TUGAS SIM 10

1. implementasi manajemen keamanan informasi pada perusahaan
(Penyerangan terhadap domain Timor Timur)
ARTIKEL
Untuk Memenuhi Tugas Mata Kuliah Sistem Informasi Manajemen
Achmat Nurfauzi
43217010134
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS MERCU BUANA
JAKARTA
2018

2. pendahuluan
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas
pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan data.
Manajemen keamananinformasi terdiri atas perlindungan harian, yang disebut manajemen
keamanan informasi (information security managemen) dan persiapan-persiapan operasional
setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis (business
continuity managemen).
Dua pendekatan dapat dilakukan untuk menysun strategi-strategi ISM: manajemen resiko dan
tolok ukur. Perhatian akan ancaman dan risiko berhbungan dengan manajemen
resiko.ancaman dapat bersifat internal atau eksternal, tidak disengaja atau disengaja. Risiko
dapat mencakup insiden pengungkapan, penggunaan, dan modifikasi yang tidak diotorisasi
serta pencurian, penghancuran, dan penolakan layanan. Ancaman yang paling ditakuti adalah
virus computer. Ada tiga jenis pengendalian yang tersedia yaitu: pengendalian teknis,
pengendalian formal, dan pengendalian informal.
Manajemen keberlangsungan bisnis terdiri atas seperangkat subrencana untuk menjaga
keamanan karyawan, memungkinkan keberlangsungan operasional dengan cara menyediakan
fasilitas mengembangkan rencana kontinjensi baru tidak harus dari awal,beberapa model
berbasis peranti lunak tersedia, seperti halnya garis besar dan panduan dari pemerintah.
Pengertian
Keamanan Informasi atau Information Security adalah proteksi peralatan computer, fasilitas,
data, dan informasi, baik computer maupun non-komputer dari penyalahgunaan oleh pihak-
pihak yang tidak terotorisasi/ tidak berwenang.
A. KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga
seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari ancaman
baik dari dalam atau dari luar. Sistem komputer yang pertama hanya memiliki sedikit
perlindungan keamanan, namun hal ini berubah pada saat perang viaetnam ketika sejumlah
instalasi keamanan komputer dirusak pemrotes. Pengalaman ini menginspirasi kalangan
industri untuk meletakkan penjagaan keamanan yang bertujuan untuk menghilangkan atau

3. mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi
dengnan kemampuan untuk melanjutkan kegiatan operasional setelah terjadi gangguan.
Pendekatan-pendekatan yang dimulai di kalangan industri dicontoh dan diperluas.
Ketika pencegahan federal ini diimplementasikan, dua isu penting harus diatasi yakni keamana
versus hak-hak individu dan keamaan versus ketersediaan.
B. Tujuan Keamanan Informasi
Keamanan informasi ditujuakn untuk mencapai tiga tujuan utama yakni:
1) Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari
pengungkapan orang-orang yang tidak berwenang.
2) Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data
dan informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
3) Integritas. Semua sistem informasi harus memberikan representasi akurat atas sistem
fisik yang direpresentasikannya.
C. Manajemen Keamanan Informasi (Information Security Management)
Merupakan aktivitas untuk menjaga agar sumber daya informasi tetap
aman.Manajemen tidak hanya diharapkan untuk menjaga sumber daya informasi aman, namun
juga diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu
bencana atau jebolnya sistem keamanan.
Tahapannya yaitu:
1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan
2. Mendefinisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut.
3. Menentukan kebijakan keamanan informasi.
4. Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut
Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini
dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang
dihadapinya.

4. Tolak ukur (benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur keamanan
informasi (information security benchmark) adalah tingkat kemanan yang disarankan yang
dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang
tidak terotorisasi.standar atau tolak ukur semacam ini ditentukan oleh pemerintah dan asosiasi
industri serta mencerminkan komponen-komponen program keamanan informais yang baik
menurut otoritas tersebut.
Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak
ukur (benchmark compliance) dapat diasumsikan bahwa pemerintah dan otoritas industri telah
melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan
tolak ukur tersebut menawarkan perlindungan yang baik.
Strategi dalam ISM:
1. Manajemen Risiko (Risk Management)
Dibuat Untuk menggambarkan pendekatan dimana tingkat keamanan sumber daya informasi
perusahaan dibandingkan dengan risiko yang dihadapinya.
2. Tolak Ukur
Adalah tingkat keamanan yang disarankan dalam keadaan normal harus memberikan
perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.
Ancaman Keamanan Informasi (Information Security Threat)
D. ANCAMAN
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang,
organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber
daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta
eksternal dan bersifat disengaja dan tidak disengaja.
Ancaman Internal dan Eksternal
Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal
diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga

5. ancaman eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan
sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama
dengan produk perusahaan atau disebut juga pesaing usaha.
Tindakan Kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan
mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh orang-orang di dalam
ataupun diluar perusahaan. sama halnya
Jenis- Jenis Ancaman:
Malicious software, atau malware terdiri atas program-program lengkap atau segmen-segmen
kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang tidak diharapkan
oleh pemilik system. Fungsi-fungsi tersebut dapat menghapus file,atau menyebabkan sistem
tersebut berhenti. Terdapat beberapa jensi peranti lunak yang berbahaya, yakni:
a. Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat
diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot
sector lain
b. Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi
dapat menyebarkan salinannya melalui e-mail
c. Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya
sendiri, namun disebarkan sebagai perangkat
d. Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu
e. Spyware. Program yang mengumpulkan data dari mesin pengguna
E. RISIKO Keamanan Informasi (Information Security Risk)
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi
output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan
informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi
menjadi empat jenis yaitu:

6. 1) Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis data
dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak
memiliki akses, hasilnya adalah hilangnya informasi atau uang.
2) Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika
orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan
mampu melakukan hal tersebut.
3) Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat
merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan
operasional komputer perusahaan tersebut tidak berfungsi.
4) Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan
peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan
para pengguna output sistem tersebut mengambil keputusan yang salah.
F. MANAJEMEN RISIKO (MANAGEMENT RISK)
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau
mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
1. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
2. Menyadari risikonya
3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4. Menganalisis kelemahan perusahaan tersebut
Dampak Parah Dampak Signifikan Dampak minor
Kelemahan Tingkat
Tinggi
Melaksanakan
analisis kelemahan.
Harus meningkatkan
pengendalian
Melaksanakan
analisis kelemahan.
Harus meningkatkan
pengendalian
Analisis kelemahan
tidak dibutuhkan
Kelemahan Tingkat
Menengah
Melaksanakan
analisis kelemahan.
Sebaiknya
Melaksanakan
analisis kelemahan.
Sebaiknya
Analisis kelemahan
tidak dibutuhkan

7. meningkatkan
pengendalian.
meningkatkan
pengendalian.
Kelemahan Tingkat
Rendah
Melaksanakan
analisis kelemahan.
Menjaga
Pengendalian tetap
ketat.
Melaksanakan
analisis kelemahan.
Menjaga
Pengendalian tetap
ketat.
Analisis kelemahan
tidak dibutuhkan
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
1. dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau sangat
membatasi kemampuan perusahaan tersebut untuk berfungsi
2. dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya yang
signifikan, tetapi perusahaan tersebut tetap selamat
3. dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan yang
terjadi dalam operasional sehari-hari.
Setelah analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam
laporan analisis risiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini, mengenai
tiap-tiap risiko:
• diskripsi risiko
• sumber risiko
• tingginya tingkat risiko
• pengendalian yang diterapkan pada risiko tersebut
• para pemilik risiko tersebut
• tindakan yang direkomendasikan untuk mengatasi risiko
• jangka waktu yang direkomendasikan untuk mengatasi risiko
G. PERSOALAN E-COMMERCE

8. E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini
bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan
kartu kredit.
Kartu Kredit “Sekali pakai”
Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu ingin membeli
sesuatu seccar online, ia akan memperleh angka yang acak dari situs web perusahaan kartu
kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelannggan tersebut, yang
diberikan kepada pedadang e-commerce, yang kemudian melaporkannya ke perusahaan kartu
kredit untuk pembayaran.
Praktik keamanan yang diwajibkan oleh Visa
Visa mengumumkan 10 pratik terkait keamanan yang diharapkan perusahaan ini untuk
diikuti oleh peritelnya. Peritel yang memilih untuk tidak mengikuti praktik ini akan menghadapi
denda, kehilangan keanggotaan dalam program visa, atau pembatasan penjualan dengan visa.
Peritel harus :
1. Memasang dan memelihara firewall
2. Memperbaharui keamanan
3. Melakukan enkripsi data yang disimpan
4. Melakukan enkripsi pada data ynag dikirm
5. Menggunakan dan memperbaharui peranti lunak anti virus
6. Membatasi akses data kepada orang-orang yang ingin tahu
7. Memberikan id unik kepada setiap orang yang memiliki kemudahan mengakses data
8. Memantau akses data dengan id unik
9. Tidak menggunakan kata sandi default yang disediakan oleh vendor
10. Secara teratur menguji sistem keamanan
Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam
mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang berhubungan

9. dengan e-commerce:
1. Menyaring karyawan yang memiliki akses terhadap data
2. Tidak meninggalkan data atau komputer dalam keadaan tidak aman
3. Menghancurkan data jika tidak dibutuhkan lagi
H. KEBIJAKAN KEAMANAN INFORMASI
Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program.
Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap, diantaranya:
Fase 1, Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan keamanan
tersebut.
Fase 2, Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat dan
terpengaruh.
Fase 3, Konsultasi dan persetujuan. Berkonsultasi dengan manajemen untuk mendapatkan
pandangan mengenai berbagai persyaratan kebijakan.
Fase 4, Kesadaran dan edukasi. Melaksanakan program pelatihan kesadaran dan edukasi
dalam unit-unit organisasi.
Fase 5, Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit organisasi
dimana kebijakan tersebut dapat diterapkan.
Kebijakan Keamanan yang Terpisah dikembangkan untuk
a. Keamanan Sistem Informasi
b. Pengendalian Akses Sistem
c. Keamanan Personel
d. Keamanan Lingkungan Fisik
e. Keamanan Komunikasi data
f. Klasifikasi Informasi
g. Perencanaan Kelangsungan Usaha

10. h. Akuntabilitas Manajemen
Kebijakan terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk tulisan,
dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan, pengendalian
dapat diimplementasikan.
I. PENGENDALIAN
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan
dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko
tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu :
1. PENGENDALIAN TEKNIS
Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu di dalam
system dan dibuat oleh para penyusun system selam masa siklus penyusunan system. Didalam
pengendalian teknis, jika melibatkan seorang auditor internal didalam tim proyek merupakan
satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari
desain system. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti
keras dan lunak.
2. Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak
diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang yang tidak diotorisasi
tidak diizinkan mendapatkan akses terhadap sumber daya informasi, maka pengrusakan tidak
dapat dilakukan.
Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup:
1. Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan
cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula
mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.
2. Autentifikasi pengguna. Setelah identifkasi awal telah dilakukan, para pengguna
memverikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart
card atau tanda tertentu atau chip identifikasi. Autentifikasi pengguna dapat juga dilaksanakan
dengan cara memberikan sesuatau yang menjadi identitas diri, seperti tanda tangan atau suara
atau pola suara.

11. 3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui, seseorang
kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan
tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya untuk
membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki
otorisasi untuk melakukan perubahan pada file tersebut.
Identifkasi dan autentifikasi memanfaatkan profil pengguna (user profile), atau deskripsi
pengguna yang terotorisasi. Otorisasi memanfaatkan file pengendalian akses (acess control
file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna.
Setelah para pengguna memenuhi syarat tiga fungsi pengendalian kases, mereka dapat
menggunakan sumber daya informasi yang terdapat di dlaam batasan file pengendalian akses.
Pencatatan audit yang berbasis komputer terus dilakukan pada semua aktivitas pengendalian
akses, seperti tanggal dan waktu serta identifikasi terminal, dan digunakan untuk
mempersiapkan laporan keuangan.
2. System Deteksi Gangguan
Logika dasar dari system deteksi gangguan adalah mengenali upaya pelanggaran keamanan
sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik
adalah peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif
melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan
pembawa virus dan memperingatkan si pengguna.
Contoh deteksi pengganggu yang lain adalah peranti lunak yang ditujukan untuk
mengidentifikasikan calon pengganggu sebelum memiliki kesempatan untuk membahayakan.
Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun sedemikian
rupa sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang di dalam
perusahaan, akses ke dalam data yang sensitive, kemampuan untuk mengubah komponen
peranti keras, jenis aplikasi yang digunakan, file yang dimilki, dan penggunaan protocol jaringan
tertentu. Hasil pembuatan profilan seperti ini, yang beberapa berbentuk kuantitatif, dapat
mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman yang disengaja,
potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.
3. Firewall
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah satu

12. pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan
internal perusahaan yang berisikan data sensitive dan system informasi. Cara lain adalah
menyediakan kata sandi kepada mitra dagang yang memungkinkannya memasuki jaringan
internal dari Internet.
Pendekatan ketiga adalah membangun dinding pelindung atau firewall. Firewall berfungsi
sebagai penyaring dan penghalang yeng membatasi aliran data ked an dari perusahaan
tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman untuk semua
komputer pada jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing
computer. Beberapa perusahaan yang menawarkan peranti lunak antivirus (seperti McAfee di
www.mcafee.com dan www.norton.com ) sekarang memberikan peranti lunak firewall tanpa
biaya ekstra dengan pembelian produk antivirus mereka. Ada tiga jenis firewall, yaitu:
1. Firewall Penyaring Paket. Router adalah alat jaringan yang mengarahkan aliran lalu lintas
jaringan. Jika router diposisikan antara Internet dan jaringan internal, maka router dapat berlaku
sebagai firewall. Router dilengkapi dengan table data dan alamat-alamat IP yang
menggambarkan kebijakan penyaringan. Untuk masing-masing transmisi, router mengakses
table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari beberapa lokasi Internet
(alamat IP) untuk lewat. Alamat IP (IP Address) adalah serangkaian empat angka (masing-
masing dari 0 ke 255) yang secara unik mengidentifikasi masing-masing computer yang
terhubung dengan Internet. Salah satu keterbasan router adalah router hanya merupakan titik
tunggal keamanan, sehingga jika hacker dapat melampuinya perusahaan tersebut bisa
mendapatkan masalah. “IP spoofing”, yaitu menipu table akses router, adalah dalah satu
metode yang digunakan untuk pembajak untuk menipu router.
2. Firewall Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalah firewall
tingkat sirkuit yang terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan
medium komunikasi (sirkuit) daripada router. Pendekatan ini memungkinkan tingkat autentifikasi
dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Namun, keterbatasan dari
titik tunggal keamanan tetap berlaku.
3. Firewall Tingkat Aplikasi. Firewall ini berlokasi antara router dan computer yang
menajlankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan dapat
dilakukan. Setelah permintaan diautentifikasi sebagai permintaan yang berasal dari jaringan
yang diotorisasi (tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan paket), aplikasi
tersebut dapat memnita informasi autentifikasi yang lebih jauh seperti menanyakan kata sandi

13. sekunder, mengonfirmasikan identitas, atau bahkan memeriksa apakah permintaan tersebut
berlangsung selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang paling efektif,
firewall ini cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah seorang
programmer jaringan harus penulis kode program yang spesifik untuk masing-masing aplikasi
dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus, dimodifikasi.
4. Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan
yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-
proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga
ditransmisikan kedalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh
akses enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa
dan mencegah kesalahan penggunaan.
Popularitas kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan
untuk meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah SET
(Secure Electronic Transactions), yang ,melakukan pemeriksaan keamanan menggunakan
tanda tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang dapat
berpartisispasi dalam transaksi e-commerce – pelanggan, penjual, dan institusi keuangan. Dua
tanda tangan biasanya digunakan menggantikan nomor kartu kredit.
5. Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yaitu
dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat
penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap
tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh dari kota
dan jauh dari wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir, dan
badai.
6. Meletakkan Pengendalian Teknis Pada Tempatnya
Anda dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak semuanya
dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan informasi.
Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Perusahaan biasanya

14. memilih dari daftar ini dan menerapkan kombinasi yang dianggap menawarkan pengaman yang
paling realisitis.
J. Pentingnya Keamanan system
Sistem Informasi diperlukan karena:
1. Teknologi Komunikasi Modern yang membawa beragam dinamika dari dunia nyata ke
dunia virtual
Contohnya adalah: dalam bentuk transaksi elektronik seperti e-banking, dan pembawa aspek
positif maupun negative, misalnya: pencurian, pemalsuan, dan penggelapan menggunakan
internet.
2. Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai
Contoh: Pemakai kurang menguasai computer.
3. Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai ekonomis.
Contoh: dokumen rancangan produk baru, kartu kredit, dan laporan keuangan perusahaan
Dukungan Pemerintah Dan Industri
Beberapa organisasi pemerintah dan internasional telah menentukan standar-standar yang
ditunjukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan
informasi.Beberapa standar ini berbentuk tolak ukur, yang telah diidentifikasisebelumnya
sebagai penyedia strategi alternative untuk manajemen resiko. Beberapa pihak penentu standar
menggunakan istilah baseline(dasar) dan bukannya benchmark (tolak ukur). Organisasi tidak
diwajibkan mengikuti standar ini.Namun, standar ini ditunjukan untuk memberikan bantuan
kepada perusahaan dalam menentukan tingkat target keamanan.
K. Manajemen Keberlangsungan Bisnis
Manajemen keberlangsungan bisnis (business continuity management-BCM) adalah

15. aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem
informasi.
Subrencana yang umum mencakup:
ž Rencana darurat (emergency plan): terdiri dari cara-cara yang akan menjaga keamanan
karyawan jika bencana terjadi. Co: Alarm bencana, prosedur evakuasi
ž Rencana cadangan : menyediakan fasilitas computer cadangan yang bisa dipergunakan
apabila fasilitas computer yang biasa hancur atau rusak hingga tidak bisa digunakan.
ž Rencana catatan penting (vital records plan) : merupakan dokumen kertas, microform, dan
media penyimpanan optis dan magnetis yang penting untuk meneruskan bisnis perusahaan.
Banyak perusahaan telah menemukan bahwa, dibanding sekedar mengandalkan, satu rencana
kontijensi besar, pendekatan yang terbaik adalah merancang beberapa sub rencana yang
menjawab beberapa kontijensi yang spesifik. Sub rencana yang umum mencakup :
Rencana darurat (Emergency plan). Rencana darurat menyebutkan cara-cara yang akan
menjaga keamanan karyawan jika bencana terjadi. Cara-cara ini mencakup sistem alarm,
prosedur evakuasi dan sistem pemadaman api.
Rencana cadangan. Perusahaan harus mengatur agar fasilitas komputer cadangan tersedia
seandainya fasilitas yang biasa hancur atau rusak sehingga tidak digunakan. Cadangan ini
dapat diperoleh melalui kombinasi dari :
• Redudansi. Peranti keras, peranti lunak dan data di duplikasikan sehingga jika satu set
tidak dapat dioperasikan, set cadangannya dapat meneruskan proses.
• Keberagaman. Sumber daya informasi tidak dipasang pada tempat yang sama,
komputer dibuat terpisah untuk wilayah operasi yang berbeda-beda.
• Mobilitas. Perusahaan dapat membuat perjanjian dengan para pengguna peralatan yang
sama sehingga masing-masing perusahan dapat menyediakan cadangan kepada yang
lain jika terjadi bencana besar. Pendekatan yang lebih detail adalah membuat kontrak
dengan jasa pelayanan cadangan hot site dan cold site. Hot site adalah fasilitas
komputer lengkap yang disediakan oleh pemasok untuk pelanggannya untuk digunakan
jika terdapat situasi darurat. Cold site hanya mencakup fasilitas bangunan namun tidak

16. mencakup fasilitas komputer.
• Rencana catatan penting. Catatan penting (vital records) perusahaan adalah dokumen
kertas, microform dan media penyimpanan optimis dan magnetis yang penting untuk
meneruskan bisnis perusahaan tersebut. Rencana catatan penting (vital records plan)
menentukan cara bagaimna catatan penting tersebut harus dilindungi. Selain menjaga
catatan tersebut di situs komputer, cadanan harus disimpan dilokasi. Semua jenis
catatan dapat secara fisik dipindahkan ke lokasi terpencil tersebut, namun catatan
komputer dapat ditransmisikan secara elektronik.
L. MELETAKKAN MANAJEMEN KEBERLANGSUNGAN BISNIS PADA TEMPATNYA
Manajemen keberlangsungan bisnis merupakan salah satu bidang pengunaan komputer
dimana kita dapat melihat perkembangan besar. Banyak upaya telah dilaksanakan untuk
mengembangkan perencanaan kontijensi, dan banyak informasi serta bantuan telah tersedia.
Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke dalam
kebutuhan khususnya. Sistem komputer TAMP memasarakan sistem pemulihan bencana
(disaster recovery system – DRS) yang mencakup sistem manajemen basis dasa, instruksi, dan
perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan. Panduan dan garis
besar tersedia bagi perusahaan untuk digunakan sebagai titik awal atau tolak ukur.
M. PERATURAN PEMERINTAH
Pemerintah baik di Amerika Serikat maupun Inggris telah menentukan standard an menetapkan
standardan menetapkan peraturan yang ditujukan untuk menaggapi masalah pentingnya
keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan semakin
meluasnya internet serta peluang terjadinya kejahatan computer. Beberapa diantaranya
adalah :
Standar Keamanan Komputer Pemerintah Amerika Serikat
Undang-undang Anti Terorisme, Kejahatan, dan Keamanan Inggris ( ATCSA) 2001
N. STANDAR INDUSTRI
The Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk
membantu para mengguna computer guna membuat system mereka lebih aman. Bantuan
diberikan melalui dua produk – CIS Benchmark dan CIS Scoring Tools.

17. O. SERTIFIKASI PROFESIONAL
Mulai tahun 1960-an,profesi TI mulai menawarkan program sertifikasi. Tiga contoh berikut
mengilustrasikan cakupan dari program-program ini.
· Asosiasi Audit Sistem dan Pengendalian
· Konsersium Sertifikasi Keamanan Sistem Informasi Internasional
· Institute SANS
Contoh kasus:
1. Kasus Pembobolan Situs KPU
Pada tahun 2004 situs KPU berhasil dibobol dan tepatnya pada hari Kamis (22/4) Aparat
Satuan Cyber Crime Direktorat Reserse Khusus Kepolisian Daerah Metro Jaya berhasil
menangkap Dani Firmansyah(25), yang diduga kuat sebagai pelaku pembobol(hacker) di Pusat
Tabulasi Nasional Pemilu Komisi Pemilihan Umum (TNP KPU).
Dani mengakui perbuatannya hanya iseng belaka untuk mengetes sampai dimana sistem
keamanan server tnp.kpu.go.id, yang menurut kabar mempunyai sistem keamanan yang
berlapis-lapis.Menurut Kepala Polda Metro Jaya Inspektur Jenderal Makbul Padmanagara ,
motivasi dani menyerang website KPU hanya untuk memperingatkan kepada tim TI KPU bahwa
sistem TI seharga Rp. 125 miliar tersebut tenyata tidak aman.
Dikutip dari surat dakwaan ,Dani melakukan penyerangan terhadap sistem pertahanan website
KPU dari kantornya di PT Danareksa. Pada seranganya yang pertama dia masih mengalami
gagal.Namun ,ternyata dani tidak putus asa.Keesokannya dia kembali menyerang situs milik
lembaga pemilu tersebut.Dia menyerang pada pukul 03.12 dan baru berhasil tembus pada
pukul 11.34. Hal itu terjadi selama 10 menit. Setelah berhasil tembus site KPU,dia meng-update
nama –nama partai yang ada lalu mengacak jumlah perolehan suara tiap partai dengan
mengalikannya 10.Selain itu dia juga mengganti nama-nama peserta pemilu dan sempat
membuat geger negeri ini.Menurut jaksa, Dani mengakui serangannya untuk menembus tiga

18. lapis sistem pertahanan website kpu.go.id dari 3 arah berbeda. Itu dilakukan dengan hampir
bersamaan. Masing-masing dari kantornya di PT Danareksa, Jakpus; Warnet Warna di
Kaliurang, Km 8 Jokjakarta, dan server IRC Dalnet Mesra yang ada di Malaysia.
Caranya, dia menggunakan XSS (Cross Site Scripting) dan SQL Injection dari gedung PT
Danareksa. “Semua itu melalui teknik spoofing (penyesatan),” ujar jaksa Ramos dalam
persidangan.
Awalnya, Dani melakukan hacking dari IP 202.158.10.117 di Kantor PT Danareksa. Pada saat
bersamaan, dia melakukan chatting ke sesame komunitas (Indolinux, IndofreeBSD, dan
IndoOpenBSD) dengan melakukan BNC ke IP 202.162.36.42 dengan nama samaran
(nickname)Xnuxer melalui Warnet Warna di Kaliurang, Jokjakarta. Chatting ini mengarah ke
server IRC Dalnet Mesra di Malaysia.Setelah memasuki sistem pertahanan website KPU, Dani
membuka IP Proxy Anonymous Thailand dengan IP 208.147.1.1 dan langsung menembus ke
tnp.kpu.go.id dengan IP 203.130.201.134 .Berkat hal itulah dia sukses menembus website
KPU.
Kelemahan
Website KPU tersebut masih memiliki kelemahan pada lapisan sistem pertahanannya yang
mana jika di serang dari tiga arah dengan menggunakan XSS dan SQL Injection(menyerang
dengan cara memberi perintah melalui program SQL) dapat ditembus.
Masalah
Berhasilnya dibobol website tnp.kpu.go.id milik lembaga pemilihan umum karena kurangnya
pengawasan dari pihak KPU terhadap keberadaan website ini hanya karena telah dipasang
sistem keamanan berlapis-lapis yang berharga ratusan milyar dan dianggap memiliki tingkat
keamanan yang kuat.

19. Dampak
Dampak yang terjadi akibat pembobolan ini adalah munculnya keraguan masyarakat terhadap
penggunaan Sistem keamanan yang berharga milyaran tersebut karena ternyata pada
kenyataannya masih dapat dibobol oleh para hacker maupun cracker.
2. Pencurian PIN ATM
Baru-baru ini di California kode PIN (Personal Identification Number) ATM berhasil dibobol oleh
tiga orang komplotan cracker dan merugikan nasabah sampai jutaan dolar. Ketiga tersangka
berhasil dibekuk dan sedang menghadapi proses hukum di pengadilan New York. Mereka
berhasil membobol Jaringan ATM bank Citibank dan berhasil mencuri beberapa nomor PIN
milik nasabah.
Dari dokumen pengadilan terungkap bahwa, ketiga tersangka berhasil meraup 2 juta dollar
mulai dari Oktober 2007 sampai Maret 2008. Diduga,mereka melakukan penyerangan pada
komputer yang menangani penarikan uang,lalu kemudian mencuri PIN saat terjadi proses
transmisi dari ATM ke komputer yang menangani proses transaksi.
Kelemahan
Kelemahan terletak pada Komputer pemroses transaksi dan dan rentannya sistem keamanan
jaringan pada saat melakukan transmisi..
Masalah
Permasalahannya terletak pada adanya kelalaian Citibank sendiri dalam pengawasan
Komputer pemroses transaksi .

20. Dampak
Kasus ini memicu kekhawatiran para nasabah dalam melakukan transaksi pada Citibank yang
dikenal memiliki ribuan mesin ATM diseluruh penjuru Amerika Serikat.
3. Penyerangan terhadap domain Timor Timur
Pada akhir bulan Januari 1999, domain milik Timor Timur (.TP) diserang sehingga hilang.
Domain untuk Timor Timur ini diletakkan pada sebuah server di Irlandia yang bernama
Connect-Ireland. Pemerintah Indonesia yang disalahkan atau dianggap melakukan kegiatan
hacking ini. Menurut keterangan yang diberikan oleh administrator Connect-Ireland, 18
serangan dilakukan secara serempak dari seluruh penjuru dunia. Akan tetapi berdasarkan
pengamatan, domain Timor Timur tersebut dihack dan kemudian ditambahkan sub domain
yang bernama “need.tp”. Berdasarkan pengamatan situasi, “need.tp” merupakan sebuah
perkataan yang sedang dipopulerkan oleh “Beavis and Butthead” (sebuah acara TV di MTV).
Dengan kata lain, crackers yang melakukan serangan tersebut kemungkinan penggemar (atau
paling tidak, pernah nonton) acara Beavis dan Butthead itu. Jadi, kemungkinan dilakukan oleh
seseorang dari Amerika Utara.
Kelemahan
Pelaku mampu masuk kesuatu sistem jaringan secara diam – diam dan pelaku berhasil
membobol sistem jaringan mungkin disebabkan karena keamanan pada sistem jaringan yang
lemah.
Masalah
Kurangnya pengamanan sistem secara terintegrasi yang mana sangat diperlukan untuk
meminimalisasikan kemungkinan perusakan tersebut.

21. Dampak
Hubungan kerjasama Indonesia dan Timor Timur menjadi terancam karena adanya tuduhan
terhadap pembobolan domain Timor Timur.
4. Cracking komputer gedung DPR
Komputer di gedung DPR disusupi situs porno. Sebuah alamat situs porno lengkap dengan
tampilan gambar-gambar asusilanya tiba-tiba muncul di layar informasi kegiatan DPR yang
diletakkan di depan ruang wartawan DPR, Senayan, Jakarta, Senin (2/8). Situs
http://www.dpr.go.id berubah menjadi http://www.tube8.com dan situs porno itu tampil lebih
kurang selama 15 menit, tanpa bisa ditutup ataupun dimatikan.
Puluhan wartawan yang sedang melakukan peliputan di gedung DPR kemudian serentak
mengerumuni. Beberapa terlihat tertawa dan berteriak-teriak setelah melihat gambar-gambar
asusila yang silih berganti itu. Pada saat yang sama, wartawan foto juga terus sibuk
mengabadikan peristiwa langka di gedung wakil rakyat tersebut. Munculnya situs porno
kemudian menjadi perhatian tidak hanya para wartawan, tetapi juga para pengunjung dan tamu
dewan. Sementara Kabag Pemberitaan DPR, Suratna, terlihat panik dan berusaha untuk
menutup situs penyusup tersebut. Namun demikian, alamat situs porno itu tetap tak bisa
dimatikan. Justru, gambar yang tadinya kecil lama-kelamaan makin besar dan nyaris memenuhi
layar monitor. Semua usaha yang dilakukan tak berbuah, tiba-tiba sekitar 15 menit kemudian
gambar tersebut hilang dengan sendirinya.
Masalah
Pelaku menyusupi situs porno ke komputer gedung DPR dengan maksud sebagai perbuatan
iseng atau untuk membuat malu pihak DPR.

22. Kelemahan
Pelaku bisa memasuki sistem jaringan mungkin disebabkan karena keamanan pada sistem
jaringan yang lemah, seharusnya untuk sistem keamanan di DPR tingkat keamanan
jaringannya haruslah sangat tinggi karena menyimpan informasi – informasi penting Negara.
Dampak
Pemerintah menjadi waspada terhadap perbuatan para Cracker iseng yang mengganggu dan
mulai meningkatkan sistem keamanan jaringannya yang ada di DPR.
5. Kasus kejahatan kartu kredit (Carding)
Seorang mahasiswa berinisial BRS yang merupakan mahasiswa Computer Science di
Oklahoma City University USA dan berwarga Negara Indonesia menjadi tersangka atas kasus
penipuan dengan menggunakan sarana internet ,menggunakan nomor dan kartu kredit milik
orang lain secara tidak sah atau biasa kita kenal dengan Carding, untuk membeli alat-alat
music,Komputer dan Digital Konverter lalu dijual.
Tersangka menggunakan Program Card Generator versi IV yang diperoleh lewat internet.Lalu
dengan Program Card Generator tersebut tersangka memperoleh nomor-nomor kartu kredit
secara acak,kemudian hasil dari generator tersebut disimpan dalam file My Document dan
dengan adanya nomor-nomor tersebut digunakan tersangka untuk melakukan transaksi via
internet.
Masalah
Tersangka melakukan carding hanya ingin untuk memuaskan kepentingannya sendiri.

23. Kelemahan
Carding bisa disebabkan lemahnya security sistem pengelola layanan online shopping dan
pemilik Electronic Data Capture (EDC).Carding juga bisa dilakukan dengan cara mencuri data
dari suatu database yang berisi daftar kartu kredit dan data pemilik lalu mengunakannya untuk
belanja online atau melakukan transaksi online shopping.
Dampak
Kerugian yang tidak sedikit dari pihak bank maupun Nasabah.
Kesimpulan
Dapat disimpulkan bahwa Keamanan informasi (informationsecurity) digunakan untuk
mendeskripsikan perlindungan baik peralatan computer dan non komputer dan non kompter,
fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu: kerahasiaan,
ketersediaan, dan integritas.
Sedangkan Ancaman keamanan sistem informasi adalah orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan.
Ancaman itu terdiri dari ancaman internal dan eksternal. Resiko keamanan informasi dapat
Didefinisikan sebagai potensi output yang tidak Diharapkan dari pelanggaran keamanan
informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak
terotorisasi. Untuk mengendalikan Ancaman serta risiko keamanan informasi itu dapat
dilakukan dengan berbagai pengendalian yaitu: pengendalian teknis, kriptografis, fisik, formal
dan informal.

24. Daftar pustaka
Putra, Yananto Mihadi. (2018). Modul Kuliah Sistem Informasi Manajemen: Implementasi
Sistem Informasi. FEB - Universitas Mercu Buana: Jakarta
http://dahlanrais.blogspot.com/2015/05/keamanan-informasi-pada-sistem.html?m=1
http://megyanggraini.blogspot.com/2013/07/sistem-informasi-manajemen-keamanan.html?m=1
https://www.google.com/amp/s/duzelaryax345.wordpress.com/2011/09/23/hello-world/amp/