Kamis, 26 November 2015

Analisis SiPKoKI ISO 27001: Sistem Pemilihan Kontrol Keamanan Informasi Berbasis ISO 27001; Indri Sudanawati Rozas dan Riyanarto Sarrno; Jurusan Teknik Informatika, Institut Teknologi Sepuluh Nopember Surabaya.

1.      ISO 27001
ISO/IEC 27001 adalah standar SMKI yang diterbitkan pada Oktober 2005 oleh International Organization for Standarization dan International Electrotechnical Commission. Standar ini menggantikan BS-77992:2002. ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga pemerintahan, dan juga lembaga nirlaba).
ISO/IEC 27001: 2005 berisi penjelasan tentang syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara serta mendokumentasikan SMKI dalam konteks resiko bisnis organisasi. SMKI yang baik akan membantu memberikan perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi (Syafrizal, 2009). Implementasi SMKI juga akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang tidak lama.
Dalam ISO 27001 ada 11 aspek atau yang biasa disebut sebagai clauses, dimana di dalamnya terbagi lagi menjadi 133 kontrol yang harus ada dalam setiap perusahaan dalam usahanya mengimplementasikan konsep keamanan informasi. Kontrol dalam hal ini adalah hal-hal berupa proses, prosedur, kebijakan maupun tool yang digunakan sebagai alat pencegahan terjadinya sesuatu yang tidak dikehendaki oleh adanya konsep keamanan informasi.

2.      Bayesian network
Bayesian network atau bayesian belief network dikenal juga dengan sebutan belief networks, causal probabilistic networks, causal nets, graphical probability networks, dan probabilistic infuence diagrams (Olmus, 2004). Bayesian network (BN) adalah sebuah probabilistic graphical model (PGM) dengan busur berarah yang digunakan untuk merepresentasikan pengetahuan tentang hubungan kebergantungan (dependency) atau kebebasan (independency) diantara variabel-variabel dari domain persoalan yang dimodelkan. BN terdiri dari dua bagian utama, yaitu bagian struktur graf dan himpunan parameter. Kedua bagian BN tersebut dijelaskan sebagai berikut:

a.       Struktur graf
Struktur graf BN disebut dengan directed acyclic graph (DAG) yaitu graf berarah tanpa siklus. DAG terdiri dari simpul dan busur. Simpul merepresentasikan variabel acak, dan busur merepresentasikan adanya hubungan kebergantungan langsung (dapat pula diinterpretasikan sebagai pengaruh (sebab akibat) langsung, di antara variabel yang dihubungkannya. Tidak adanya busur menandakan adanya kebebasan kondisional di antara variabel. Struktur BN disebut juga sebagai representasi kualitatif yang menyatakan keterhubungan di antara variabel-variabel yang dimodelkan.

    b.      Himpunan parameter
Himpunan parameter mendefinisikan distribusi probabilitas kondisional untuk setiap variabel. Setiap variabel acak direpresentasikan oleh sebuah simpul. Pada setiap simpul terdapat tabel yang berisikan distribusi probabilitas kondisional yang disebut dengan conditional probability table (CPT). Pada setiap sel dari tabel tersebut berisikan probabilitas kondisional dari nilai-nilai simpul yang diwakilinya jika diketahui setiap kombinasi nilai semua simpul parent kecuali pada akar (root). Himpunan parameter disebut juga sebagai representasi kuantitatif yang menyatakan nilai probabilistik pada variabel-variabel yang dimodelkan

        c.       Cosine similarity
Cosine similarity adalah salah satu metode perhitungan similarity yang paling populer untuk diterapkan pada dokumen teks. Kelebihan utama dari metode cosine similarity adalah tidak terpengaruh pada panjang pendeknya suatu dokumen. Karena yang diperhitungkan hanya nilai term dari masing-masing dokumen. Karakteristik tersebut sangat sesuai dengan penelitian ini, dimana daftar threat merupakan dokumen yang sangat pendek namun terdiri dari term-term yang utama sedangkan dokumen ISO/IEC 27001 terdiri dari kalimat-kalimat yang panjang. Persamaan dari cosine similarity adalah:

3.      SiPKoKI
SiPKoKI (Sistem Pemilihan Kontrol Keamanan Informasi) adalah sebuah sistem yang akan memberikan rekomendasi kepada user apabila data-data gangguan keamanan dimasukkan. SiPKoKI mempunyai mekanisme yang digambarkan dengan skema sebagaimana pada Gambar
a.       User input
Untuk mendapatkan rekomendasi yang sesuai dengan kondisi di lapangan, user terlebih dahulu harus memasukkan beberapa parameter yang diperlukan oleh SiPKoKI. Diantaranya adalah:
-          daftar threat yang pernah terjadi di perusahaan,
-          nilai conditional probability table dari masing-masing threat ke dalam struktur bayesian
      network SipKoKI,
-          term yang dianggap mewakili kata-kata pada nama threat pada poin pertama. SiPKoKI
      mengijinkan user untuk memasukkan term lebih dari satu guna memberikan gambaran yang 
      lebih jelas  mengenai threat yang terjadi.

Setelah ketiga data tersebut dimasukkan oleh user maka SiPKoKI akan menyimpannya ke dalam database untuk kemudian dijadikan dasar perhitungan dan rekomendasi yang tepat berdasarkan dokumen ISO 27001.

b.      Preprocessing dokumen ISO 27001
Dokumen ISO 27001 harus dipecah menjadi 133 dokumen berformat .txt terlebih dahulu sebelum diproses oleh SiPKoKI. Hal ini karena SiPkoKI akan melakukan perhitungan kesesuaian data  term semua threat yang dimasukkan oleh yser dengan masing-masing kontrol ISO pada tiap dokumen. Nilai cosine similarity yang paling besar antara dokumen dengan threat kemudian akan dijadikan kontrol rekomendasi.

     c.       Bayesian network inference
Perhitungan resiko (risk assesement) pada SiPKoKI dilakukan dengan mekanisme bayesian network inference, dimana masing-masing threat dengan nilai prior dan conditional probability-nya akan memberikan kontribusi terhadap hasil akhir perhitungan resiko gangguan keamanan.

     d.      Melakukan pencarian term dan bobot TF
Pada langkah satu telah disebutkan bahwa user memasukkan term yang dianggap mewakili masing-masing threat. Dengan menggunakan term yang dimasukkan user tersebut maka SiPKoKI melakukan pencarian bobot term frequency (TF) pada masing-masing dokumen kontrol ISO 27001.

     e.       Perhitungan cosine similarity
Dengan menggunakan term dan TF yang diperoleh pada langkah empat, maka nilai cosine similarity dapat dihitung. Perhitungan dilakukan dengan menggunakan persamaan (1). Hasil perhitungan cosine similarity akan memiliki nilai dengan rentang 0 sampai dengan 1.

     f.        Memberikan rekomendasi
Berdasarkan nilai cosine similarity yang terbesar dari langkah ke lima, maka SiPKoKI akan menampilkan nama kontrol ISO 27001 yang paling sesuai dengan data yang dimasukkan oleh user.

4.      Pembentukan Struktur Bayesian network
Sebelum SiPKoKI menjadi sebuah sistem yang siap digunakan, ada satu hal mendasar yang menjadi titik fokus penelitian ini, yaotu pembentukan master struktur bayesian network (MSBN). Hal ini penting un tuk dilakukan karena MSBN inilah yang akan menjadi dasar bagi user memasukkan input data threat ke dalam SiPkoKI. Menurut (Chain, 2001) ada 12 (dua belas) langkah yang diperlukan untuk membentuk sebuah sistem pendukung pengambilan keputusan menggunakan struktur bayesian network yang valid. Langkah-langkah tersebut adalah:
-          Memastikan tujuan dan relevansi dipilihnya bayesian network.
-          Memastikan siapa stakeholder yang berkepentingan.
-          Memulai konsultasi dengan stakeholder.
-          Membangun desain awal bayesian network
-          Melakukan diskusi lebih lanjut dengan stakeholder berdasar desain bayesian network.
-          Memastikan solusi dari diskusi pada langkah 5.
-          Melakukan workshop dengan stakeholder mengenai sudut pandang bayesian network yang 
      dibentuk.
-          Melengkapi struktur bayesian network berdasarkan langkah 7.
-          Membentuk Master Struktur Bayesian Network (MSBN)
-          Mengumpulkan nilai CPT.
-          Membuat sistem berdasarkan MSBN
-          Meminta pendapat stakeholder mengenai sistem yang telah dibangun.

Berdasarkan ke dua belas langkah tersebut penelitian ini melakukan 5 (lima) langkah untuk mendapatkan master Struktur Bayesian Network (MSBN). Lima langkah tersebut dijabarkan sebagai berikut:

a.       Menentukan daftar threat
Dalam penelitian ini daftar threat yang digunakan sebagai dasar adalah katalog Magerit dan ISO/IEC 27005 (Rahmad, 2010).

b.      Membentuk MSBN
Setelah memiliki daftar threat sebagaimana Tabel 1 maka langkah selanjutnya adalah membentuk notasi grafis untuk network bayesian yang mewakili kondisi di lapangan. Tidak semua threat pada Tabel 1 akan muncul pada notasi grafs MSBN yang terbentuk. Hal ini karena setiap perusahaan memiliki daftar threat sendiri yang unik.

     c.       Pengumpulan data prior
Setelah diperoleh MSBN yang akan digunakan dalam proses inferfensi, maka langkah selanjutnya adalah mengumpulkan data prior dari masing-masing threat yang digunakan.

     d.      Menentukan nilai CPT
Conditional probability table (CPT) adalah tabel probabilitas untuk masing-masing node. Nilai tersebut diperlukan untuk melakukan perhitungan akhir nilai probabilitas suatu kejadian yang terekam dalam bentuk bayesian network.

     e.       Validasi struktur bayesian network
Setelah seluruh tahapan tersebut dilakukan langkah selanjutnya adalah melakukan validasi. Validasi dilakukan dengan mempresentasikan MSBN pada SiPKoKI kepada stakeholder yang memasukkan nilai prior dan CPT. Dengan seluruh nilai prior dan CPT yang telah dimasukkan, SiPKoKI akan menghasilkan nilai resiko. Nilai resiko ini yang akan divalidasi oleh stakeholder. Jika ada yang dianggap masih kurang sesuai, maka akan dilakukan revisi terhadap nilai prior dan CPT.

5.      Program SiPKoKI
Terdapat enam menu dalam SiPKoKI yaitu network, threats, attack types, assets, links dan inference. Lima menu pertama merupakan menu dimana user harus memasukkan data sesusia yang terjadi di lapangan. Sedangkan menu SIPKoKI yang menghasilkan rekomendasi terdapat pada menu inference.

6.      Hasil dan Pembahasan
Untuk melihat sejauh mana keberhasilan sistem yang dibuat, maka dilakukan serangkaian ujicoba terhadap hasil rekomendasi SiPKoKI. Berdasarkan data yang dimiliki oleh Puskom ITS terdapat 8 (delapan) jenis asset yang perlu dilakukan perhitungan resiko dan juga dicari rekomendasinya. Untuk itu ujicoba dan pembahasan dibagi berdasarkan masing-masing asset, dimana pada masing-masing asset akan membahas mengenai tiga hal yaitu hasil perhitungan resiko, hasil rekomendasi SiPKoKI dengan term standar, dan terakhir hasil rekomendasi SiPKoKI dengan term yang diperbaiki (extended term).

     a.       Relevansi Hasil Perhitungan Resiko
Relevansi hasil perhitungan resiko untuk kasus Puskom ITS disajikan pada Tabel 2. Dengan menggunakan data threat dan CPT yang diberikan oleh pakar Puskom ITS SiPKoKI melakukan perhitungan probability resiko terhadap masing-masing aset. Setelah didapatkan nilai probability kemudian dilanjutkan dengan memetakiannya ke dalam matriks resiko sehingga didapatkan estimasi resiko. Hasil relevansi antara estimasi resiko dan resiko yang dihitung oleh SiPKoKI didapatkan dari pakar. Jika menurut pakar estimasi yang diberikan sesuai maka akan dikategorikan ke dalam kategori ‘relevan’.

     b.      Relevansi Rekomendasi Kontrol ISO 27001
SiPKoKI menghasilkan dua jenis rekomendasi kontrol keamanan informasi berbasis ISO 27001. Rekomendasi yang pertama adalah yang dihasilkan oleh term standar sedangkan yang kedua adalah extended term yang dimasukkan ke dalam sistem. Berdasarkan kedua jenis term tersebut, untuk masing-masing asset diperoleh nilai relevansi yang berbeda.
Penentuan klasifikasi relevansi didasarkan pada hasil penelitian (Brewer, 2010). Penelitian (Brewer, 2010) menghasilkan analisis terhadap kegunaan masing-masing kontrol ISO 27001 dengan kejadian di lapangan. Dari uji relevansi terhadap penelitian (Brewer, 2010). Sebaran nilai relevansi dari 8 buah asset yang dimiliki.

     c.       Nilai Cosine similarity SiPKoKI
Untuk menghasilkan kontrol rekomendasi, SiPKoKI menggunakan nilai cosine similarity sebagai dasar pertimbangan. Nilai cosine similarity tertinggi antara term pada threat dan term dokumen ISO 27001 akan menjadi prioritas pertama rekomendasi. Dari nilai cosine yang dihasilkan, didapatkan perbedaan yang cukup signifikan apabila term yang digunakan adalah term standar dan extended term. Hasil cosine similarity tersebut

7.      Kesimpulan
Dari hasil penelitian ini dapat disimpulkan bahwa:
-          SiPKoKI dapat membantu melakukan perhitungan probability resiko dari data yang dimasukkan.
-          SiPKoKI dapat membantu pihak internal perusahaan memilih kontrol keamanan informasi 
      berbasis ISO 27001 yang sesuai dengan kejadian di lapangan.

8.      Pustaka
-          Brewer, D., (2010). Insight into the ISO/IEC 27001 Annex A. Report. Gamma Secure System 
      Limited.
-          Chain, J., (2001). Planning improvements in natural resources management. Published by the 
      Centre for Ecology & Hydrology Crowmarsh Gifford, Wallingford, Oxon, OX10 8BB, UK. 
      August 2001. ISBN 0903741009.
-          Rahmad B., dkk., (2010). Threat Scenario Dependency-Based Model of Information Security 
      Risk Analysis, International Journal of Computer Science and Network Security, IJCSNS vol.10
      No.8, August 2010.
-          Syafrizal, M., (2009). Information Security Management System (ISMS) Menggunakan Standar 
      ISO/IEC 27001:2005. Jurnal DASI Vol. 10 No.1 Maret 2009.
-          Olmus, H. dan Erbas, SO., Determining The Conditional Probabilities In Bayesian networks, 
      Hacettepe Journal of Mathematics and Statistics Volume 33 (2004), halaman 69 – 76.
-     http://webcache.googleusercontent.com/search?q=cache:XFJI0Ov9aD8J:ejournal.narotama.ac.id/files/5.%2520Sistem%2520Pemilihan%2520Kontrol%2520Keamanan%2520Informasi%2520Berbasis%2520ISO%252027001.pdf+&cd=1&hl=id&ct=clnk&gl=id

Rabu, 25 November 2015

Open Service Gateway Initiative (OSGI)

Pengertian OSGI (Open Service Gateway Initiative)
OSGI (Open Service Gateway Initiative) adalah sebuah rencana industri untuk cara standar untuk menghubungkan perangkat seperti perangkat rumah tangga dan sistem keamanan ke Internet. OSGI berencana menentukan program aplikasi antarmuka (API) untuk pemrogram menggunakan, untuk memungkinkan komunikasi dan kontrol antara penyedia layanan dan perangkat di dalam rumah atau usaha kecil jaringan. OSGI API akan dibangun pada bahasa pemrograman Java. Program java pada umumnya dapat berjalan pada platform sistem operasi komputer.
OSGI adalah sebuah interface pemrograman standar terbuka. The OSGI Alliance (sebelumnya dikenal sebagai Open Services Gateway inisiatif, sekarang nama kuno) adalah sebuah organisasi standar terbuka yang didirikan pada Maret 1999. Aliansi dan anggota – anggotanya telah ditentukan sebuah layanan berbasis Java platform yang dapat dikelola dari jarak jauh.
Spesifikasi OSGI yang dikembangkan oleh para anggota dalam proses terbuka dan tersedia untuk umum secara gratis di bawah Lisensi Spesifikasi OSGI. OSGI Alliance yang memiliki program kepatuhan yang hanya terbuka untuk anggota. Pada Oktober 2009, daftar bersertifikat OSGI implementasi berisi lima entri.

Manfaat OSGI
1.      Mengurangi Kompleksitas (Reduced Complexity)
Mengembangkan dengan teknologi OSGi berarti mengembangkan bundel: komponenOSGi. Bundel adalah modul. Mereka menyembunyikan internal dari bundel lain danberkomunikasi melalui layanan didefinisikan dengan baik. Menyembunyikan internals berartilebih banyak kebebasan untuk berubah nanti. Hal ini tidak hanya mengurangi jumlah bug, itu juga membuat kumpulan sederhana untuk berkembang karena bundel ukuran benarmenerapkan sepotong fungsionalitas melalui interface didefinisikan dengan baik. Ada sebuahblog menarik yang menjelaskan teknologi OSGi apa yang mereka lakukan bagi prosespembangunan

2.     Reuse
Para model komponen OSGi membuatnya sangat mudah untuk menggunakan banyak komponen pihak ketiga dalam suatu aplikasi. Peningkatan jumlah proyek-proyek sumber terbuka memberikan JAR’s mereka siap dibuat untuk OSGi. Namun, perpustakaan komersial jugamenjadi tersedia sebagai bundel siap pakai.

3.     Real World
OSGI kerangka kerja yang dinamis. Ini dapat memperbarui bundel on the fly dan pelayanan yang datang dan pergi. Ini dapat menghemat dalam penulisan kode dan juga menyediakan visibilitas global, debugging tools, dan fungsionalitas lebih daripada yang telah dilaksanakan selama satu solusi khusus.

4.     Easy Deployment
Teknologi OSGi bukan hanya sebuah standard untuk komponen, tapi juga menentukan bagaimana komponen diinstal dan dikelola. API telah digunakan oleh banyak berkas untuk menyediakan sebuah agen manajemen. Agen manajemen ini bisa sesederhana sebagai perintah shell, TR-69 sebuah protokol manajemen pengemudi, OMA DM protokol sopir, komputasi awan antarmuka untuk Amazon EC2, atau IBM Tivoli sistem manajemen. Manajemen standar API membuatnya sangat mudah untuk mengintegrasikan teknologi OSGi dalam sistem yang ada dan masa depan.

5.     Dynamic Updates
Model komponen OSGi adalah model dinamis. Kumpulan dapat diinstal, mulai, berhenti,diperbarui, dan dihapus tanpa menurunkan keseluruhan sistem. Banyak pengembang Java tidak percaya ini dapat dilakukan pada awalnya oleh karena itu tidak digunakan dalam produksi.Namun, setelah menggunakan ini dalam pembangunan selama beberapa waktu, sebagian besar mulai menyadari bahwa itu benar-benar bekerja dan secara signifikan mengurangi waktu penyebaran.

6.     Simple
The OSGi API sangat sederhana. API inti hanya terdiri dari satu paket dan kurang dari 30 kelas / interface. API inti ini cukup untuk menulis kumpulan, menginstalnya, start, stop, update,dan menghapus mereka dan mencakup semua pendengar dan keamanan kelas.

7.     Kecil (Small)
The OSGi Release 4 Framework dapat diimplementasikan kedalam JAR 300KB. Ini adalah overhead kecil untuk jumlah fungsi yang ditambahkan ke salah satu aplikasi dengan memasukkan OSGi. Oleh karena itu OSGi berjalan pada berbagai macam perangkat: dari sangat kecil, kecil, dan untuk mainframe. Hanya meminta Java VM minimal untuk menjalankan dan menambahkan sangat sedikit di atasnya.

8.     Cepat (Fast)
Salah satu tanggung jawab utama dari Framework OSGi memuat kelas-kelas dari bundel.Di Java tradisional, JARs benar-benar terlihat dan ditempatkan pada daftar linear. Pencarian sebuah kelas memerlukan pencarian melalui daftar ini. Sebaliknya, pra-kabel OSGi bundel dan tahu persis untuk setiap bundel bundel yang menyediakan kelas. Kurangnya pencarian yang signifikan faktor mempercepat saat startup.

Teknologi OSGi meliputi :
a.      The Problem (Permasalahan)
b.     The Solution (Pemecahan Masalah)
c.      The Framework (Kerangka Kerja)
d.     Standard Services (Pelayanan Standard)
e.      Framework Services (Pelayanan Kerangka Kerja)
f.       System Services (Pelayanan Sistem)
g.     Protocol Services (Pelayanan Protokol)
h.     Miscellaneous Services (Bermacam-macam pelayanan)
i.       Conclusion (Kesimpulan)

Framework OSGi :

Komponen inti dari Spesifikasi OSGi adalah Framework OSGi. Framework menyediakan lingkungan standar untuk aplikasi (disebut bundel).
Layer-layer OSGI.


a.      Bundels – komponen OSGi yang dibuat oleh pengembang
b.     Services – Layanan bundel menghubungkan lapisan dalam cara yang dinamis dengan menawarkan menerbitkan-menemukan-model mengikat Jawa lama untuk menikmati objek.
c.      Life Cycle – The API untuk instalasi, start, stop, update, dan menghapus bundel.
d.     Modules – Lapisan yang mendefinisikan bagaimana sebuah bundel dapat mengimpor dan mengekspor kode.
e.      Security (Keamanan) – Lapisan yang menangani aspek keamanan.
f.       Execution Environment (Eksekusi Lingkungan) – Menetapkan metode dan kelas-kelas apa saja yang tersedia dalam platform tertentu.


Kelebihan OSGI
1.     Berjalan dimana saja dan digunakan secara luas
2.     Aman, sederhana dan tidak mengganggu kinerja aplikasi lainnya
3.     Ukurannya kecil  dan Kinerjanya cepat
4.     Transparan dan Banyak versinya
5.     Simple : OSGi API sangat simple
6.     RealWorld : OSGi framework dinamik
7.     Dapat digunakan kembali
8.     Mengurangi kompleksitas

Kekurangan OSGI
1.     Ruang lingkupnya sangat kecil
2.     Keamanan kurang terjaga dari kejahatan hacker
3.     Biaya sangat mahal untuk pembuatan aplikasi dari OSGI
4.     Rawan terjadinya pencurian data
5.     Ukuran penyimpanan yang sangat kecil untuk data yang di simpan

Saran
Teknologi OSGI dapat membantu dan mempermudah pekerjaan yang berkaitan dengan elektronik. Karena fungsi dari OSGI sendiri adalah menggabungkan berbagai fungsi dalam satu aplikasi. Namun dari semua itu OSGI tetap memiliki beberapa kekurangan yang perlu untuk diperhatikan. Dari sekian manfaat yang diberikan OSGI hal yang paling dikawatirkan adalah munculnya ketergantungan yang berlebihan.


Referensi :
-     http://uriflabamba.blogspot.com/2009/12/open-service-gateway-initiative-osgi.html
-          http://id.scribd.com/doc/46153310/Microsoft-Word-Pengertian-OSGI
-          https://myselfitsnotenough.wordpress.com/2013/01/22/open-service-gateway-initiative-osgi/
-          https://charlesadewa7.wordpress.com/2014/12/15/open-service-gateway-initiative-osgi/