Mengenal Istilah C.I.A dalam Suatu Sistem Informasi.

Belakangan ini kemajuan teknologi yang ada di dunia semakin pesat. Ini ditandai dengan semakin mudahnya kita dalam mengakses sebuah informasi. Namun, ada kalanya para developer melupakan sebuah parameter dasar yang sangat vital dalam sebuah sistem informasi. Parameter ini biasa disebut dengan C.I.A atau Confidentiality, Integrity dan Availability.

C.I.A adalah sebuah parameter umum yang digunakan untuk menilai baik atau buruknya sebuah keamanan pada suatu jaringan, yang ditinjau dari tiga aspek, yaitu : confidentiality (kerahasiaan), integrity (integritas) dan availability (ketersediaan) suatu informasi.

Berbeda dengan C.I.A lain yang merupakan singkatan dari Central Intelligence Agency atau salah satu badan intelejen Amerika Serikat, C.I.A yang satu ini terdapat pada sistem keamanan pada sebuah jaringan. Jadi, seorang developer harus selalu memperhatikan ketiga aspek ini jika ingin membuat sebuah jaringan (sistem informasi) yang baik.

Lalu, apa yang dimaksud Confidentiality, Integrity dan Availability ? 

1. Confidentiality (Kerahasiaan).
Confidentiality adalah suatu aspek yang menjamin kerahasian suatu data atau informasi. Ada banyak cara yang dapat dilakukan untuk menjaga aspek ini, antara lain :
       a. Proses enkripsi data.
       Hal ini dilakukan dengan menggunakan teknik kriptografi, yaitu sistem akan melakukan proses enkripsi (merubah) data yang akan dikirim agar tidak bisa dilihat oleh orang lain selama transmisi data. Kemudian, data ini akan di dekripsi sebelum diterima agar bisa kembali dibaca oleh user penerima.
       b. Otorisasi yang ketat.
       Sistem yang baik biasanya dilengkapi oleh halaman log in, agar sistem tersebut hanya bisa diakses oleh orang yang telah terdaftar saja. Selain halaman log in, sistem yang baik juga biasanya ditambahkan dengan verifikasi kode captcha, yaitu kode random yang berisi uji tantangan-tanggapan yang digunakan suatu sistem untuk memastikan bahwa jawaban tidak dihasilkan oleh suatu program komputer (atau biasa disebut bot).

Namun rata-rata, seorang developer lalai dalam menerapkan sistem keamanan ini. Kebanyakan dari mereka baru mengaplikasikan sistem keamanan ini setelah sistem selesai dibuat, sehingga pengamanan lebih sulit diintegrasikan dengan sistem yang ada. Penambahan pada tahap akhir ini menyebabkan sistem memiliki kemungkinan bug yang lebih besar, sehingga bisa dijadikan celah oleh orang-orang yang tidak bertanggung jawab untuk masuk kedalam sistem yang kita buat.

2. Integrity (Integritas).
Integrity adalah suatu aspek yang menjamin bahwa data atau informasi tidak boleh berubah tanpa seizin pemilik data ataupun pihak yang berwenang. Keaslian dari data atau informasi yang dimiliki seseorang telah menjadi incaran baru bagi orang-orang yang tak bertanggung jawab. Namun secara teknis, ada beberapa hal yang dapat dilakukan untuk menjamin aspek ini, antara lain : menggunakan messange authentication code, hash function, digital signature, dan watermark.

3. Avialability (Ketersediaan).
Availability adalah suatu aspek yang menjamin ketersediaan sumber data atau informasi kapan pun data atau informasi tersebut dibutuhkan. Ketidaktersediaan data atau informasi yang dibutuhkan bisa disebabkan karena hal yang tak disengaja maupun hal yang disengaja. Hal yang tak disengaja meliputi bencana alam, kerusakan sistem (server), jaringan yang terputus atau lain-lain. Sedangkan hal yang disengaja antara lain serangan atau attack dari orang-orang yang tidak bertanggung jawab (hacker). Untuk mengurangi kemungkinan terjadinya hal-hal tersebut, maka harusnya seorang developer memperhatikan aspek-aspek keamanan seperti :
       - memback up data dari server secara rutin,
       - menggunakan dual server yang mana server salah satu server akan menjadi server cadangan apabila server utama terjadi kerusakan,
       - memasang aplikasi tracking pada jaringan agar dapat langsung mengambil tindakan apabila terdapat hal-hal yang mencurigakan pada sistem kita.

Apa contoh dari Confidentiality, Integrity dan Availability ini ? 

Contohnya bisa kita ambil dari sistem akademik di sebuah universitas (SIAK) yang berisi transkrip nilai, tugas-tugas mahasiswa, ataupun file-file penting lainnya. Sistem ini harusnya mencakup 3 aspek yang telah disebutkan diatas. Misalnya, sistem ini haruslah menjaga kerahasiaan (confidentiality) data dari karyawan, mahasiswa ataupun dosen dari universitas tersebut agar tidak sembarangan orang yang dapat mengaksesnya. Biasanya, tiap-tiap sistem akademik akan menggunakan form log in yang melalui jaringan aman (https) yang nantinya akan melakukan enkripsi dari data-data yang nasabah masukkan kedalam form log in tersebut, sehingga orang lain akan lebih sulit untuk menyadap data log in dari user.

Selanjutnya, bila dilihat dari sisi integrity, sudah jelas bahwa suatu sistem akademik juga harus memiliki aspek ini. Karena bila keaslian data seorang user dapat berubah tanpa izin, pasti akan menimbulkan kerugian yang sangat besar. Misalnya, seorang mahasiswa masuk ke panel admin sistem akademik melalui jaringan yang tanpa izin, lalu mahasiswa tersebut merubah salah satu nilai miliknya karena dirasa kurang memuaskan, hal ini jelas akan merugikan kedua belah pihak, entah itu dari dosen yang bersangkutan ataupun mahasiswa itu sendiri.

Selain itu, untuk aspek yang ketiga (avialability), sebuah sistem akademik harus selalu uptime. Karena masing-masing user memiliki kebutuhan berbeda yang berhubungan dengan sistem akademik ini. Misalnya seorang mahasiswa harus mengakses sistem akademik karena ingin mendapatkan transkrip nilai miliknya, guna mengajukan berkas-berkas beasiswa. Hal ini jelas akan merugikan bila server sistem akademik tersebut tidak dapat diakses untuk waktu-waktu teretentu.

Well..... mungkin cukup sekian postingan tentang C.I.A kali ini. Selalu ingat kata 'bang napi' : kejahatan terjadi bukan hanya karena ada niat pelakunya, tapi juga karena ada kesempatan. So, jangan pernah sepelekan masalah keamanan pada sistem yang kita buat, karena sekecil apapun celah yang ada pada sistem, maka akan menimbulkan kesempatan bagi orang-orang yang tidak bertanggung jawab untuk beraksi. Semoga postingan bermanfaat. :)

Oh ya satu lagi, buat kalian yang mau tau lebih lanjut tentang keamanan jaringan bisa di buka situs idsirtii.or.id. Karena seperti yang dikutip dari salah satu artikel di situs tersebut :

"Id-SIRTII memiliki tugas pokok melakukan sosialisasi dengan pihak terkait tentang IT security (keamanan sistem informasi), melakukan pemantauan dini, pendeteksian dini, peringatan dini terhadap ancaman terhadap jaringan telekomunikasi dari dalam maupun luar negeri khususnya dalam tindakan pengamanan pemanfaatan jaringan, membuat/menjalankan/mengembangkan dan database log file serta statistik keamanan Internet di Indonesia."

PS : This post is made as my assignment, and I think it's my first serious post on this blog. I hope you enjoy it. hehehe. :D