Teks tersebut membahas tentang keamanan informasi dalam pemanfaatan teknologi informasi pada suatu perusahaan. Secara garis besar membahas tentang pentingnya keamanan informasi, ancaman-ancaman terhadap keamanan informasi, serta pendekatan manajemen risiko dalam mengelola keamanan informasi perusahaan.
Integrasi nasional dalam bingkai bhinneka tunggal ika
Artikel sim tm 9
1. ARTIKEL
TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN
INFORMASI DALAM PEMANFATAN TEKNOLOGI
INFORMASI PADA PT.X.
DISUSUN OLEH :
FRENGKY S. SIHOMBING (43219110090)
KELAS : B-203
PROGRAM STUDI AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS MERCUBUANA MERUYA
2020/2021
2. TUGAS SISTEM INFORMASI MANAJEMEN: KEAMANAN INFORMASI DALAM
PEMANFATAN TEKNOLOGI INFORMASI PADA PT.X.
ABSTRAK
Sistem informasi terdiri dari berbagai komponen penyusun yang selalu mengalami
peningkatan inovasi dari tahun ke tahun. Penggunaan sistem informasi sudah menjadi
kebutuhan penting dalam semua aspek kehidupan terutama dalam proses bisnis. Perkembangan
sistem informasi yang semakin kompleks memudahkan dan mempercepat setiap proses bisnis
Informasi sebagai aset yang sangat berharga karena merupakan salah satu sumber daya
strategis dalam meningkatkan nilai usaha dan kepercayaan publik. Sejalan dengan
perkembangan informasi maka keamanan informasi juga harus diperhatikan. Keamanan
informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak,
mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya
sendiri tidak memiliki arti fisik.
Dalam ISO-17799, Keamanan informasi ini terdiri dari 3 aspek penting, dapat
menghafalnya dengan nama CIA yang berarti Confidentiality, Integrity dan Availability.
Terdapat berbagai ancaman dalam sistem keamanan informasi diantaranya virus, worm, Trojan
horse, serta ancaman dari dalam maupun dari luar, disengaja maupun tidak disengaja.
PENDAHULUAN
Setiap organisasi, perusahaan maupun negara menginginkan sumber daya informasi
yang aman dari resiko pencurian atau peretasan data, virus dan berbagai penipuan dalam sistem
informasi. Kalangan industri telah lama menyadari kebutuhan untuk menjaga keamanan dari
para kriminal komputer dan sekarang pemerintah telah mempertinggi tingkat keamanan
sebagai salah satu cara untuk memerangi terorisme, isu-isu utama mengenai keamanan versus
ketersediaan serta keamanan versus hak pribadi harus diatasi.
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan,ketersediaan, serta
integritas pada semua sumber daya informasi perusahaan. Manajemen keamanan informasi
terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi dan persiapan
operasional setelah suatu bencana yang disebut dengan manajemen keberlangsungan bisnis.
3. Ada dua pendekatan yang dapat dilakukan untuk menyusun strategi-strategi Information
Security management-ISM manajemen resiko dan kepatuhan tolak ukur. Perhatian akan
ancaman dan resiko berhubungan dengan pendekatan manajemen risiko. Ancaman dapat
bersifat internal atau eksternal, tidak disengaja atau disengaja. Risiko dapat mencakup insiden
pengungkapan,penggunaan, dan modifikasi yang tidak diotorisasi serta pencurian,
penghancuran dan penolakan layanan. Dalam makalah ini, akan diuraikan mengenai keamanan
infomasi.
LITERATUR TEORI
Information security atau keamanan informasi menurut peraturan menteri adalah
terjaganya kerahasiaan (confidentiality), keutuhan (integrity), dan ketersediaan (availability)
informasi. Sementara terdapat beberapa tambahan berupa otentikkasi (authenticity), nirsangkal
(nonrepudiation), dan otorisasi (authority) terhadap sebuah informasi. Definisi tersebut
mengambil dari Triad Security yang merupakan asas keamanan informasi.
Keamanan informasi menurut G. J. Simons adalah bagaimana usaha untuk dapat
mencegah penipuan (cheating) atau bisa mendeteksi adanya penipuan pada sistem yang
berbasis informasi, di mana informasinya sendiri tidak memiliki arti fisik. Aspek-aspek yang
harus dipenuhi dalam suatu sistem untuk menjamin keamanan informasi adalah informasi yang
diberikan akurat dan lengkap (right information), informasi dipegang oleh orang yang
berwenang (right people), dapat diakses dan digunakan sesuai dengan kebutuhan (right time),
dan memberikan informasi pada format yang tepat (right form). Dalam membuat program
keamanan informasi ada prinsip dasar yang harus dipenuhi agar sistem tersebut handal. Prinsip
dasar tersebut adalah:
1. Kerahasiaan artinya informasi dijamin hanya tersedia bagi orang yang berwenang
sehingga pihak yang tidak berhak tidak bisa mengakses informasi. Contoh kerahasiaan
adalah seorang administrator tidak boleh membuka atau membaca email milik
pengguna. Selain itu kerahasiaan harus menjamin data-data yang harus dilindungi
penggunaan dan penyebarannya baik oleh pengguna maupun administrator, seperti
nama, alamat, tempat tanggal lahir, nomor kartu kredit, penyakit yang diderita, dan
sebagainya.
4. 2. Integritas artinya informasi dijaga agar selalu akurat, untuk menjaga informasi tersebut
maka informasi hanya boleh diubah dengan izin pemilik informasi. Virus trojan
merupakan contoh dari informasi yang integritasnya terganggu karena virus telah
mengubah informasi tanpa izin. Integritas informasi ini dapat dijaga dengan melakukan
enkripsi data atau membuat tanda tangan dijital (digital signature).
3. Ketersediaan artinya adanya jaminan ketika pihak berwenang membutuhkan informasi,
maka informasi dapat diakses dan digunakan. Hambatan dalam ketersediaan ini
contohnya adalah adanya Denial of Service Attack (DoS). DoS merupakan serangan
yang ditujukan ke server, di mana banyak sekali permintaan yang dikirimkan ke server
dan biasanya permintaan tersebut palsu yang menyebabkan server tidak sanggup lagi
melayani permintaan karena tidak sesuai dengan kemampuan sehingga server
menjadi down bahkan error.
PEMBAHASAN
KEAMANAN INFORMASI
Keamanan informasi mencakup dari keamanan informasi secara fisik dan logis.
Kemanan fisik berupa keamanan infrastruktur yang mengoperasikan pertukaran informasi
tersebut seperti tempat komunikasi, tempat penyimpanan informasi, alat komunikasi yang
mentransmisikan informasi, perangkat pendukung seperti CCTV, kunci lemari, kunci
kombinasi, pintu besi, alarm, dan lain-lain.
Sementera untuk keamanan logis berupa keamanan dalam bentuk dijital yang mencakup
password, sertifikat elektronik, akses login, otentikasi, dan tingkat otoritas yang dapat
mengakses sebuah informasi. Pengaturan terkait kemananan informasi diperlukan dengan
adanya tata kelola keamanan informasi. Tata kelola ini perlu adanya pendekatan peraturan atau
kebijakan dari pemilik informasi di dalam organisasi baik pemerintah maupun organisasi
lainnya.
Perlunya peraturan ini adalah sebagai dasar upaya kegiatan keamanan informasi berupa
pengamanan informasi yang berdampak pada kejelasan kewenangan sebuah organisasi
keamanan informasi. Tata kelola keamanan dapat mencontoh dari beberapa standar seperti
ISO/IEC 27001:2013 dan standar pendukungnya yang masuk ke dalam ISO 27000. Siber atau
5. dalam pengertian dunia maya sudah menjadi gaya hidup di keseharian kita. Dalam dunia maya
pun terdapat istilah keamanan siber atau dalam bahasa dunianya adalah cyber security.
Pengertian cyber security sendiri merupakan keamanan yang terkait dengan komputer
dan terhubung dalam jaringan. Sehingga cyber security hanya terkait dengan keamanan dunia
maya saja dan pengamanan siber ini menjadi bagian dari information security.
Cyber security mencakup dalam kemanan terhadap serangan peratasan yang dilakukan
oleh cracker, kejahatan siber atau yang dikenal sebagai cybercrime, melindungi data organisasi
dan pribadi yang berada dalam sistem, jaringan komputer, dan teknologi yang digunakan.
Cyber security melindungi sistem operasi, sistem informasi (aplikasi), dan data yang berada di
dalam komputer atau perangkat lainnya.
Sebagaimana kita ketahui bahwa dalamperkembangannya bahwa siber tidak hanya dapat
diakses melalui komputer namun sudah merambah dengan smartphone atau peralatan lainnya
yang terhubung langsung ke internet. Sehingga dalam cyber security menjadi memiliki tugas
yang cukup besar dalam melindungi perangkat elektronik yang terhubung internet.
BSSN (Badan Siber dan Sandi Negara) merupakan sebuah instansi yang bertansformasi
dari Lembaga Sandi Negara (Lemsaneg), Direktorat Keamanan Informasi Kementerian
Kominikasi dan Informatika, dan ID-SIRTII/CC.
Di Lembaga Sandi Negara sendiri sebelumnya sudah memiliki personil yang tugasnya
melakukan keamanan informasi. Keamanan informasi yang dilakukan yaitu untuk
memproteksi informasi rahasia (confidential) sehingga dapat ditransimisikan, disimpan, dan
dihapuskan melalui perangkat elektronik atau secara manual.
Adapun personil yang melakukannya adalah sandiman. Sandiman ini tersebar di
beberapa instansi pemerintah dan swasta sehingga merekalah yang memiliki kewenangan
untuk mengamankan informasi milik instansi.
Pada kenyataannya peran sandiman ini tidak hanya melakukan kegiatan rahasia saja,
namun sudah merambah kepada informasi publik yang perlu dilindungi berupa ketersediaan,
keutuhan dan nirpenyangkalan terhadap sebuah informasi. Sebagaimana diketahui bahwa
sertifikat elektronik merupakan produk keamanan informasi yang memanfaatkan algoritma
kriptografi yang selama ini memang sudah dibangun oleh BSSN.
6. Pemanfaatan sertifikat elektronik melingkupi tanda tangan elektronik, pengamanan
webserver, dan web client dengan SSL. Bahkan BSSN sudah bekerjasama dengan beberapa
kementerian untuk memanfaatkan sertifikat elektronik ke dalam sistem informasi.
Menurut G. J. Simons, permasalahan pokok sebenarnya dalam hal keamanan sistem
informasi terletak pada kelemahan dan ancaman atas sistem informasi yang pada gilirannya
masalah tersebut akan berdampak kepada resiko dan pada gilirannya berdampak kepada 7 hal
yang utama dalam sistem informasi yaitu :
Efektifitas
Efisiensi
Kerahaasiaan
Integritas
Keberadaan
Kepatuhan
Keandalan
Tujuan Keamanan Informasi
Keamanan informasi ditujuakn untuk mencapai tiga tujuan utama yakni:
a. Kerahasiaan. Perusahaan berusaha untuk melindungi data dan informasinya dari
pengungkapan orang-orang yang tidak berwenang.
b. Ketersediaan. Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data
dan informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
c. Integritas. Semua sistem informasi harus memberikan representasi akurat atas sistem
fisik yang direpresentasikannya.
MANAJEMEN KEAMANAN INFORMASI
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap
yakni:
7. a. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan
b. Mendefenisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
c. Menentukan kebijakan keamanan informasi
d. Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.
Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan
ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko
yang dihadapinya.
Tolak ukur (benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur keamanan
informasi (information security benchmark) adalah tingkat kemanan yang disarankan yang
dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang
tidak terotorisasi.standar atau tolak ukur semacam ini ditentukan oleh pemerintah dan asosiasi
industri serta mencerminkan komponen-komponen program keamanan informais yang baik
menurut otoritas tersebut.
Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak
ukur (benchmark compliance) dapat diasumsikan bahwa pemerintah dan otoritas industri telah
melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan
tolak ukur tersebut menawarkan perlindungan yang baik.
ANCAMAN
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang,
organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber
daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal
dan bersifat disengaja dan tidak disengaja.
Ancaman Internal dan Eksternal
Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal
diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan denga
ancaman eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan
8. sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki produk yang sama
dengan produk perusahaan atau disebut juga pesaing usaha.
Tindakan Kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan
mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh orang-orang di dalam
ataupun diluar perusahaan. sama halnya
Jenis- Jenis Ancaman:
Malicious software, atau malware terdiri atas program-program lengkap atau segmen-
segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang tidak
diharapkan oleh pemilik system. Fungsi-fungsi tersebut dapat menghapus file,atau
menyebabkan sistem tersebut berhenti. Terdapat beberapa jensi peranti lunak yang berbahaya,
yakni:
a. Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati
oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain
b. Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi
dapat menyebarkan salinannya melalui e-mail
c. Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri,
namun disebarkan sebagai perangkat
d. Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu
e. Spyware. Program yang mengumpulkan data dari mesin pengguna
RESIKO
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi
output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan
informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini
dibagi menjadi empat jenis yaitu:
9. a. Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis data
dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak
memiliki akses, hasilnya adalah hilangnya informasi atau uang.
b. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika
orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan
mampu melakukan hal tersebut.
c. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak
atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan
operasional komputer perusahaan tersebut tidak berfungsi.
d. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan
peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para
pengguna output sistem tersebut mengambil keputusan yang salah.
Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka
ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi
dikenal sebagai 6P yaitu:
1. Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan
implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:
a) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode
yang lama, biasanya lima tahunan atau lebih,
b) tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi
sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat,
misalnya satu atau dua tahunan,
c) operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang
dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan
informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada beberapa tipe
planning dalam manajemen keamanan informasi, meliputi :
10. Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan
mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya
informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan
mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi
dan menyerang aset informasi, dan mengancam confidentiality, integrity atau availbility
sumberdaya informasi. Insident Response Planning meliputi incident detection, incident
response, dan incident recovery.Disaster Recovery Planning (DRP)
Disaster Recovery Planning
merupakan persiapan jika terjadi bencana, dan melakukan pemulihan dari bencana. Pada
beberapa kasus, insiden yang dideteksi dalam IRP dapat dikategorikan sebagai bencana jika
skalanya sangat besar dan IRP tidak dapat lagi menanganinya secara efektif dan efisien untuk
melakukan pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana
jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan tingkat
kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk
melakukan pemulihan.
Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika
terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan
tugas utama business continuity planning. Jika terjadi bencana, BCP bertugas menjamin
kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam BCP
adalah biaya.
2. Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
Enterprise Information Security Policy (EISP) menentukan kebijakan departemen
keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian
organisasi.
Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan
perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi
pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
11. System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau
teknologi secara teknis atau manajerial.
3. Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa
bagian. Salah satu contohnya adalah program security education training and awareness.
Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan
informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai
peningkatan keamanan informasi organisasi.
4. Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi
perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi
proteksi dan perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap
mekanisme merupakan aplikasi dari aspek-aspek dalam rencana keamanan informasi.
5. People
Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali
mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi.
Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.
6. Project Manajemen
Komponen terakhir adalah penerapan kedisiplinan manajemen dalam setiap elemen kemanan
informasi. Hal ini melibatkan identifikasi dan pengendalian sumberdaya yang dikerahkan
untuk keamanan informasi, misalnya pengukuran pencapaian keamanan informasi dan
peningkatannya dalam mencapai tujuan keamanan informasi.
Serangan Terhadap Keamanan Sistem Informasi
Security attack, atau serangan terhadap keamanan sistem informasi, dapat dilihat dari
sudut peranan komputer atau jaringan komputer yang fungsinya adalah sebagai penyedia
informasi. Menurut W. Stallings, ada beberapa kemungkinan serangan (attack):
12. 1. Interruption: Perangkat sistem menjadi rusak atau tidak tersedia. Serangan ditujukan
kepada ketersediaan (availability) dari sistem. Contoh serangan adalah “denial of
service attack”.
2. Interception: Pihak yang tidak berwenang berhasil mengakses aset atau informasi.
Contoh dari serangan ini adalah penyadapan (wiretapping).
3. Modification: Pihak yang tidak berwenang tidak saja berhasil mengakses, akan tetapi
dapat juga mengubah (tamper) aset. Contoh dari serangan ini antara lain adalah
mengubah isi dari web site dengan pesan-pesan yang merugikan pemilik web site.
4. Fabrication: Pihak yang tidak berwenang menyisipkan objek palsu ke dalam sistem.
Contoh dari serangan jenis ini adalah memasukkan pesan-pesan palsu seperti e-mail
palsu ke dalam jaringan komputer.
KELEMAHAN, ANCAMAN
Kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan
prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga
memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut.
Kelemahan tersebut dimanfaatkan oleh orang-orang yang tidak bertanggung jawab seperti
gangguan /serangan:
1. Untuk mendapatkan akses (access attacks)
2. Untuk melakukan modifikasi (modification attacks)
3. Untuk menghambat penyediaan layanan (denial of service attacks)
Beberapa cara dalam melakukan serangan, antara lain:
Sniffing
Spoofing
Man-in-the-middle
Menebak password
13. Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang
dapat mengganggu keseimbangan sistem informasi. Ancaman tersebut berasal dari individu,
organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan
pada sumber-sumber informasi perusahaan. Dan pada kenyataannya, ancaman dapat terjadi
dari internal, eksternal perusahaan serta terjadi secara sengaja atau tidak sengaja Berdasarkan
hasil survey menemukan 49% kejadian yang membahayakan keamanan informasi dilakukan
pengguna yang sah dan diperkirakan 81 %
kejahatan komputer dilakukan oleh pegawai perusahaan. Hal ini dikarenakan ancaman
dari intern perusahaan memiliki bahaya yang lebih serius dibandingkan yang berasal dari luar
perusahaan dan untuk kontrol mengatasinya/ menghadapi ancaman internal dimaksudkan
dengan memprediksi gangguan keamanan yang mungkin terjadi. Sementara untuk kontrol
ancaman yang besumber dari eksternal perusahaan baru muncul/ mulai bekerja jika serangan
terhadap keamanan terdeteksi. Namum demikian tidak semuanya ancaman berasal dari
perbuatan yang disengaja, kebanyakan diantaranya karena ketidaksengajaan atau kebetulan,
baik yang berasal dari orang di dalam maupun luar perusahaan.
Timbulnya ancaman sistem informasi juga dimungkinkan oleh kemungkin timbul dari kegiatan
pengolahan informasi berasal dari 3 hal utama, yaitu :
1. Ancaman Alam
2. Ancaman Manusia
3. Ancaman Lingkungan
Aspek ancaman keamanan komputer atau keamanan sistem informasi
Interruption
Informasi dan data yang ada dalam sistem komputer dirusak dan dihapus sehingga jika
dibutuhkan, data atau informasi tersebut tidak ada lagi.
Interception
Informasi yang ada disadap atau orang yang tidak berhak mendapatkan akses ke komputer
dimana informasi tersebut disimpan.
Modifikasi
14. orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan
diubah sesuai keinginan orang tersebut.
Fabrication
orang yang tidak berhak berhasil meniru suatu informasi yang ada sehingga orang yang
menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang
dikehendaki oleh si penerima informasi tersebut.
RESIKO
Dengan mengetahui ancaman dan kelemahan pada sistem informasi terdapat beberapa
kriteria yang perlu diperhatikan dalam masalah keamanan sistem informasi yang dikenal
dengan 10 domain, yaitu :
1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang di pakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada
Kesepuluh domain tersebut dimaksudkan sebagai antisipasi resiko keamanan informasi
yaitu hasil yang tidak diinginkan akibat terjadinya ancaman dan gangguan terhadap keamanan
informasi. Semua risiko mewakili aktivitasaktivitas yang tidak sah atau di luar dari yang
diperbolehkan perusahaan.
Macam-macam resiko tersebut dapat berupa:
15. Pengungkapan dan pencurian
Ketika database dan perpustakaan perangkat lunak dapat diakses oleh orang yang tidak berhak.
Penggunaan secara tidak sah
Terjadi ketika sumber daya perusahaan dapat digunakan oleh orang yang tidak berhak
menggunakannya, biasa disebut hacker.
Pengrusakan secara tidak sah dan penolakan pelayanan
Penjahat komputer dapat masuk ke dalam jaringan komputer dari komputer yang berada jauh
dari lokasi dan menyebabkan kerusakan fisik, seperti kerusakan pada layar monitor, kerusakan
pada disket, kemacetan pada printer, dan tidak berfungsinya keyboard.
Modifikasi secara tidak sah
Perubahan dapat dibuat pada data-data perusahaan, informasi, dan perangkat lunak. Beberapa
perubahan tidak dapat dikenali sehingga menyebabkan pengguna yang ada di output system
menerima informasi yang salah dan membuat keputusan yang salah. Tipe modifikasi yang
paling dikhawatirkan adalah modifikasi disebabkan oleh perangkat lunak yang menyebabkan
kerusakan, biasanya dikelompokkan sebagai virus.
MANAJEMEN RISIKO (MANAGEMENT RISK)
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau
mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
1. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
2. Menyadari risikonya
3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4. Menganalisis kelemahan perusahaan tersebut
16. Tabel Tingkat Dampak dan Kelemahan
Dampak Parah Dampak Signifikan Dampak Minor
Kelemahan Tingkat
Tinggi
Melaksanakan analisis
kelemahan. Harus
meningkatkan
pengendalian
Melaksanakan analisis
kelemahan Harus meningkatkan
pengendalian
Analisis kelemahan
tidak dibutuhkan
Kelemahan Tingkat
Menengah
Melaksanakan analisis
kelemahan. Sebaiknya
meningkatkan
pengendalian.
Melaksanakan analisis kelemahan.
Sebaiknya meningkatkanpengendalian.
Analisis kelemahan
tidak dibutuhkan
Kelemahan Tingkat
Rendah
Melaksanakan analisis
kelemahan. Menjaga
Pengendalian tetap
ketat.
Melaksanakan analisis kelemahan.
Menjaga Pengendalian tetap ketat.
Analisis kelemahan
tidak dibutuhkan
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
1. dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau sangat
membatasi kemampuan perusahaan tersebut untuk berfungsi
2. dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya yang
signifikan, tetapi perusahaan tersebut tetap selamat
3. dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan yang terjadi
dalam operasional sehari-hari.
Setelah analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam
laporan analisis risiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini, mengenai
tiap-tiap risiko:
1. diskripsi risiko
2. sumber risiko
3. tingginya tingkat risiko
17. 4. pengendalian yang diterapkan pada risiko tersebut
5. para pemilik risiko tersebut
6. tindakan yang direkomendasikan untuk mengatasi risiko
7. jangka waktu yang direkomendasikan untuk mengatasi risiko
Jika perusahaan telah mengatasi risiko tersebut, laporan harus diselesaikan dengan cara
menambahkan bagian akhir :
8. apa yang telah dilaksanakan untuk mengatasi risiko tersebut
Teknologi terus maju dan berkembang seiring dengan berjalannya waktu. Dengan
berkembangnya teknologi tersebut, banyak keuntungan yang didapatkan oleh manusia. Seperti,
dapat membantu mempercepat pekerjaan manusia, meningkatkan kualitas dan kuantitas
layanan, mempermudah proses transaksi keuangan, dan lainnya. Tidak hanya dilihat dari segi
keuntungannya saja, namun segi keamanan teknologi itu sendiri juga harus diperhatikan. Untuk
mendukung hal tersebut, Anda harus mengetahui 10 cara agar Keamanan sistem IT terjaga,
sebagai berikut ini:
1. Protect with passwords
Banyak serangan cyber yang berhasil meretas karena kata sandi (password) yang lemah. Semua
akses ke jaringan maupun data, sangat sensitif dan harus dijaga dengan nama pengguna dan
kata kunci yang unik. Sandi yang kuat berisi angka, huruf dan simbol. Disarankan untuk setiap
pengguna menggunakan kata sandi yang unik.
2. Design safe systems
Batasi akses ke infrastruktur teknologi Anda untuk mencegah mudahnya peretas dan pencuri
merusak sistem Anda. Hilangkan akses yang tidak perlu ke hardware maupun software Anda,
dan batasi hak akses pengguna hanya untuk peralatan dan program yang dibutuhkan saja. Bila
memungkinkan, gunakan juga alamat email, login, server dan nama domain yang unik bagi
setiap pengguna, kelompok kerja maupun departemen.
3. Conduct screening and background checks
Melakukan skrining dan pemeriksaan latar belakang pada karyawan perlu dilakukan. Sama
halnya dengan meneliti kredibilitas mereka juga. Pada periode percobaan awal, akses terhadap
18. data sensitif atau jaringan yang mencurigakan yang dilakukan oleh karyawan Anda harus
dilarang dan juga dibatasi, agar sistem IT Anda menjadi aman.
4. Provide basic training
Pelanggaran keamanan yang tak terhitung jumlahnya kerap terjadi sebagai akibat kesalahan
dan kecerobohan manusia. Anda dapat membantu dengan membangun budaya perusahaan
yang menekankan pada keamanan komputer melalui program pelatihan yang memperingatkan
berapa besarnya risiko pada penggunaan kata sandi, jaringan, program dan perangkat yang
ceroboh.
5. Avoid unknown email attachements
Jangan pernah mengklik lampiran email yang tidak dikenal, yang kemungkinan bisa berisi
virus komputer. Sebelum membukanya, hubungi pengirim untuk mengkonfirmasi isi pesan.
Jika Anda tidak mengenal pengirim tersebut, baiknya Anda menghapus pesan, memblokir akun
pengirim yang tidak dikenal, dan memperingatkan orang lain untuk melakukan hal yang sama.
6. Hang up and call back
Jika Anda menerima panggilan dari orang yang tidak dikenal yang tiba-tiba ingin memberikan
hadiah dan berpura-pura hadiah itu diberikan oleh perwakilan dari bank atau mitra lainnya,
segera akhiri panggilan yang tidak dikenal tersebut. Kemudian hubungi kontak langsung ke
organisasi tersebut, atau salah satu nomor call centernya untuk mengkonfirmasi bahwa
panggilan yang Anda terima tersebut sah/tidak.
7. Think before clicking
Untuk menghindari penipuan yang terjadi melalui email yang meminta informasi nama
pengguna, kata sandi atau informasi pribadi, Anda harus mempertimbangkannya kembali agar
Anda tidak terdorong ke sebuah situs web palsu yang mendorong calon korban untuk
memasukkan data mereka sendiri.
8. Use a virus scanner, and keep all software up-to-date
Baik Anda bekerja di rumah atau di jaringan kantor, disarankan untuk menginstal antivirus
pada PC Anda. Banyak penyedia jaringan sekarang menawarkan aplikasi antivirus secara
gratis. Di samping itu, menjaga perangkat lunak agar terus up-to-date juga mampu mencegah
virus masuk dan membuat keamanan sistem IT Anda terjaga.
19. 9. Keep sensitive data out of the cloud
Cloud computing menawarkan banyak manfaat dan penghematan biaya kepada bisnis Anda.
Namun layanan semacam itu juga dapat menimbulkan ancaman tambahan karena data
ditempatkan di server jarak jauh yang dioperasikan oleh pihak ketiga yang mungkin memiliki
masalah keamanan tersendiri.
10. Stay paranoid
Rusak atau robek semua hal termasuk dokumen dengan nama perusahaan, alamat dan informasi
lainnya, termasuk logo vendor dan bank yang sedang ingin berurusan dengan Anda. Jangan
pernah meninggalkan laporan yang bersifat penting dan sensitif di meja Anda. Ubah juga kata
sandi secara teratur dan sering, terutama jika Anda membaginya dengan rekan kerja Anda. Hal
ini sangat penting Anda lakukan, untuk membuat keamanan sistem IT Anda terjaga.
Macam-macam Pengendalian
1. Pengendalian Teknis
Adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para penyususn
system selama masa siklus penyusunan system. Dilakukan melalui tiga tahap:
a. Identifikasi Pengguna.
Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor telepon.nomor
telepon.
b. Otentikasi Pengguna.
Pengguna memverivikasi hak akses dengan cara memberikan sesuatu yang mereka miliki,
seperti chip identifikasi atau tanda tertentu.
c. Otorisasi Pengguna.
Pengguna dapat mendapatkan wewenang untuk memasuki tingkat penggunaan tertentu.
Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat menggunakan sumber daya
informasi yang terdapat di dalam batasan file akses.
20. Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan
sebelum memiliki kesempatan untuk melakukan perusakan.
Firewall
Suatu Filter yang membatasi aliran data antara titik-titik pada suatu jaringan-biasanya antara
jaringan internal perusahaan dan Internet.
Berfungsi sebagai:
a. Penyaring aliran data
b. Penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet.
2. Pengendalian Kriptografis
Merupakan penggunaan kode yang menggunakan proses-proses matematika. Meningkatkan
keamanan data dengan cara menyamarkan data dalam bentuk yang tidak dapat
dibaca. Berfungsi untuk melindungi data dan informasi yang tersimpan dan ditransmisikan,
dari pengungkapan yang tidak terotorisasi.
Kriptografi terbagi menjadi:
a. Kriptografi Simetris
Dalam kriptografi ini, kunci enkripsi sama dengan kunci dekripsi.
b. Kriptografi Asimetris
Dalam kriptografi kunci enkripsi tidak sama dengan kunci dekripsi.
Contoh:
Enkripsià kunci public
Dekripsià Kunci Privat
c. Kriptografi Hybrid
21. d. Menggabungkan antara kriptografi simetris dan Asimetris, sehingga mendapatkan kelebihan
dari dua metode tersebut.
Contoh: SET (Secure Electronic Transactions) pada E-Commerce
3. Pengendalian Fisik
Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu
ruangan computer.Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih,
yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat
penjaga keamanan.
4. Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur dan praktik
yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang
berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu
untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk
berlaku dalam jangka panjang.
5. Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta program
pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga agar para karyawan
perusahaan memahami serta mendukung program keamanan tersebut
Manajemen Keberlangsungan Bisnis
Manajemen keberlangsungan bisnis (business continuity management-BCM) adalah aktivitas
yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem informasi.
Subrencana yang umum mencakup:
1. Rencana darurat (emergency plan): terdiri dari cara-cara yang akan menjaga keamanan
karyawan jika bencana terjadi. Co: Alarm bencana, prosedur evakuasi
2. Rencana cadangan : menyediakan fasilitas computer cadangan yang bisa dipergunakan
apabila fasilitas computer yang biasa hancur atau rusak hingga tidak bisa digunakan.
22. 3. Rencana catatan penting (vital records plan) : merupakan dokumen kertas, microform, dan
media penyimpanan optis dan magnetis yang penting untuk meneruskan bisnis perusahaan.
IMPLEMENTASI KEAMANAN INFORMASI DALAM PERUSAHAAN
Perusahaan tempat saya bekerja menggunakan sebuah sistem keamanan informasi
dengan pemasangan antivirus pada setiap PC yang ada diperusahaan, pembatasan pengaksesan
sistem yang digunakan, pelarangan karyawan meninggalkan PC atau sistem yang diakses
dalam keadaan terbuka, rutin daam melakukan pemeliharaan sistem, pemasangan kata sandi
atau password yang berbeda-beda pada setiap PC yang ada perusahan serta rutin dalam
melakukan pergantian password atau kata sandi.
Penerapan keamanan tersebut sangat bermanfaat dalam menjaga keamanan data base
ataupun informasi-informasi perusahaan dari gangguan virus, peretasan, pencurian data,
penipuan, serta pengaksesan pihak ketiga.
Hingga saat ini, Perusahaan tersebut masih tetap berjalan dan semakin berkembang
dalam pendistribusian adan pemasangan pintu, jendela otomatis dan peralatan otomatis
lainnya. Perusahaan tersebut tidak pernah menjadi korban ancaman keamanan informasi.
KESIMPULAN
Pada era global seperti sekarang ini, keamanan sistem informasi menjadi suatu keharusan
untuk lebih diperhatikan terutama yang berbasis unternet, karena jaringan internet yang
sifatnya publik dan global pada dasarnya tidak aman. Pada saat data terkirim dari suatu
komputer ke komputer yang lain di dalam internet, data itu akan melewati sejumlah komputer
yang lain yang berarti akan memberi kesempatan pada user tersebut untuk mengambil alih satu
atau beberapa komputer. Kecuali suatu komputer terkunci di dalam suatu ruangan yang
mempunyai akses terbatas dan komputer tersebut tidak terhubung ke luar dari ruangan itu,
maka komputer tersebut akan aman.
Saat ini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya
mereka, baik yang bersifat virtual maupun fisik agar aman dari ancaman baik dari dalam atau
dari luar. Istilah keamanan sistem digunakan untuk mengambarkan perlindungna baik peralatan
komputer dan nonkomputer, fasilitas,data dan informasi dari penyalahgunaan pihak-pihak
23. yang tidak berwenang. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut
manajemen keamanan informasi (information security management – ISM ), sedangkan
aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah
adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity management
–BCM). Istilah manajemen risiko (risk management) dibuat untuk menggambarkan
pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan
dengan risiko yang dihadapinya.
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang,
organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber
daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal
dan bersifat disengaja dan tidak disengaja.
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi
output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan
informasi. E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini
bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan
kartu kredit. Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi
perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika
resiko tersebut terjadi. Pengendalian dibagi menjadi tiga kategori, yaitu: teknis, formal dan
informal.
DAFTAR PUSTAKA
Reymond, MC Leod. 2009. Sistem Informasi Manajemen. Salemba Empat
Laudon, Kenneth C., & Jane, P. Laudon. (2010). Manajemen Information System:
Managing the Digital Firm.
https://phintraco.com/10-cara-menjaga-keamanan-sistem-it/
https://bpptik.kominfo.go.id/2014/03/24/404/keamanan-informasi/
https://jusupkristanto.wordpress.com/2009/06/10/manajemen-keamanan-informasi/
https://www.kedaipena.com/sandiman-penjaga-keamanan-informasi/
Damayanti, K., Fardinal., (2019). The Effect of Information Technology Utilization,
Management Support, Internal Control, and User Competence on Accounting
Information System Quality. Schollars Bulletin, 5(12), 751-758.
24. Hanifah, S., Sarpingah, S., & Putra, Y. M., (2020). The Effect of Level of Education,
Accounting Knowledge, and Utilization Of Information Technology Toward Quality
The Quality of MSME ’ s Financial Reports. The 1st Annual Conference Economics,
Business, and Social Sciences (ACEBISS) 2019, 1 (3). https://doi.org/10.4108/eai.3-2-
2020.163573
Herliansyah, Y., Nugroho, L., Ardilla, D., & Putra, Y. M., (2020). The Determinants of
Micro, Small and Medium Entrepreneur (MSME) Become Customer of Islamic Banks
(Religion, Religiosity, and Location of Islamic Banks ). The 1st Annual Conference
Economics, Business, and Social Sciences (ACEBISS) 2019, 1 , (2).
https://doi.org/10.4108/eai.26-3-2019.2290775
Nugroho, L., Mastur, A.A., Fardinal, F., Putra, Y.M., (2019). Hajj, Civilization and
Islamic Banking Contribution Discourses. Location of Islamic Banks ). The 1st Annual
Conference Economics, Business, and Social Sciences (ACEBISS)
2019, 1 (11), http://dx.doi.org/10.4108/eai.26-3-2019.2290773
Putra, Y. M., (2018). Informasi dalam Praktik. Modul Kuliah Sistem Informasi
Manajemen. FEB-Universitas Mercu Buana: Jakarta
Putra, Y. M., (2019). Analysis of Factors Affecting the Interests of SMEs Using
Accounting Applications. Journal of Economics and Business, 2(3), 818-
826. https://doi.org/10.31014/aior.1992.02.03.129