaman worm baru?

Buletin harus dikirimkan untuk membuat staf sadar akan kemungkinan ancaman, memberikan

tindakan pencegahan yang harus diambil, dan memberi tahu mereka mengenai perubahan apa

pun yang dilakukan terhadap kebijakan. Setelah kebijakan direvisi, kebijakan tersebut akan

dikirimkan secara elektronik kepada staf bersama dengan kuis singkat untuk memastikan

mereka telah membaca dan memahaminya. Risiko dapat diminimalkan ketika perusahaan

memeriksa sistem secara berkala, memperbarui kebijakan, dan terus memberikan informasi

kepada staf tentang kemungkinan pelanggaran.

Menjual Produk Secara Online

Perusahaan akan mulai menjual widget secara online dan menerima kartu kredit. Seperti

halnya usaha bisnis baru, ada risiko yang perlu diatasi sebelum melanjutkan. Bagaimana

perusahaan melindungi privasi konsumen? Privasi didefinisikan sebagai “hak individu atau

kelompok untuk melindungi diri mereka sendiri dan informasi mereka dari akses tidak sah,

dengan memberikan kerahasiaan” (Whitman & Mattord, 2014, hal. 115). Salah satu langkah
 MENGATASI MASALAH KEAMANAN JARINGAN 7

untuk melindungi privasi konsumen adalah dengan memastikan bahwa informasi yang diperoleh

secara online melalui pembelian hanya digunakan untuk menyediakan barang dan bukan untuk

pemasaran (Whitman & Mattord, 2014, p .115).

Bagaimana cara perusahaan menjaga keamanan informasi konsumen? Situs web harus

dikonfigurasi untuk menyediakan transaksi elektronik yang aman dengan mengenkripsi

informasi kartu kredit (Whitman & Mattord, 2014, p. 454). Selain itu, administrator

firewall harus membuat firewall untuk melindungi informasi kartu kredit konsumen dari

peretas (Whitman & Mattord, p. 125). Untuk menjaga keamanan informasi perusahaan dan

konsumen, Chief Security Officer harus memastikan bahwa ada kebijakan terbaru yang

merinci langkah-langkah keamanan ini.

Kesimpulan

Sebagai Chief Security Officer, keamanan jaringan adalah prioritas utama. Namun,

berbagai situasi mungkin timbul yang dapat mengancam atau merusak tindakan keamanan

yang ada. Whitman dan Mattord (2014) berpendapat bahwa, “Mengelola keamanan

informasi lebih berkaitan dengan manajemen risiko, kebijakan, dan penegakannya

dibandingkan teknologi penerapannya” (hal. 48). Kepala petugas keamanan memainkan

peran penting dalam menilai risiko, menguraikan kebijakan dan prosedur, dan memberi

informasi kepada staf untuk menjaga keamanan jaringan.

Referensi

Prosedur penanganan insiden. (nd). Diakses pada 13 Juni 2016, dari

https://www.mtech.edu/cts/policies/policies/incident.handling.pro..pdf

10 kutipan keamanan TI teratas. (nd). Diakses pada 14 Juni 2016, dari

http://www.itscolumn.com/2011/08/top-10-it-security-quotes/
 MENGATASI MASALAH KEAMANAN JARINGAN 8

Verry, J. (2008, 18 Desember). “Praktik terbaik” untuk mengaktifkan jaringan atau keamanan
informasi

admin. Diakses pada 12 Juni 2016, dari http://pivotpointsecurity.com/blog/best-practices-

for-

mengaktifkan-admin-jaringan-atau-keamanan-informasi/

Whitman, SAYA, & Mattord, HJ (2014). Prinsip keamanan informasi . Boston,

MA: Pembelajaran Cengage.