Daftar Isi Paper

Abstrak
1. Pendahuluan
1.1. Latar Belakang
1.2. Tujuan Penelitian
1.3. Metode Penelitian

2. Dasar Teori
2.1. Cloud Computing
2.1.1. Karakteristik Cloud Computing
2.1.2. Layanan Cloud Computing
2.1.3. Deployment Model Infrastuktur Cloud Computing
2.2. Keamanan Informasi
2.3. Security metrics

3. Model Pengujian
3.1. Pertanyaan Penelitian
3.2. Rencana Penelitian
3.2.1. Identifikasi ancaman keamanan informasi pada cloud computing
3.2.2. Study Quality Assesment untuk SLR tahap 1
3.2.3. Pemilihan Framework yang cocok untuk security metrics
3.2.4. Study Quality Assesment untuk SLR tahap 2
3.3. Sumber data
3.4. Data Analysis

4. Hasil
5. Daftar Pustaka

Security Metrics

Security metrics merupakan pengukuran kuantitatif untuk menilai operasi keamanan di organisasi Mereka membantu organisasi untuk membuat keputusan tentang berbagai aspek keamanan yang meliputi arsitektur keamanan dan kontrol untuk efektivitas dan efisiensi operasi keamanan. Selain itu, security metrics berharga untuk tingkat manajerial TI dan stakeholder yang mempertanyakan dampak keamanan terhadap bisnis proses dan kegiatan.

NIST mengkategorikan security metrics menjadi 3 tipe seperti berikut :1. Implementation metrics.
Metrik ini dimaksudkan untuk menunjukkan kemajuan dalam meng-implementasikan informasi program keamanan, kontrol keamanan, dan kebijakan dan prosedur yang terkait.

2. Effectiveness/efficiency metrics
Metrik ini dimaksudkan untuk memantau apakah program-tingkat proses dan sistem-tingkat kontrol keamanan diterapkan dengan benar, beroperasi sebagaimana yang dimaksud serta memperoleh hasil yang diinginkan

3. Impact metrics

Metrik ini dimaksudkan untuk mengartikulasikan dampak keamanan informasi pada misi organisasi

sumber :
E. Chew, M. Swanson, K. Stine et al (2008), “Performance Measurement Guide for Information Security,” NIST Special Publication 800-55 Revision 1, National Institute of Standards and Technology & U.S. Department of Commerce

Keamanan Informasi ( Information Security)

SysAdmin,  Audit,  Network,  Security  (SANS) mendefinisikan keamanan informasi sebagai proses dan metodologi yang dimaksudkan untuk melindungi informasi sensitif atau data dari yang tidak memiliki akses untuk menyebarluaskan, untuk memodifikasi, atau untuk menggunakan. Bentuk data atau informasi yang dilindungi berupa elektronik, formulir yang dicetak, atau lainnya.

Menurut Wikipedia, Keamanan informasi berarti melindungi informasi dan sistem informasi dari pengguna yang tidak memiliki akses untuk menggunakan, untuk menyebarluaskan, untuk memodifikasi, untuk meneliti, untuk pemeriksaan, untuk merekaman atau melakukan penghancuran.

Berikut Lima aspek keamanan informasi :
1. Privacy /Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah data-data yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan tertentu tersebut. Contoh hal yang berhubungan dengan privacy adalah e-mail seorang pemakai (user) tidak
boleh dibaca oleh administrator. Contoh confidential information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal lahir, social security number, agama, status perkawinan, penyakit yang pernah diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin diproteksi penggunaan dan penyebarannya.

2. Integrity

Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-mail dapat saja “ditangkap” (intercept) di tengah jalan, diubah isinya (altered, tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari informasi sudah tidak terjaga.

3. Availability

Aspek availability atau ketersediaan berhubungan dengan ketersediaan informasi ketika dibutuhkan.

4. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi
betul-betul asli, orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server yang asli.

5. Accountability

aksi-aksi user yang berhubungan dengan keamanan selalu dicatat.

6. Non-repudiation

Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut.

Sumber :
SANS Information Security Resources
Wikipedia
Cloud Computing Security

Metode Penelitian : Systematic Literature Review

Systematic Literature Review adalah cara untuk mengidentifikasi, mengevaluasi dan menafsirkan semua penelitian yang tersedia yang relevan dengan pertanyaan penelitian tertentu, atau bidang topik, atau fenomena yang menarik.

sumber:
Procedures for perfoming Systematic Reviews

Tujuan Penelitian

Berdasarkan latar belakang , tujuan yang ditetapkan dari penelitian ini adalah
1. Mengidentifikasi Aspek keamanan informasi yang relevan dengan cloud computing
2. Mengidentifikasi Ancaman keamanan informasi yang relevan dengan cloud computing
3. Memilih Framework yang cocok untuk mengembangkan Security Metrics

Latar Belakang

Perkembangan teknologi informasi dan internet makin berkembang dengan pesat. Teknologi internet serta penggunaan perangkat-perangkat komputasi (mulai dari smartphone, PC, notebook, tablet) hampir tidak dapat terlepas dari kegiatan keseharian masyarakat maju. Ketersediaan akses internet yang terjangkau dan berkualitas baik makin meluas di masyarakat. Seiring dengan perkembangan teknologi internet, secara bertahap memberikan perubahan-perubahan terhadap aktifitas masyarakat yang penting, termasuk dalam aktifitas bisnis. Bagaimana peran teknologi informasi dan komputasi untuk melejitkan bisnis serta kehidupan yang lebih mudah, senantiasa menjadi isu yang terus digali dan dikemabangkan menjadi sesuatu inovasi.

Satu isu yang menarik untuk disimak adalah perkembangan teknologi Komputasi Awan (Cloud Computing). Gartner Executive Programs melakukan survey terhadap lebih dari 2000 CIO terkait trend teknologi 2011, hasilnya cloud computing berada dalam posisi pertama [1]. Cloud Computing adalah suatu istilah yang ditujukan untuk aktifitas komputasi dengan menggunakan resource komputer jaringan internet yang superluas. Dengan teknologi Cloud Computing user dapat menggunakan beragam aktifitas komputasi berbasis web melalui jaringan internet yang menyediakan resource komputasi yang sangat luas.

Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction [2].

Beragam aplikasi, aktifitas menyimpan data-data, mengolah data dapat dilakukan melalui perangkat dan jaringan Cloud, perusahaan penyedia jasa teknologi Cloud Computing. User dibebaskan dari pemeliharaan rutin, penyediaan hardware dan aktifitas rutin teknologi IT di sebuah perusahaan yang lazim. User bisa mempercayakan perawatan, pemeliharaan, keamanan kepada provider Cloud Computing. Analoginya seperti kita mengkonsumsi listrik melalui PLN, kita tidak harus memiliki instalasi listrik sendiri, tapi cukup berlangganan dan membayar sesuai pemakaian.

Efisiensi dan efektifitas memang aspek yang coba ditawarkan Komputasi Awan. Perusahaan bisa menghemat biaya pemeliharaan hardware, menghemat pembelian data storage, pembelian software yang mahal. Hampir semua dapat di alihkan kepada perusahaan penyedia Cloud Computing. Energi dan fokus perusahaan bisa lebih dicurahkan untuk aspek strategis yang menyangkut core-business perusahaan. Akan tetapi disisi yang lainnya, faktor keamanan menjadi titik kritis dari Cloud Computing ini. Gartner, inc dalam hype cycle cloud computing 2011, memperlihatkan Cloud Security berada dalam urutan teratas yang menjadi perhatian [3]. Selain Gartner, IDC eXchange, melakukan survey terkait layanan Cloud, dan faktor keamanan menjadi fokus perhatian [4].

Tanpa disadari sebenarnya kita sudah cukup akrab dengan dunia cloud computing. Contoh sederhana lainnya adalah mengirimkan dan menerima email dengan menggunakan Web mail. Kita tidak pernah mendevelop server email dan investasi perangkat pendukungnya namun tinggal memakai dari yang gratisan sampai berbayar. Karena sifatnya pribadi dan bukan menyangkut “masalah penting” kita tidak pernah memikirkan keamanan data-data email yang kita simpan pada server orang lain. Namun pada saat data yang disimpan adalah data perusahaan menyangkut keuangan dan rahasia perusahaan kita jadi was-was, amankah data email perusahaan kita?

Beberapa pertanyaan patut diajukan saat usaha kita mulai go cloud computing, seperti misalnya siapa yang berada di Cloud itu? Siapa yang mengelola para partisipan di Cloud? Bagaimana aturan main di dalam Cloud, yang melibatkan beberapa pihak? Bagaimana model pengelolaan database dan informasi di Cloud? Secara spesifik, calon pemakai jasa Cloud harus bertanya, bagaimana data mereka dilindungi? Bagaimana penyedia jasa mengatasi celah-celah ancaman?

Karena masalah keamanan ini, pemakai jasa cloud membutuhkan sebuah mekanisme untuk mengukur keamanan aset informasi mereka yang beroperasi di cloud. Diantara alternatif tersedia untuk pemakai jasa cloud untuk pemantauan, pengukuran dan informasi sehingga meningkatkan keamanan aset yang dikelola di cloud adalah untuk mengembangkan metrik keamanan informasi.
Dalam penelitian ini, penulis akan mengidentifikasi ancaman keamanan informasi di cloud yang selanjutnya mengidentifikasi aspek keamanan informasi apa saja yang bisa terpengaruh ancaman tersebut dan memilih framework yang cocok untuk mengembangkan metrik keamanan informasi.

Abstrak

Efisiensi dan efektifitas yang ditawarkan cloud computing, membuat cloud computing sebagai teknologi yang menjanjikan ke depannya. Perusahaan bisa menghemat biaya pemeliharaan hardware, menghemat pembelian data storage, pembelian software yang mahal. Hampir semua dapat di alihkan kepada perusahaan penyedia Cloud Computing. Energi dan fokus perusahaan bisa lebih dicurahkan untuk aspek strategis yang menyangkut core-business perusahaan. Akan tetapi disisi yang lainnya, faktor keamanan menjadi titik kritis dari Cloud Computing ini. Untuk itulah dikembangkan metrik keamanan informasi sebagai mekanisme pemantauan keamanan dengan beberapa tahapan yaitu mengidentifikasi ancaman keamanan informasi di cloud yang selanjutnya mengidentifikasi aspek keamanan informasi apa saja yang bisa terpengaruh ancaman tersebut dan memilih framework yang cocok untuk mengembangkan metrik keamanan informasi. Dengan menggunakan Systematic Literature Review (SLR), akan diperoleh data mengenai ancaman keamanan, aspek keamanan, dan framework untuk mengembangkan security metrics.

Kata kunci : cloud computing, security threats, security measurements framework, security metrics

Tantangan Cloud Computing 2011 : Cloud Security On Top

Gartner, inc melakukan identifikasi topik apa saja yang berkaitan dengan Cloud Computing yang menjadi perhatian tahun 2011, berikut hasilnya

Dari gambar diatas terlihat Cloud Security, Platform as a service, private cloud computing menempati posisi puncak dalam hype cycle for cloud computing.

Selain Gartner, inc, IDC eXchange melakukan survey untuk mengetahui layanan cloud . Layanan cloud  sebagian besar masih dalam tahap adopsi awal. Dengan demikian, tidak mengherankan bahwa ada daftar panjang masalah dalam layanan cloud.Berikut hasil surveynya :

Dari survey diatas, yang menjadi perhatian dalam layanan cloud adalah SECURITY (Keamanan).

Dari sinilah pekerjaan besar dimulai, selanjutnya saya akan membahas tentang Cloud Computing Security. Nantikan posting selanjutnya.

sumber :

IDC eXchange (2008). IT Cloud Services User Survey, pt.2: Top Benefits & Challenges.

http://softwarestrategiesblog.com/2011/07/27/gartner-releases-their-hype-cycle-for-cloud-computing-2011/

Deployment Model Infrastuktur Cloud Computing

Terdapat 4 model deployment Infrasttruktur CLoud Computing :
1. Private Cloud
Infrastukrur layanan cloud dioperasikan hanya untuk sebuah organisasi/perusahaan tertentu. Pelanggannya biasanya organisasi dengan skala besar. Infrastruktur bisa dikelola sendiri atau oleh pihak ke-tiga. Lokasi bisa on-site atau off-site.

2. Community Cloud
Dalam model ini, sebuah infrastruktur cloud digunakan bersama-sama oleh beberapa organisasi yang memiliki kesamaan kepentingan, misalnya dari segi misinya atau tingkat keamanan yang dibutuhkan, dan lainnya. Jadi community cloud ini adalah pengembangan terbatas dari private cloud. Dan sama juga dengan private cloud, infrastruktur cloud yang ada bisa dimanage oleh salah satu organisasi atau oleh pihak ke-tiga.

3. Public Cloud
Jenis layanan cloud yang disediakan untuk umum atau group perusahaan. Layanan disediakan oleh perusahaan penjual layanan cloud.

4. Hybrid Cloud
Merupakan komposisi dari dua atau lebih infrastruktur cloud (private, community, public). Meskipun secara entitas mereka tetap berdiri sendiri tapi dihubungkan oleh suatu teknologi/mekanisme yang memungkinkan portabilitas data dan aplikasi antar cloud itu.

sumber :
NIST (2011). The Nist Definition of Cloud Computing (Draft).
John Sitohang (2011). Prinsip dasar cloud computing

Layanan Cloud Computing

Untuk layanan, terdapat 3 jenis layanan (service) yang diberikan oleh cloud.

1. Software as a Service (SaaS)

         Layanan Cloud yang paling dahulu populer, merupakan evolusi lebih lanjut dari konsep ASP (Application Service Porvider). Pelanggan dapat menggunakan SaaS dengan cara berlangganan atau pay-per-user sehingga tidak perlu investasi IT. Contoh layanan SaaS adalah Salesforce.com dengan layanan CRM online (menjadi icon SaaS), Zoho.com dengan layanan word processor seperti google docs, Xero.com dengan akunting online, Lotuslive.com dari IBM dengan layanan kolaborasi/unified communication.

2. Platform as a Service (PaaS)

         PaaS adalah layanan yang menyediakan modul-modul siap pakai yang dapat digunakan untuk mengembangkan sebuah aplikasi yang hanya dapat berjalan diatas platform tersebut. Pionir PaaS adalah Google Appengine yang menyediakan aplikasi diatas platform Google dengan bahasa pemrograman  Phyton dan Django. Penyedia layanan PaaS lainnya seperti : Salesforce melalui force.com menyediakan modul-modul untuk mengembangkan aplikasi diatas salesforce dengan menggunakan bahasa apex. contoh lainnya adalah facebook yang memungkinkan kita mengembangkan aplikasi di facebook seperti aplikasi game yang dilakukan oleh zynga.

3. Infrastructure as a Service (IaaS)

adalah sebuah layanan yang menyewakan sumber daya teknologi informasi dasar, yang meliputi media penyimpanan, processing power, memory, sistem operasi, kapasitas jaringan, dan lain-lain, yang dapat digunakan oleh penyewa untuk menjalankan aplikasi yang dimilikinya. Model bisnisnya mirip dengan penyedia data center yang menyewakan ruangan untuk co-location , tapi ini lebih ke level mikronya. Penyewa tidak perlu tahu , dengan mesin apa dan bagaimana caranya. Salah satu pionir dalam dalam penyediaan IaaS ini adalah Amazon.com yang meluncurkan Amazon EC2 (Elasting Computing Cloud). Layanan Amazon EC2 ini menyediakan berbagai pilihan persewaan mulai dari CPU, media penyimpanan, dilengkapi dengan sistem operasi, dan juga platform pengembangan aplikasi yang bisa disewa dengan perhitungan jam-jaman.

sumber :
NIST (2011). The Nist Definition of Cloud Computing (Draft).
John Sitohang (2011). Prinsip dasar cloud computing