Bimbingan Teknis (Bimtek) Kesadaran Keamanan Informasi Bagi Pengguna di Lingkungan Pemerintah Kabupaten (Pemkab) Bojonegoro yang digelar Dinas Komunikasi dan Informatika di Partnership room lantai 4 Gedung Pemkab Bojonegoro, Kamis (21/11/2019) menghadirkan narasumber Moh. Noor Al-Azam yang merupakan Dosen dan Peneliti pada Fakultas Ilmu Komputer Universitas Narotama dan juga sebagai Branch Manager PT. Rahajasa Media Internet.

Moh Noor Al-Azam di awal paparannya menunjukkan kepada peserta bimtek bahwa dirinya menggunakan laptop yang dijamin original dimana tidak memakai sistem operasi microsoft windows, melainkan memakai Macintosh yang berbasis Unix. “Tapi yang ingin saya tunjukkan bahwa saya  menggunakan Libre Office. Ini adalah salah satu dari program office. Kalau biasa menggunakan microsoft office, ini adalah salah satu penggantinya. Sifatnya ‘libre’ (bebas), bebas didownload, bebas dimodifikasi. Bentuknya hampir sama dengan program office biasanya (microsoft office). Jadi mulai sekarangpun sebenarnya menggunakan program office yang legal dan asli tapi memang bukan produk microsoft”, terangnya.

Moh Noor Al-Azam mengungkapkan jika materi kuliah keamanan informasi umumnya selama tiga semester, sedangkan di Pemkab Bojonegoro dirinya akan menyampaikan selama tiga jam. “Bruce Snell salah satu tokoh keamanan komputer, keamanan informasi di dunia. Beliau mengatakan ‘security is not a product, security is process’. Jadi keamanan bukan produk, tapi proses. Yang penting sebenarnya adalah proses dan proses itu memang paling sulit, karena kita harus merubah mindset. Belum lagi seperti yang disampaikan Kadin Kominfo bahwa keamanan berbanding terbalik dengan kenyamanan. Kalau kita mau aman harus melalui proses yang berbelit-belit. Proses ini yang memang harus kita lakukan”, terangnya.

Sasaran keamanan informasi, suatu kegiatan yang harus rutin dilakukan untuk seluruh stakeholder sebuah organisasi. Di luar negeri sudah menjadi kebiasan, setiap periode selalu ada bimtek untuk semua karyawan, vendor, stakeholder organisasi. “Karena data itu adalah software, tidak bisa dikunci seperti kita mengamankan kunci. Kalau data meski bisa dikunci, tapi masih ada kabel untuk mengaksesnya dari jauh. Ini harus disadari oleh semua stakeholder semua organisasi nilai data sangat tinggi, harus kita lindungi”, tandasnya.

Berbicara tentang keamanan data, kita pasti akan membahas konsep keamanan informasi yaitu CIA Triad (Confidentiality, Integrity, dan  Availability). Semua informasi harus Confidence, memiliki kerahasian. Kerahasian dalam hal ini adalah informasi yang kita miliki pada sistem/database kita, adalah hal yang rahasia dan pengguna atau orang yang tidak berkepentingan tidak dapat melihat/mengaksesnya. Ancaman yang muncul dari pihak yang tidak berkepentingan terhadap aspek confidentiality antara lain:

Password strength (lemahnya password yang digunakan, sehingga mudah ditebak ataupun di-bruteforce); Malware (masuknya virus yang dapat membuat backdoor ke sistem ataupun mengumpulkan informasi pengguna); Social engineering (lemahnya security awareness pengguna dimana mudah sekali untuk ‘dibohongi’ oleh attacker, yang biasanya adalah orang yang sudah dikenalnya).

Cara yang umum digunakan untuk menjamin tercapainya aspek confidentiality adalah dengan menerapkan enkripsi. Enkripsi merupakan sebuah teknik untuk mengubah file/data/informasi dari bentuk yang dapat dimengerti (plaintext) menjadi bentuk yang tidak dapat dimengerti (ciphertext), sehingga membuat attacker sulit untuk mendapatkan informasi yang mereka butuhkan. Enkripsi harus dilakukan pada level media penyimpanan dan transmisi data.

Kedua adalah Integrity, maksudnya adalah data tidak dirubah dari aslinya oleh orang yang tidak berhak, sehingga konsistensi, akurasi, dan validitas data tersebut masih terjaga. Integrity mencoba memastikan data yang disimpan benar adanya, tidak ada pengguna yang tidak berkepentingan atau software berbahaya yang mengubahnya. Integrity berusaha untuk memastikan data diproteksi dengan aman dari ancaman yang disengaja (serangan hacker) maupun ancaman yang tidak disengaja (misal. kecelakaan). Data kita integritasnya harus tinggi.

Integrity dapat dicapai dengan menerapkan strong encryption pada media penyimpanan dan transmisi data; Menerapkan strong authentication dan validation pada setiap akses file/akun login/action yang diterapkan. Authentication dan validation dilakukan untuk menjamin legalitas dari akses yang dilakukan; Menerapkan access control yang ketat ke sistem, yaitu setiap akun yang ada harus dibatasi hak aksesnya. Misal tidak semua memiliki hak akses untuk mengedit, lainnya hanya bisa melihat saja.

Ketiga, Availability, maksudnya adalah memastikan sumber daya yang ada siap diakses kapanpun oleh user/application/sistem yang membutuhkannya. Di saat kita akan menggunakan data kita pasti selalu ada, tidak peduli disimpan di server mana, di directory sebelah mana, di file mana. Pokoknya saat dibutuhkan kita tinggal klik untuk mengambilnya.

Untuk memastikan tercapainya aspek availability, organisasi bisa menerapkan : disaster recovery plan (memiliki cadangan baik tempat dan resource, apabila terjadi bencana pada sistem); redundant hardware (misal memiliki banyak power supply); RAID (salah satu cara untuk menanggulangi disk failure); dan data backup (rutin melakukan backup data)

CIA Triad harus ada dalam sebuah data. Ketiga hal dalam CIA triad itu merupakan sumber dari serangan hacker. Ketiganya (confidentiality, integrity, availability) harus tercapai dan terlindungi untuk menciptakan suatu sistem yang bisa dibilang aman walaupun kenyataannya tidak ada sistem yang benar-benar aman. (Nuty/Dinkominfo)