Sistem Informasi harus CIA

Sistem Informasi merupakan aplikasi yang sangat berguna untuk membantu setiap penggunanya. Untuk itu harus dibangun sebaik mungkin agar para pengguna dapat menggunakannya dengan nyaman. Apalagi sistem informasi yang published di internet yang bisa diakses oleh semua orang di dunia harus benar-benar bisa menjamin semua fasilitas pelayanannya berjalan dengan baik. Untuk itu harus diperhatikan keamanan dari sistem informasi tersebut.

Beberapa syarat agar sistem informasi aman adalah harus CIA, yaitu:

1. Confidentiality/ Privacy : dimana data merupakan aset yang paling mahal dari suatu sistem, sehingga harus dijaga keamanannya. Tidak diberi kemudahan bagi penyusup untuk mencoba mengganggu atau menyusup ke sistem tersebut.
2. Integrity : dimana informasi yang ada didalamnya tidak berubah, sehingga tidak memberi keleluasaan setiap orang yang tidak berwenang untuk merubah informasi yang ada.
3. Availability :  informasi yang ditawarkan pada aplikasi harus selalu ada ketika dibutuhkan para penggunanya.

Namun kenyataannya masih banyak sistem informasi yang pada saat diakses masih ada masalah, misalnya: fasilitas/feature tidak berfungsi baik, masih ada error, tidak bisa download, data tidak uptodate, dan lain-lain. Untuk itu harus diperhatikan dengan baik ketika membangun sebuah aplikasi, terutama sistem informasi yang bisa diakses banyak orang.

Beberapa situs yang masih memiliki kelemahan adalah sebagai berikut:

1.  http://www.jabarprov.go.id/

Disitus ini fasilitas cari (search) tidak berfungsi. Pada saat dicoba mengetikkan sesuatu yang sebenernya kata itu ada di dalam informasinya tapi tidak menunjukannya. Hal ini tidak menunjukan syarat Availability.

  2.  http://www.polri.go.id/

Di situs ini saya melihat ada informasi yang tidak diupdate, padahal masyarakat mungkin ingin mengetahui atau membutuhkan informasi tersebut. Misalnya informasi tentang keriminal yang pernah ada di catatan Polri tidak ada dan angkanya nol semua. Hal ini tidak menunjukan syarat Availability.

 3.  http://www.pu.go.id/

Fasilitas akses untuk pengelola website atau Web Administrator alamatnya sangat umum dan mudah dicari ( http://www.pu.go.id/admin/ ), sehingga alamat ini memudahkan hacker/cracker untuk memasuki pintu rahasia pengelola informasi. Sebaiknya menggunakan alamat lain yang tidak lazim dan sulit ditebak, sehingga akan sesuai dengan syarat Confidentiality/Privacy.

4.  http://www.depdagri.go.id/

Pada situs ini terdapat fasilitas cari, ketika dilakukan pengetikan beberapa karakter sembarangan maka respon yang diberikan tidak memberi jawaban yang benar, tapi hanya menampilkan layar kosong, seperti pada tampilan berikut ini. Padahal sebaiknya apapun yang diketik harus memberikan respon tidak dapat terdapat kata yang dicari, walaupun karakternya sembarangan. Hal ini tidak menunjukan syarat Availability.

Tampilan berubah menjadi:

 Mohon maaf apabila sudah menampilkan beberapa contoh sistem informasi web based seperti yang ditampilkan di atas. Ini hanya sekedar memberi penilaian atau komentar agar bisa memperbaiki sistem informasi yang dimiliki setiap organisasi dalam rangka meningkatkan keamanan informasi.

Perlunya Roadmap dalam pengembangan IT suatu organisasi

Era reformasi memacu setiap organisasi pemerintah atau swasta untuk meningkatkan kinerja organisasi dengan memanfaatkan Teknologi Informasi atau Information Technology (IT). Setiap organisasi berusaha mengembangkan IT untuk membantu berbagai kegiatan yang ada di dalamnya, baik untuk kegiatan internal maupun pelayanan untuk external. Tak kalah serunya, di berbagai organisasi pemerintahan pengembangan IT dilakukan sebagai upaya untuk mendukung percepatan reformasi birokrasi dalam rangka pelayanan terhadap masyarakat.

Namun seringkali pelaksanaan pengembangan IT di berbagai organisasi tidak didukung oleh penyusunan Blue Print atau Roadmap Pengembangan IT yang seiring dengan kebutuhan dan visi/misi dari organisasi tersebut. Pelaksanaan pengembangan IT menjadi tak terarah, sering dilakukan berdasarkan ide-ide yang sedang trendy pada setiap masanya yang mungkin belum sesuai dengan kebutuhannya. Sehingga sering terjadi kegiatan pengembangan IT yang terkesan: “asal jadi”, “tambal sulam”, atau pelaksanaan suatu kegiatan yang sama yang dilakukan berulang-ulang, yang akhirnya menjadikan pemborosan biaya dan waktu yang mungkin mendapatkan hasil yang kurang maksimal.

Penyusunan Blue Print atau Roadmap Pengembangan IT pada suatu organisasi memang bukan merupakan hal yang mudah. Dalam pelaksanaannya diperlukan sebuah tim yang harus memahami akan kebutuhan serta visi/misi organisasi tersebut serta bisa menyusun sebuah dokumen Road Map Pengembangan IT yang seiring dengan kebutuhan organisasi, sehingga pengembangan IT akan terarah sesuai kebutuhan dan perkembangan organisasi yang dapat meningkatkan kinerja organisasi, sehingga visi dan misi organisasi bisa tercapai secara efektif dan efisien.

Dalam pelaksanaan pengembangan IT tersebut, sangat dibutuhkan seorang penggerak yang bisa bekerja sama dengan timnya untuk melakukan transformasi dari sistem konvensional (manual/ semi manual) menjadi sistem yang berbasis IT, yaitu Chief Information Officer (CIO). Disini seorang CIO harus bisa: memahami visi/misi dan kebutuhan organisasi, memberi penjelasan dan meyakinkan setiap komponen organisasi tentang pentingnya IT yang bisa meningkatkan kinerja organisasi, melakukan koordinasi dengan berbagai bagian organisasi untuk membangun sebuah sistem berbasis IT, serta berkoordinasi dengan tim pelaksana pengembangan IT untuk membangun sistem yang sesuai kebutuhan organisasi, sehingga pelaksanaan pengembangan IT akan tertata dan terarah dengan baik.

Tugas yang aneh … (implementasi Metoda Social Engineering)

”Saya ingin kalian mencari nomor telpon Sherina Munaf, terserah cara kalian gimana, saya ingin tau ‘aksi gila’ kalian gimana untuk mendapatkannya!!” Itu salah tugas dari dosen ku. Tugas yang aneh untuk jurusan Informatika, tapi dosen rock n’ roll yang satu ini cukup nyentrik. Beliau ingin tau upaya seperti apa yang bisa dilakukan mahasiswanya untuk mendapatkan sesuatu yang sulit, walaupun dengan cara atau aksi yang “gila-gilaan”, dan ternyata pada semester-semester yang lalu pernah memberi tugas yang sama ke para mahasiswa seniorku, hanya berbeda artis nya aja, seperti: Aming, Sule, dll, dan ternyata beberapa teman seniorku berhasil mendapatkan nomor ponsel artis-artis tersebut, karena katanya artis-artis tersebut masih relatif mudah untuk diminta nomor telponnya.

Nomor telpon Sina Sherina Munaf? Hmm…cukup sulit juga mendapatkan nomor telpon artis papan atas yang berkiprah di dunia entertainment sejak kecil ini. Kami coba cari di beberapa situs jejaring sosial seperti Twitter dan Facebook, namun hasilnya nihil, kami tidak berhasil mendapatkannya. Memang wajar sih kalo selebriti atau orang penting ga mungkin menampilkan nomor telpon di area umum seperti internet, karena menyangkut privasi mereka. Kami coba cari informasi ke teman-teman dan sodara-sodara yang masih ABG, namun tetap hasilnya nihil. Kemudian kami cari alamat rumah Sherina dan kami dapatkan, lalu kami coba cari ke Jalur Penerangan Telkom (108), tapi katanya alamat tersebut tidak memiliki nomor telpon. Kami coba cari-cari lagi di internet tapi hanya berhasil mendapatkan nomor telpon manajernya. Namun setelah kami coba kontak nomor tersebut tidak pernah diangkat oleh empunya, dan sms kami pun tak pernah dibalas.

Oh iya,,saya baru inget kalau saya punya teman yang bekerja di salah satu radio FM di Bandung. Saya coba kontak dia dan mohon bantuannya, tapi dia tidak bisa membantu banyak karena bukan bagian dari pemegang database nomor telpon di radio tersebut, dia hanya memberi nomor telpondan contact person suatu divisi di radio tersebut yang memegang database nomor telpon. Setelah itu saya coba telpon divisi tersebut dengan memperkenalkan diri saya serta mengaku sebagai saudara dari teman saya yang bekerja di radio tersebut, dan saya ceritakan kebutuhan saya dengan sejujurnya. Awalnya cukup sulit karena mereka harus menyimpan informasi yang bersifat privatif. Namun saya berusaha meyakinkan mereka supaya membantu saya agar saya tidak terancam ’Tidak Lulus’ untuk salah satu mata kuliah saya dan tidak terancam Drop Out. Setelah beberapa kali telpon radio tersebut, akhirnya mereka memberikan informasi yang diinginkan, dan saya harus berjanji tidak akan memberikan nomor tersebut kepada orang lain, apalagi jika digunakan untuk hal-hal yang tidak diinginkan. Tentunya saya harus pegang janji tersebut.

Selanjutnya saya coba telpon nomor tersebut untuk meyakinkan bahwa itu Sherina Munaf yang dicari. Namun saya coba telpon beberapa kali tidak pernah diangkat dan sms pun tidak dibalas. Setelah beberapa kali telpon akhirnya diangkat juga dan saya ceritakan sejujurnya kenapa saya harus telpon Sherina, itupun hanya bicara singkat dan alasan intinya tersampaikan. Dia minta supaya saya tidak memberikan nomor ponselnya kepada orang lain apa lagi digunakan untuk hal-hal yang tidak diinginkan.

Memang tugas ini cukup aneh dan lucu, sama sekali tidak ada hubungannya dengan jurusan informatika, tapi secara tidak langsung dosen kami ingin mendidik kami untuk belajar berupaya keras dalam mengerjakan tugas. Mungkin bisa aja ilmu IT nya dipake, misalnya melakukan hacking terhadap sistem informasi database nomor telpon atau profil orang-orang yang mungkin ada di Indonesia, tapi itu bisa dianggap kriminal karena mencuri data yang privatif dan tidak mungkin seorang dosen menyuruh mahasiswanya melakukan kriminal walaupun dia membebaskan kita untuk melakukan cara apa saja.

Namun sebenarnya ini merupakan salah satu bagian dari mata kuliah kami yaitu Keamanan Sistem Informasi, dimana kami harus mengetahui prilaku orang dalam mendapatkan informasi yang diinginkan walaupun data rahasia. Dalam mendapatkan suatu informasi ada beberapa metoda, salah satunya adalah Social Engineering. Metoda ini merupakan salah satu metode yang digunakan oleh hacker/cracker untuk memperoleh informasi tentang targetnya, dengan cara meminta informasi itu langsung kepada target atau pihak lain yang kemungkinan besar mempunyai informasi yang diingingkan. Metoda ini biasanya dilakukan dengan menggunakan media telepon atau internet untuk memperoleh suatu informasi yang dianggap rahasia atau privatif dengan cara menipu pemilik informasi itu atau apapun caranya. Pada metoda ini dapat dilakukan dengan cara menanyakan secara langsung informasi yang diinginkan kepada target, atau dapat melakukan dengan cara menciptakan situasi palsu dimana seseorang menjadi bagian dari situasi tersebut. Pada mata kuliah Sistem Keamanan Informasi ini ditugaskan untuk melakukan metoda social engineering, dimana tugasnya adalah mendapatkan nomor ponsel salah satu artis papan atas yang tentunya sangat sulit untuk mendapatkan salah satu informasi pribadinya.