Sesuai dengan National Institute of Standards and Technology (NIST) Special Publication 80014, “Generally Accepted Principles and Practices for Securing Information Technology Systems,”. Siklus hidup pengembangan sistem (system development life cycle /SDLC) pada keamanan komputer adalah tahaptahap atau fase yang harus dilalui pada pengembangan keamanan computer melalui proses siklus hidup. Fase atau tahaptahap yang digunakan dalam prinsip dan praktek untuk sistem keamanan teknologi informasi adalah sebagai berikut :
1. Inisiasi (initiation). Merupakan fase awal yang dibutuhkan untuk menetapkan tujuan sistem seperti dokumentasi.
2. Pengambangan dan akuisisi (development/acquisition). Pada fase ini sistem dirancang, dibeli, diprogram, dikembangkan, atau dikonstruksikan.
3. Implementasi (Implementation). Merupakan fase dimana sistem ditest dan diinstall. Aktifitasnya termasuk menginstalasi dan mengendalikan, test keamanan, sertifikasi, dan akreditasi.
4. Operasi dan Pemeliharaan (Operation/Maintenance). Pada fase ini dimana sistem bekerja atau dijalankan. Sistem juga dilakukan modifikasi jika terjadi penambahan software atau hardware, dan memberikan identifikasi. Aktifitas lain yang dilakukan pada tahap ini adalah jaminan operasional dan adminsitrasi, auditing dan minitoring. 5. Penyelesaian dan Pembuangan(disposal). Fase ini merupakan bagian dari fase lifecycle yang melakukan disposisi pada informasi, hardware dan software. Aktifitas lain termasuk diantaranya adalah memindah (moving), mengarsipkan (archiving), menyingkirkan (discarding), atau memusnahkan (destroying) informasi dan sanitasi media. Gambar dibawah ini merupakan tahapan (fase) dari siklus hidup (lifecycle) sistem keamanan computer.
a. Inisiasi Inisiasi merupakan tahap awal sebuah proses keamanan, yang idealnya diimplementasikan dan diintegrasikan bersamaan ketika melakukan instalasi software sistem informasi. Namun pada kenyataanya bahwa proses keamanan dilakukan setelah sistem berjalan. Halhal yang dilakukan pada fase inisiasi yaitu : · Definisi Konseptual. Yaitu memahami ruang lingkup (boundary) dari tanggung jawab sistem keamanan yang harus dilakukan. · Penentuan Kebutuhan Fungsional. Yaitu melakukan spesifikasi detail dari tujuan ke target yang spesifik, seperti melakukan interview, review eksternal, analisis kesenjangan (gap) atau resiko. · Pengembangan Spesifikasi Proteksi. Yaitu menciptakan sebuah desain terperinci dari sistem keamanan yang akan diterapkan, dimulai dengan sebuah model sistem umum yang sesuai dengan tujuan. Kemudian mencari teknologi tertentu yang sesuai, konfigurasi, prosedur, dan perubahan untuk memenuhi target. Halhal yang dilakukan adalah rangkuman eksekutif, metodologi pemilihan, alternative, dan membuat rekomendasi. · Review desain. Merupakan tindakan untuk mempresentasikan desain dan implikasinya kepada para pengambil keputusan
b. Pengembangan dan Akuisisi Pada fase ini dilakukan pembelian sehingga perlu dirancang tool termasuk prototype dan sistem tes untuk melakukan verifikasi bahwa konfigurasi berfungsi dengan benar sesuai dengan harapan. Tindakan yang dilakukan berupa : · Review Komponen dan Code. Yaitu melakukan evaluasi dalam lingkungan laboratorium dan prototype. Langkahlangkah review yang dapat dilakukan adalah : Fungsionalitas Komponen. Yaitu melakukan verifikasi, bahwa teknologi sekuriti yang dipilih adalah benarbenar berfungsi sesuai dengan harapan. Konfigurasi Komponen. Menguji konfigurasi berjalan sesuai dengan yang direncanakan. Pemeliharaan Komponen. Menetapkan prosedur yang dapat dijalankan dan metode untuk pemeliharaan, updating, dan melakukan troubleshooting terhadap komponen. Review terhadap code. Yaitu tindakan akhir untuk mengeksplorasi bagian yang sensitive dan kritis dari code program untuk mencari bug atau masalah desain program yang fundamental. · Review Pengujian Sistem. Yaitu membuat prototype dan melakukan review terhadap tool dan teknologi, serta membuat prototype yang mewakili seluruh sistem. Hal ini akan membantu dalam : Fungsionalitas sistem. Langkah ini dapat mengungkapkan efek samping negatif yang sulit diprediksi sebelumnya, karena mencampurkan sebuah range teknologi dan konfigurasi yang bervariasi dari procedure yang ditetapkan sebelumnya. Konfigurasi Sistem. Hal ini dapat dilakukan dengan merubah konfigurasi yang disusun sebelumnya, sehingga dapat menemukan masalah dan kelemahan yang tersembunyi. Pemeliharaan Sistem. Yaitu melakukan pemeliharaan yang terencana, upgradeing, dan troubleshooting. Training Sistem. Yaitu melakukan pelatihan terhadap semua user yang menerapkan sistem keamanan yang serupa agar tindakan pengamanan computer dapat dilakukan pada semua lini. Implementasi Sistem. Yaitu menerapkan sistem secara sesunguhnya dan serentak, serta mempelajari kendala yang didapat selama implementasi. · Sertifikasi. Ini dilakukan ketika memverifikasi terhadap desain prototype telah berhasil, dan selanjutnya dapat dinyatakan layak untuk dapat melakukan tindakan yang utama yaitu implementasi.
c. Implementasi Merupakan fase penting dan utama dalam memperoleh tujuan keamanan computer. Implementasi dilakukan oleh Adminsitrator, user atau tim yang menyandang ‘sertifikasi’ (yang memperoleh kepercayaan) untuk melakukan penerapan keamanan pada komputernya sampai dengan melakukan tugastugas pengamanan dan pemantauan terhadap operasi keamanan yang berjalan. Implementasi dapat dilakukan dari mulai melakukan instalasi, melakukan pengetesan terhadap kemampuan operasi keamanan, sekaligus menerapkan administrasi operasinya. Fase implementasi, pada saat ini juga melakukan tindakan terhadap akreditasi terhadap sistem keamanan yang dibangun. Akreditasi untuk menunjukkan kemampuan, keandalan, dan jaminan (assurance) terhadap keamanan sistem. Akreditasi akan meyakinkan pada semua pengguna baik pada internal organisasi, terutama pada eksternal organisasi bahwa mereka akan merasa yakin atas sistem keamanan yang diterapkan pada organisasi tersebut, sehingga akan memberikan kepercayaan konsumen dalam melaksanakan transaksi bisnis yang memanfaatkan sistem keamanan computer. Contoh saja sistem perbankan yang memanfaatkan transaksi keuangan secara online, konsumen akan merasa aman dan nyaman dalam memanfaatkan teknologi computer online tersebut jika terdapat jaminan atau asuransi terhadap sistem keamanan bank tersebut. Akreditasi juga akan membantu meyakinkan kepada para pemegang saham misalnya untuk menanamkan modalnya. Sudah barang tentu bahwa akreditasi yang objektif harus dilakukan dan dikeluarkan oleh organiasasi atau perusahaan lain yang independent yang memiliki kemampuan dan memenuhi sertifikat sebagai akredator.
d. Operasi dan Pemeliharan Fase operasi merupakan fase untuk melakukan operasi rutin terhadap keberlangsungan sistem keamanan yang telah diimplementasikan. Pekerjaan operasi seperti memantau (monitoring) merupakan pekerjaan rutin yang harus dilakukan termasuk updateing, pemeliharaan, auditing, dan scanning, dan backup. Operasi juga melakukan tindakan untuk mempertahankan dan memulihkan sistem dari segala ancaman keamanan. Tindakantindakan yang dilakukan akan lebih banyak berupa pekerjaan adminsitrasi.
e. Penyelesaian dan Pembuangan Fase ini merupakan langkah akhir (penyelesaian) yang harus dilakukan dari tindakantindakan fase sebelumnya dari siklus hidup sistem keamanan komputer. Bukan berarti bahwa dengan melakukan langkah ini telah menyelesaikan segala sesuatunya terhadap sistem keamanan computer. Jika permasalahanpermasalahan timbul sewaktuwaktu, maka tindakan yang perlu dilakukan harus sesuai dengan kejadian yang timbul dan penanganannya sesuai dengan fase siklus hidup diatas. Fase Pembuangan, merupakan langkah yang harus dilakukan ketika menghadapi situasi yang mengharuskan memilih apakah yang digunakan adalah sistem yang baru atau sistem yang lama. Belum tentu bahwa sistem yang baru merupakan sistem yang lebih baik dari sistem yang sudah ada dan selama ini digunakan. Jika sebuah pilihan telah dibuat dalam fase ini maka tindakan yang dapat dilakukan adalah memindah sistem jika perlu yang baru, memindahkan backup atau data ke media seperti CD misalnya, memisahkan dokumen yang perlu dipisahkan atau mengarsipkan tersendiri, seperti dokumen yang pernah terkena serangan virus perlu dipisah untuk dilakukan monitoring, serta memusnahkan virus itu sendiri dari sistem.
KESIMPULAN
Tujuan sistem keamanan informasi akan dapat tercapai jika dalam tahapan pengamanan memenuhi prinsip rekayasa keamanan teknologi informasi. Tujuan dari prinsip rekayasa keamanan teknologi informasi (TI) adalah untuk memberikan gambaran tentang prinsip system level keamanan yang akan menjadi pertimbangan dalam merancang, mengembangkan, dan mengoperasikan pada sistem informasi. Prinsip keamanan informasi akan digunakan sebagai acuan dalam mengembangkan sistem keamanan dalam sebuah organisasi oleh para user, rekayasa sistem, spesialis IT, manajer program dan petugas keamanan sistem informasi. Prinsip tersebut memiliki 6 kelompok yaitu sebagai landasan keamanan, pokok keamanan, mudah digunakan, nyaman dan menyenangkan, dapat mengurangi ancaman serangan, serta digunakan untuk merancang dan menjaga keamanan. Selanjutnya dari prinsip yang telah ditentukan akan digunakan untuk landasan dalam pengembangan siklus hidup informasi yang meliputi tahapan inisiasi, pengembangan dan akuisisi, implementasi, operasi dan pemliharaan, penyelesaian dan pembuangan.
Tidak ada komentar:
Posting Komentar