Your SlideShare is downloading. ×
0
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Chapter 7 keamanan sistem informasi
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Chapter 7 keamanan sistem informasi

8,825

Published on

0 Comments
3 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
8,825
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
422
Comments
0
Likes
3
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Keamanan Sistem Informasi<br />Sistem Informasi Manajemen<br />Program Studi Akunansi<br />MANAGEMENT INFORMATION SYSTEMS<br />
  • 2. Pendahuluan<br />Informasisaatinisudahmenjadisebuahkomoditi yang sangatpenting. Bahkanada yang mengatakanbahwakitasudahberadadisebuah “information-based society”. <br />Kemampuanuntukmengaksesdan menyediakan informasi secara cepat dan akurat menjadi sangat esensialbagisebuahorganisasi, baik yang berupaorganisasikomersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi).<br />
  • 3. Survey Information Week (USA), 1271 system or network manager, hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting.<br />Kesadaran akan masalah keamanan masih rendah!<br />Pendahuluan<br />
  • 4. Pendahuluan<br />Tahun 16-17 April 2004, seorang konsultan IT, Dani menyerang sistem pertahanan website KPU. Begitu ’sukses’ menembus website KPU, hacker muda itu meng-update table nama partai dan mengacak jumlah perolehan suaranya (dikalikan 10). Nama-nama peserta pemilu langsung diganti. Yang jelas, nama-nama baru parpol yang diduga karya iseng Dani itu menyebabkan negeri ini geger.<br />Tahun 2009, Situs resmi Kabupaten Ngajuk berhasil dikerjai hacker. situs tersebut disusupi dengan konten video porno. <br />
  • 5. Pendahuluan<br />Tahun 2009, situs Departemen Komunikasi dan Informatika (Depkominfo). Salah satu sub domain milik depkominfo, yang beralamat di www.ecom.depkominfo.go.id diketahui memiliki sistem keamanan web yang lemah. Jika masuk ke situs tersebut akan muncul pesan:<br />“Dengan ini kami beritahukan bahwa security web ini masih sangat lemah. Mohon untuk diperiksa kembali,” tulis hacker dalam jejak yang ditinggalkannya di situs Depkominfo.<br />
  • 6. Pendahuluan<br />Jumlahkejahatankomputer (computer crime), terutama yang berhubungandengansisteminformasi, akanterusmeningkatdikarenakan beberapa hal, antara lain:<br />Aplikasibisnis yang menggunakan (berbasis) teknologiinformasidanjaringankomputersemakinmeningkat.<br />Desentralisasi server sehinggalebihbanyaksistem yang harusditanganidanmembutuhkanlebihbanyak operator danadministrator yang handal. Padahalmencarioperator dan administrator yang handaladalahsangatsulit.<br />
  • 7. Pendahuluan<br />Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan masalah interoperability antar vendor yang lebihsulitditangani.<br />Meningkatnyakemampuanpemakaidibidangkomputersehinggamulaibanyakpemakai yang mencoba-cobabermainataumembongkarsistem yang digunakannya.<br />Kesulitandaripenegakhukumuntukmengejarkemajuanduniakomputerdantelekomunikasi yang sangatcepat.<br />
  • 8. Pendahuluan<br />Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan.<br />Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti Internet. Potensi sistem informasi yang dapat dijebol menjadi lebih besar.<br />
  • 9. Pendahuluan<br />MungkinkahAman?<br />Sangat sulit mencapai 100% aman<br />Adatimbalbalikantarakeamanan vs. kenyamanan (security vs convenience)<br />
  • 10. Pendahuluan<br />Definisi computer security:<br />Garfinkel& Spafford<br />A computer is secure if you can depend on it and its software to behave as you expect<br />G. J. Simons<br /> Keamanan informasi adalah bagaimana kita dapatmencegahpenipuan (cheating) atau, paling tidak, mendeteksiadanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinyasendiritidakmemilikiartifisik.<br />
  • 11. Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain. <br />Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut. <br />Pendahuluan<br />
  • 12. Sehinggapembicaraantentangkeamanansistemtersebutmakakitaakanberbicara 2 masalahutamayaitu :<br />Threats (Ancaman) atassistemdan<br />Vulnerability (Kelemahan) atassistem<br />Pendahuluan<br />
  • 13. Pendahuluan<br />Masalahtersebutpadagilirannyaberdampakkepada 6 hal yang utamadalamsisteminformasiyaitu :<br /><ul><li>Efektifitas
  • 14. Efisiensi
  • 15. Kerahasiaan
  • 16. Integritas
  • 17. Keberadaan (availability)
  • 18. Kepatuhan (compliance)
  • 19. Keandalan (reliability)</li></li></ul><li>Pendahuluan<br />Adapunkriteriayagperludiperhatikandalammasalahkeamanansisteminformasimembutuhkan 10 domain keamanan yang perludiperhatikanyaitu :<br />Akseskontrolsistem yang digunakan<br />Telekomunikasi danjaringan yang dipakai<br />Manajemenpraktis yang dipakai<br />Pengembangansistemaplikasi yang digunakan<br />Cryptographs yang diterapkan<br />Arsitekturdarisisteminformasi yang diterapkan<br />Pengoperasian yang ada<br />Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)<br />KebutuhanHukum, bentukinvestigasidankodeetik yang diterapkan<br />Tata letakfisikdarisistem yang ada<br />
  • 20. ANCAMAN (Threats)<br />Ancamanadalahaksi yang terjadibaikdaridalamsistemmaupundariluarsistem yang dapatmengganggukeseimbangansisteminformasi. Ancaman yang mungkintimbuldarikegiatanpengolahaninformasiberasaldari 3 halutama, yaitu :<br />AncamanAlam<br />AncamanManusia<br />AncamanLingkungan<br />
  • 21. ANCAMAN (Threats)<br /><ul><li>Ancaman Alam </li></ul>Yang termasuk dalam kategori ancaman alam terdiri atas : <br />Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai, pencairan salju <br />Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus<br />Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut <br />
  • 22. ANCAMAN (Threats)<br /><ul><li>Ancaman Manusia</li></ul>Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah : <br />Malicious code <br />Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures<br />Social engineering<br />Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor<br />Kriminal<br />Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan<br />Teroris<br />Peledakan, Surat kaleng, perang informasi, perusakan <br />
  • 23. ANCAMAN (Threats)<br /><ul><li>Ancaman Lingkungan</li></ul>Yang dapat dikategorikan sebagai ancaman lingkungan seperti : <br />Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lama<br />Polusi<br />Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll<br />Kebocoran seperti A/C, atap bocor saat hujan<br />
  • 24. KELEMAHAN (Vurnerability)<br />Adalahcacatataukelemahandarisuatusistem yang mungkintimbulpadasaatmendesain, menetapkanprosedur, mengimplementasikanmaupunkelemahanatassistemkontrol yang adasehinggamemicutindakanpelanggaranolehpelaku yang mencobamenyusupterhadapsistemtersebut. <br />
  • 25. KELEMAHAN (Vurnerability)<br />Cacatsistembisaterjadipadaprosedur, peralatan, maupunperangkatlunak yang dimiliki, contoh yang mungkinterjadiseperti: Seting firewall yang membuka telnet sehinggadapatdiaksesdariluar, atauSeting VPN yang tidakdiikutiolehpenerapankerberosatau NAT.<br />
  • 26. KELEMAHAN (Vurnerability)<br />Suatupendekatankeamanansisteminformasi minimal menggunakan 3 pendekatan, yaitu : <br />1. PendekatanPreventifyang bersifatmencegahdarikemungkinanterjadikanancamandankelemahan<br />2. PendekatanDetectiveyang bersifatmendeteksidariadanyapenyusupandanproses yang mengubahsistemdarikeadaan normal menjadikeadaanabnormal<br />3. PendekatanCorrective yang bersifatmengkoreksikeadaansistem yang sudahtidakseimbanguntukdikembalikandalamkeadaan normal <br />
  • 27. PENGENDALIAN KEAMANAN SISTEM INFORMASI<br />Berkaitandengankeamanan system informasi, diperlukantindakanberupapengendalianterhadapsisteminformasi. Kontrol-kontroluntukpengamanansisteminformasiantara lain:<br />KontrolAdministratif<br />KontrolPengembangandanPemeliharaanSistem<br />KontrolOperasi<br />ProteksiFisikterhadapPusat Data<br />
  • 28. PENGENDALIAN KEAMANAN SISTEM INFORMASI<br />KontrolPerangkatKeras<br />KontrolAksesterhadapSistem computer<br />KontrolterhadapAksesInformasi<br />KontrolterhadapBencana<br />KontrolTerhadapPerlidunganTerakhir<br />KontrolAplikasi<br />
  • 29. KontrolAdministratif<br />Kontroladministratifdimaksudkanuntukmenjaminbahwaseluruhkerangkakontroldilaksanakansepenuhnyadalamorganisasiberdasarkanprosedur-prosedur yang jelas. Kontrolinimencakuphal-halberikut:<br /><ul><li>Mempublikasikankebijakankontrolyang membuatsemuapengendaliansisteminformasidapatdilaksanakandenganjelasdanseriusolehsemuapihakdalamorganisasi.</li></li></ul><li>KontrolAdministratif<br /><ul><li>Prosedur yang bersifat formal danstandarpengoperasiandisosialisasikandandilaksanakandengantegas. Termasukhaliniadalahprosespengembangansistem, proseduruntukbackup, pemulihan data, danmanajemenpengarsipan data.
  • 30. Perekrutanpegawaisecaraberhati-hati yang diikutidenganorientasipembinaan, danpelatihan yang diperlukan.</li></li></ul><li>KontrolAdministratif<br /><ul><li>Supervisiterhadapparapegawai. Termasuk pula caramelakukan control kalaupegawaimelakukanpenyimpanganterhadap yang diharapkan.
  • 31. Pemisahantugas-tugasdalampekerjaandengantujuan agar takseorangpun yang dapatmenguasaisuatuproses yang lengkap. Sebagaicontoh, seorangpemrogramharusdiusahakantidakmempunyaiaksesterhadap data produksi (operasional) agar tidakmemberikankesempatanuntukmelakukankecurangan.</li></li></ul><li>KontrolPengembangandanPemeliharaanSistem<br />Untukmelindungikontrolini, peran auditor sisteminformasisangatlahpenting. Auditor sisteminformasiharusdilibatkandarimasapengembanganhinggapemeliharaan system, untukmemastikanbahwa system benar-benarterkendali, termasukdalamhalotorisasipemakaisistem. Aplikasidilengkapidenganaudit trailsehinggakronologitransaksimudahuntukditelusuri<br />
  • 32. KontrolOperasi<br />Kontroloperasidimaksudkan agar system beroperasisesuaidengan yang diharapkan. Termasukdalamkontrolini:<br /><ul><li>Pembatasanakanaksesterhadap data
  • 33. Kontrolterhadappersonelpengoperasi
  • 34. Kontrolterhadapperalatan
  • 35. Kontrolterhadappenyimpananarsip
  • 36. Pengendalianterhadap virus</li></ul>Untukmengurangiterjangkitnya virus, administrator sistemharusmelakukantigakontrolberupapreventif, detektif, dankorektif.<br />
  • 37.
  • 38. ProteksiFisikterhadapPusat Data<br /><ul><li>Untuk menjaga hal-hal yang tidak diinginkan terhadap pusat data.
  • 39. Faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar. </li></li></ul><li>KontrolPerangkatKeras<br /><ul><li>Untuk mengatisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan).
  • 40. Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau kembarannya segera mengambil alih peran komponen yang rusak</li></li></ul><li>KontrolPerangkatKeras<br />Sistemfault-tolerant dapatditerapkanpada lima level, yaitupada<br /><ul><li>komunikasijaringan, toleransikegagalanterhadapjaringandilakukandenganmenduplikasijalurkomunikasidanprosesorkomunikasi.
  • 41. prosesor, redundasiprosesordilakukanantaralaindenganteknikwatchdog processor, yang akanmengambilalihprosesor yang bermasalah. </li></li></ul><li>KontrolPerangkatKeras<br /><ul><li>penyimpan eksternal,terhadap kegagalan pada penyimpan eksternal antara lain dilakukan melalui disk memoring atau disk shadowing, yang menggunakan teknik dengan menulis seluruh data ke dua disk secara pararel. Jika salah satu disk mengalami kegagalan, program aplikasi tetap bisa berjalan dengan menggunakan disk yang masih baik.</li></li></ul><li>KontrolPerangkatKeras<br /><ul><li>catudaya, toleransikegagalanpadacatudayadiatasimelalui UPS.
  • 42. transaksi, toleransikegagalanpada level transaksiditanganimelaluimekanisme basis data yang disebutrollback, yang akanmengembalikankekeadaansemulayaitukeadaansepertisebelumtransaksidimulaisekiranyadipertengahanpemrosesantransaksiterjadikegagalan.</li></li></ul><li>KontrolAksesterhadapSistemKomputer<br /><ul><li>untuk melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password.
  • 43. sistem-sistem yang lebih maju mengombinasikan dengan teknologi lain. Misalnya, mesin ATM menggunakan kartu magnetic atau bahkan kartu cerdas sebagai langkah awal untuk mengakses sistem dan kemudian baru diikuti dengan pemasukan PIN (personal identification number). </li></li></ul><li>KontrolAksesterhadapSistemKomputer<br /><ul><li>Teknologi yang lebihcanggihmenggunakansifat-sifatbiologismanusia yang bersifatunik, sepertisidikjaridan retina mata, sebagaikunciuntukmengaksessistem
  • 44. Padasistem yang terhubungke Internet, akses Intranet daripemakailuar (via Internet) dapatdicegahdenganmenggunakanfirewall. Firewall dapatberupa program ataupunperangkatkeras yang memblokiraksesdariluar intranet.</li></li></ul><li>KontrolterhadapAksesInformasi<br />Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer). Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak<br />
  • 45. Studitentangcaramengubahsuatuinformasikedalambentuk yang takdapatdibacaolehorang lain dikenaldenganistilahkriptografi. Adapunsistemnyadisebutsistemkripto. Secaralebihkhusus, prosesuntukmengubahteksasli (cleartextatauplaintext) menjaditeks yang telahdilacak (cliphertext) dinamakanenskripsi, sedangkanproseskebalikannya, darichiphertextmenjadicleratext, disebutdekripsi.<br />KontrolterhadapAksesInformasi<br />
  • 46. KontrolterhadapAksesInformasi<br />Dua teknik yang popular untuk melakukan enskripsi yaitu DES dan public-key encryption<br />DES merupakan teknik untuk melakukan enskripsi dan deskripsi yang dikembangkan oleh IBM pada tahun 1970-an. Kunci yang digunakan berupa kunci privat yang bentuknya sama. Panjang kunci yang digunakan sebesar 64 bit. Algoritma yang digunakan mengonversi satu blok berukuran 64 bit (8karakter) menjadi blok data berukuran 64 bit.<br />
  • 47. Sistem DES yang menggunakan kunci privat memiliki kelemahan yang terletak pada keharusan untuk mendistribusikan kunci ini. Pendistribusian inilah yang menjadi titik rawan untuk diketahui oleh pihak penyadap.<br />KontrolterhadapAksesInformasi<br />
  • 48. KontrolterhadapAksesInformasi<br />Untuk mengatasi kelemahan sistem kripto simetrik, diperkenalkan teknik yang disebut kriptografi kunci publik. Sistem ini merupakan model sistem kripto asimetrik, yang menggunakan kunci enkripsi dan dekripsi yang berbeda. Caranya adalah dengan menggunakan kunci privat dan kunci publik. Sebagai gambaran, bila pengirim S mengirimkan pesan ke penerima R, ia menggunakan kunci publik R dan kemudian R melakukan dekripsi dengan menggunakan kunci privat R.<br />
  • 49. KontrolTerhadapBencana<br />Zwass (1998) membagirencanapemulihanterhadapbencanakedalam 4 komponen:<br />Rencanadarurat (emergency plan)menentukantidakan-tindakan yang harusdilakukanolehparapegawaimanakalabencanaterjadi.<br />Rencanacadangan (backup plan) menentukanbagaimanapemrosesaninformasiakandilaksanakanselamamasadarurat.<br />
  • 50. KontrolTerhadapBencana<br />Rencana pemulihan (recovery plan) menentukan bagaimana pemrosesan akan dikembalikan ke keadaan seperti aslinya secara lengkap, termasu mencakup tanggung jawab masing-masing personil.<br />Rencana pengujian (test plan) menentukan bagaimana komponen-komponen dalam rencana pemulihan akan diuji atau disimulasikan<br />
  • 51. KontrolTerhadapPerlidunganTerakhir<br />Kontrolterhadapperlindunganterakhirdapatberupa:<br />Rencanapemulihanterhadapbencana.<br />Asuransi.<br />Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana. Itulah sebabnya, biasanya organisasi mengansurasikan gedung atau asset-aset tertentu dengan tujuan kalau bencana terjadi, klaim asuransi dapat digunakan untuk meringankan beban organisasi<br />
  • 52. <ul><li>Kontrol Telekomunikasi</li></ul>KontrolAplikasi<br />Kontrolaplikasiadalahkontrol yang diwujudkansecarasesifikdalamsuatuaplikasisisteminformasi. Wilayah yang dicakupolehkontrolinimeliputi: <br /><ul><li>KontrolMasukan
  • 53. KontrolPemrosesan
  • 54. KontrolKeluaran
  • 55. Kontrol Basis Data 
  • 56. Kontrol Telekomunikasi</li></li></ul><li>Keamanan sistem informasi tidak dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.<br />Kesimpulan<br />
  • 57. Budi Rahardjo, KeamananSistemInformasiBerbasis Internet, ismailzone.com/download/cryptography/Rahard-sec-handbook.pdf , Juli 2009<br />Kentaro, KeamananSistemInformasiApadanBagaimana, http://www.sisteminformasi.com/2009/04/keamanan-sistem-informasi-apa-dan.html, Juli 2009<br />Daftar Pustaka<br />

×