Prinsip
Integrity, Confidentiality, dan Availability dalam Teknologi Informasi
Dengan perkembangan
teknologi yang semakin pesat, yang terpenting adalah keamanan dalam informasi.
Salah satu pusat perhatian dalam keamanan jaringan adalah mengendalikan access
terhadap resources jaringan. Bukan saja sekedar mengontrol siapa saja yang boleh
mengakses resources jaringan yang mana, pengontrolan akses ini juga harus
membagi subject (user, program, file, computer dll) berinteraksi dengan
object-object (file, database, computer, dll). Dimana manusia (people), yang
menjalankan proses membutuhkan dukungan kebijakan (policy), sebagai petunjuk
untuk melakukannya, dan membutuhkan teknologi (technology), merupakan alat
(tools), mekanisme atau fasilitas untuk melakukan. Prinsip keamanan ini disebut
segitiga CIA (Confidentiality, Integrity, Availability).
1. Prinsip Integrity
Bahwa informasi tidak boleh diubah
tanpa seijin pemilik informasi.
Integrity
merupakan aspek yang menjamin bahwa data tidak boleh berubah tanpa ijin pihak
yang berwenang (authorized). Bisa juga disebut menjaga keutuhan sesuatu yang
sudah ditetapkan sebelumnya. Secara teknis ada beberapa cara untuk menjamin
aspek integrity ini, seperi misalnya dengan menggunakan message authentication
code, hash function, digital signature.
· Message
authentication code (MAC), adalah alat bagi penerima
pesan untuk mengetahui pengirim pesan, digunakan untuk mengotentikasi pesan
tanpa perlumerahasiakan isi pesannya.
· Hash
adalah fungsi yang secara efisien mengubah string input dengan panjang
berhingga menjadi string output dengan panjang tetap yang disebut nilai hash.
Umumnya digunakan untuk keperluan autentikasi dan integritas data.
· Tanda tangan digital atau digital signature
adalah sebuah skema matematika untuk menunjukkan keaslian pesan digital atau
dokumen.
Contoh : e-mail di intercept di
tengah jalan, diubah isinya, kemudian diteruskan ke alamat yang dituju.
Bentuk serangan : Adanya virus,
trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin, “man in the
middle attack” dimana seseorang menempatkan diri di tengah pembicaraan dan
menyamar sebagai orang lain.
2. Prinsip Confidentiality
Dimana object tidak diumbar atau
dibocorkan kepada subject yang tidak seharusnya berhak terhadap object
tersebut, atau lazim disebut tidak authorize.
Confidentiality
merupakan aspek yang menjamin kerahasiaan data atau informasi. Kerahasiaan ini
dapat diimplementasikan dengan berbagai cara, seperti misalnya menggunakan
teknologi kriptografi dengan melakukan proses enkripsi (penyandian) pada
transmisi data, pengolahan data (aplikasi dan database), dan penyimpanan data
(storage). Akses terhadap informasi juga harus dilakukan dengan melalui
mekanisme otorisasi (authorization) yang ketat.
Sebagai contoh dari confidentiality adalah daftar pelanggan
dari sebuah Internet Service Provider (ISP). Jadi, data dari daftar pelanggan
tersebut seperti nama,alamat, nomor telephone dan data lainnya harus dilindungi
agar tidak tersebar pada pihak yang tidak seharusnya mendapatkan informasi
tersebut.
3. Prinsip Availability
Berhubungan dengan ketersediaan
informasi ketika dibutuhkan.
Availability
merupakan aspek yang menjamin bahwa data tersedia ketika dibutuhkan. Jadi, pada
prinsipnya ketersediaan data dan informasi yang menyangkut kebutuhan suatu
kegiatan merupakan suatu keharusan untuk menjalankan kegiatan tersebut. Jika
avaliabillity data atau informasi yang dibutuhkan untuk menjalankan suatu
proses kegiatan tidak dapat dipenuhi, maka proses kegiatan tersebut tidak akan
terjadi atau terlaksana.
Seperti, hilangnya layanan dapat
disebabkan oleh berbagai hal, mulai dari benca alam (kebakaran, banjir, gempa
bumi), ke kesalahan sistem (server rusak, disk rusak, jaringan putus), sampai
ke upaya pengrusakan yang dilakukan secara sadar (attack). Pengamanan terhadap
ancaman ini dapat dilakukan dengan menggunakan sistem backup dan menyediakan
disaster recovery center (DRC) yang dilengkapi dengan panduan untuk melakukan
pemulihan (disaster recovery plan).
Contoh hambatan :
· “denial of service attack” (DoS attack),
dimana server dikirimi permintaan (biasanya palsu) yang bertubi-tubi atau
permintaan yang diluar perkiraan sehingga tidak dapat melayani permintaan lain
atau bahkan sampai down, hang, crash.
· mailbomb, dimana seorang pemakai dikirimi
e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar sehingga
sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya.
Privacy,
Term & Condition pada Penggunaan IT
1. Privasi
Merupakan tingkatan interaksi atau
keterbukaan yang dikehendaki seseorang pada suatu kondisi atau situasi
tertentu. tingkatan privasi yang diinginkan itu menyangkut keterbukaan atau
ketertutupan, yaitu adanya keinginan untuk berinteraksi dengan orang lain, atau
justru ingin menghindar atau berusaha supaya sukar dicapai oleh orang lain.
adapun definisi lain dari privasi yaitu sebagai suatu kemampuan untuk
mengontrol interaksi, kemampuan untuk memperoleh pilihan pilihan atau kemampuan
untuk mencapai interaksi seperti yang diinginkan. privasi jangan dipandang
hanya sebagai penarikan diri seseorang secara fisik terhadap pihak pihak lain
dalam rangka menyepi saja.
Privacy
hampir sama seperti confidentialy namun jika privacy
lebih kearah data-data yang sifatnya privat.
Contoh : e-mail seorang pemakai
(user) tidak boleh dibaca oleh administrator.
Confidentiality
: berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu
dan hanya diperbolehkan untuk keperluan tertentu tersebut.
Contoh : data-data yang sifatnya
pribadi (seperti nama, tempat tanggal lahir, social security number, agama,
status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan
sebagainya) harus dapat diproteksi dalam penggunaan dan penyebarannya.
Bentuk Serangan : usaha penyadapan
(dengan program sniffer).
Usaha-usaha yang dapat dilakukan
untuk meningkatkan privacy dan confidentiality adalah dengan
menggunakan teknologi kriptografi.
2. Term & Condition
Term
& Condition merupakan cara pandang seseorang
tentang aturan hukum yang jelas dan berlaku pada setiap pemakain internet.
Setiap aturan biasanya telah ditentukan oleh pihak penyelenggara atau
pengelola. Apabila dari pihak user keluar dari batas-batas yang telah di
sepakati pada TOC ini maka pihak penyelenggara dapat memberikan sansi pada
pihak yang telah menyalahgunakan fungsi dari sistem yang dijalankan. Biasanya
dalam aturan Term & Condition sudah dijelaskan tentang Ketentuan Layanan,
Ketentuan Konten dan Jurnalisme Warga,begitu juga dengan etiket komunikasi dan
berinteraksi melalui komentar, baik berupa mengirimkan pesan, shout atau bahkan
didalam tulisan sendiri. Semuanya telah diatur, tapi ada beberapa yang bersifat
frivasi yanng hanya pengguna saja yangn mengetahuinnya. Etiket yang berlaku
ketika ada interaksi didalam pergaulan, menunjukan cara yang tepat atau
diharapkan untuk kalangan atau situasi tertentu.
Pada setiap organisasi, aturan ini
akan berbeda-beda tergantung kebijakan darisetiap organisasi tersebut dan
biasanya diatur dalam kode etik penggunaanfasilitas TI seperti halnya pada
penggunaan fasilitas internet di kantor, publick centre, maupun tempat pendidikan
seperti sekolah dan kampus.
Contoh
Kode Etik dalam Penggunaan Fasilitas Internet di Kantor
Kode etik yang mengikat semua anggota profesi
perlu ditetapkan bersama. Tanpa kode etik, maka setiap individu dalam satu
komunitas akan memiliki tingkah laku yang berbeda- beda yang nilai baik menurut
anggapanya dalam berinteraksi dengan masyarakat lainnya. Tidak dapat
dibayangkan, betapa kacaunya apabila setiap orang dibiarkan dengan bebas
menentukan mana yang baik mana yang buruk menurut kepentinganya masing masing,
atau menipu dan berbohong dianggap perbuatan baik, atau setiap orang diberikan
kebebasan untuk berkendaraan di sebelah kiri dan kanan sesuai keinginanya. Oleh
karena itu nilai etika atau kode etik diperlukan oleh masyarakat, organisasi,
bahkan negara agar semua berjalan dengan tertib, lancar dan teratur.
Terdapatnya fasilitas internet di
kantor dapat memudahkan karyawan untuk mencari informasi secara luas dan cepat.
Namun, penggunaan internet di kantor harus dibatasi karena karyawan tidak saja
menggunakan fasilitas internet untuk mencari informasi tentang pekerjaan yang
dibutuhkan tetapi untuk membuka situs jejaring sosial lainnya seperti facebook,
mengirim email ke sesama teman dalam jam kantor, chating, dan bahkan yang
sering kita lihat sekarang main game di jam kantor.
Hal ini dapat menurunkan kinerja
karyawan, oleh karena itu manajemen sebuah perusahaan membuat sebuah aturan
(kode etik) penggunaan internet pada jam kerja sehingga karyawan dapat di tuntut
fokus pada pekerjaan.
Kode etik penggunaan fasilitas
internet di kantor hampir sama dengan kode etik pengguna internet pada
umumnya, hanya saja lebih dititik beratkan pada hal-hal atau aktivitas yang
berkaitan dengan masalah perkantoran di suatu organisasi atau instansi.
Contohnya :
1. Menghindari penggunaaan fasilitas
internet diluar keperluan kantor atau untuk kepentingan sendiri.
2. Tidak menggunakan internet untuk
mempublikasi atau bertukar informasi internal kantor kepada pihak luar
secara ilegal.
3.
Tidak melakukan kegiatan pirating,
hacking atau cracking terhadap fasilitas internet kantor.
4.
Mematuhi peraturan yang ditetapkan
oleh kantor dalam penggunaan fasilitas internet.
Misalnya Internet hanya dapat
diakses setelah jam pulang, Yotube, 4Shared.com, twitter, chatting, dan
situs lainnya dengan cara memblokir situs-situs tersebut dari jam tertentu
misalnya dari jam 8:00 – 16:00. Pembatasan ini terkaiang kantor, membatasi
penggunaan internet / pengunaan situs tertentu misalnya facebookt dengan
penggunaan bandwidth dan hak akses.
Dengan menerapkan aturan tersebut,
diharapkan dapat meningkatkan kedisiplinan karyawan dalam penggunaan internet,
memaksimalkan kinerja karyawan pada jam kantor, tidak menggunakan fasilitas
internet untuk hal yang negatif, dan mematuhi peraturan yang berlaku di kantor
tersebut. Hal ini tentunya harus didukung juga oleh kesadaran dari karyawan itu
sendiri untuk bisa memanfaatkan sebaik-baiknya waktu dan layanan yang telah
diberikan oleh perusahaan, sehingga ada nilai timbal balik yang sama-sama
menguntungkan antara karyawan dan perusahaan.
Referensi
: