Manajemen-ti.com — Terdapat berbagai cara untuk mengamankan sebuah sistem serta informasi yang dikelolanya dari pengaksesan oleh pihak-pihak yang tidak berhak. Pengamanan sistem/informasi pada intinya adalah melindungi sistem/informasi agar tetap terjaga kerahasiaannya, integritasnya, serta ketersediaannya untuk digunakan ketika dibutuhkan. Teknik pengamanan secara umum didasarkan atas 3 (tiga) hal, yaitu: (1) apa yang anda ketahui (what you know), contohnya: password; (2) apa yang anda miliki (what you have), contohnya: kartu pintar; dan (3) siapa anda (what you are), contoh: sidik jari, retina, dll. Masing-masing memiliki kekuatan dan kelemahannya masing-masing, dan masing-masing juga dapat dikombinasikan untuk memperkuat pengamanan.
Dalam penerapan teknik-teknik tersebut biasanya juga dipertimbangkan “Hukum Kekekalan Keamanan” yaitu bahwa keamanan sistem berbanding terbalik dengan kenyamanan. Artinya semakin tinggi tingkat pengamanan sistemnya, maka akan semakin mengurangi kenyamanan/kemudahan dalam penggunaannya karena semakin banyak “lapisan pengamanan” yang harus dilewati, diingat, atau dibawa oleh penggunanya. Oleh karena alasan tersebut, maka teknik pengamanan yang paling klasik dan “sederhana” seperti password menjadi mode pengamanan yang paling populer digunakan. Sehingga menerapkan aturan pengamanan password menjadi penting dan berdampak signifikan terhadap keamanan sistem. Pada tulisan kali ini saya coba sampaikan beberapa prinsip umum aturan password yang biasa diperiksa oleh seorang Auditor untuk memastikan risiko eksploitasi keamanan pada sistem berbasis password dapat diminimalkan.
(Baca juga: Audit Kontrol Pengaksesan Data)
Prinsip pertama adalah tingkat kemudahan password tersebut untuk ditebak berdasarkan panjang password-nya. Semakin pendek sebuah password, semakin mudah password tersebut ditebak dan semakin cepat waktu yang dibutuhkan oleh haccker untuk memecah password dengan tools hacker yang banyak tersedia. Konsensus umum yang banyak diberlakukan adalah bahwa sebuah password mesti setidaknya terdiri dari 8 karakter untuk memperoleh tingkat keamanan yang cukup.
Prinsip kedua terkait dengan kekuatan dari password. Kekuatan yang dimaksud disini adalah terkait dengan kompleksitas karakter yang digunakan dalam membentuk sebuah password. Password sebaiknya tidak menggunakan kata-kata yang ada di kamus, nama-nama yang mudah ditebak atau hanya terdiri dari huruf kecil saja dari huruf-huruf alfabet. Untuk meningkatkan kekuatan dari password, perlu dikombinasikan antara huruf kapital dan huruf kecil, angka (setidaknya 1) dan karakter spesial (setidaknya 1) untuk menambah kompleksitas password sehingga menjadi cukup sulit untuk ditebak atau di-hack. Seringkali saking kompleksnya sampai-sampai pemilik password pun sulit mengingatnya.
Prinsip ketiga adalah untuk mencegah akses yang tidak berhak melalui teknik yang disebut “piggy-backing”, yang biasanya disebabkan seorang user yang meninggalkan komputer kerjanya tanpa log-off terlabih dahulu. Lalu pada saat tersebut ada orang lain yang melakukan akses pada sistem untuk melakukan sesuatu. Untuk meminimalisir kemungkinan ini, sistem dapat menggunakan fitur seperti “auto-logoff” jika dalam waktu tertentu user tidak aktif berinteraksi dengan sistem. Berapa lama waktu “time-out” ini tergantung pada kritikalitas dari sistem dan ragam kultur dari penggunanya. Biasanya sistem seperti Internet-Banking memiliki waktu time-out yang cukup singkat.
Prinsip keempat terkait dengan respon sistem terhadap usaha akses pada sistem yang gagal. Yaitu ketika seseorang salah memasukkan informasi saat login, bagaimana sistem merespon terhadap hal ini. Sistem perlu memblokir akun yang gagal melakukan usaha login sebanyak misalnya 3 kali, dengan asumsi bahwa hal ini terjadi karena ada percobaan akses ilegal melalui menebak-nebak password. Walau seringkali karena memang user yang berhak tapi terlupa passwordnya. Untuk ini mesti ada mekanisme recovery nya seperti fasilitas “forgot password”.
Prinsip kelima terkait dengan durasi lockout. Administrator sistem biasanya dapat mengatur lama waktu yang dibolehkan pada setiap orang untuk mengakses sistem sebelum diminta untuk melakukan login ulang. Durasi ini dapat diatur diseseuaikan dengan kritikalitas sistem dan data.
Prinsip keenam terkait dengan akun dari karyawan atau anggota organisasi yang sudah berhenti. Seringkali karena berbagai sebab banyak organisasi terlupa untuk menghapus hak akses mantan karyawan atau anggota organisasinya. Mesti ada kebijakan dan prosedur yang memadai untuk memastikan bahwa hak akses karyawan yang sudah berhenti untuk segera dihapus. Bisa saja Auditor melacak hal ini melalui log sistem untuk melihat riwayat akses mantan-mantan pegawai perusahaan itu kapan terakhir mereka mengakses dan kapan ia dihapus.
Prinsip ketujuh terkait dengan penerapan prinsip segregation of duties (SoD) untuk orang-orang yang bertanggung-jawab terhadap kebijakan password, setting dan konfigurasi password untuk tidak melakukan tugas, aktifitas dan fungsi-fungsi yang tidak sesuai. Misalnya, pihak yang memonitor perubahan pada kebijakan-kebijakan password serta perubahan-perubahan yang terjadi pada hak akses mesti dipegang oleh seseorang selain administrator yang melakukan perubahan. Supaya mekanisme kotnrol dapat berjalan.
(Baca juga: 8 Indikator Utama Kematangan Fungsi Audit Internal)
Demikianlah beberapa prinsip penting yang sering digunakan dalam memeriksa/mengaudit apakah pengelolaan kontrol keamanan sistem dan data yang berbasis pada password telah diterapkan dengan cukup memadai. Terdapat beberapa tools yang dapat digunakan untuk membantu melakukan hal ini. Tapi memahami prinsip-prinsip ini jauh lebih penting dibanding sekedar menggunakan tools yang tersedia. Setuju, kan?[manajemen-ti]
Oleh: Umar Alhabsyi, MT, CISA, CRISC.
Merupakan konsultan senior IT Management, pendiri sekaligus direktur iValueIT Consulting (PT IVIT Konsulindo).
twitter: @umaralhabsyi.
1 comment on "Prinsip umum Audit Manajemen Password"