Dokumen tersebut membahas tentang manajemen keamanan sistem informasi, termasuk tujuan, ancaman, dan strategi yang diterapkan. Tiga hal penting yang dijelaskan adalah pentingnya menjaga kerahasiaan, ketersediaan, dan integritas informasi, ancaman-ancaman terhadap sistem informasi seperti virus dan hacking, serta penerapan manajemen risiko dan tolok ukur dalam mengelola keamanan informasi.

1. SISTEM INFORMASI MANAJEMEN
Disusun untuk mata kuliah :
Sistem Informasi Manajemen Minggu Ke Sepuluh Semester Gasal 2018
Dosen Pengampu : Yananto Mihadi Putra, S.E., M.Si., CMA.
Disusun Oleh :
Istianah Indrayani
43217110118
Mengenai :
KEAMANAN INFORMASI

2. Keamanan Sistem Informasi
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta
integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras
dan data. Manajemen keamananinformasi terdiri atas perlindungan harian, yang
disebut manajemen keamanan informasi (information security managemen) dan
persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan
manajemen keberlangsungan bisnis (business continuity managemen).
Dua pendekatan dapat dilakukan untuk menysun strategi-strategi ISM: manajemen
resiko dan tolok ukur. Perhatian akan ancaman dan risiko berhbungan dengan
manajemen resiko.ancaman dapat bersifat internal atau eksternal, tidak disengaja
atau disengaja. Risiko dapat mencakup insiden pengungkapan, penggunaan, dan
modifikasi yang tidak diotorisasi serta pencurian, penghancuran, dan penolakan
layanan. Ancaman yang paling ditakuti adalah virus computer. Ada tiga jenis
pengendalian yang tersedia yaitu: pengendalian teknis, pengendalian formal, dan
pengendalian informal.
Manajemen keberlangsungan bisnis terdiri atas seperangkat subrencana untuk
menjaga keamanan karyawan, memungkinkan keberlangsungan operasional dengan
cara menyediakan fasilitas mengembangkan rencana kontinjensi baru tidak harus dari
awal; beberapa model berbasis peranti lunak tersedia, seperti halnya garis besar dan
panduan dari pemerintah.

3. Pengertian Keamanan Sistem Informasi
adalah Manajemen pengelolaan keamanan yang bertujuan mencegah, mengatasi,
dan melindungi berbagai sistem informasi dari resiko terjadinya tindakan ilegal seperti
penggunaan tanpa izin, penyusupan, dan perusakan terhadap berbagai informasi
yang di miliki. Resiko terhadap keamanan sistem informasi mencakup dua hal utama
1. Ancaman terhadap keamanan sistem informasi
Ancaman merupakan sesuatu hal yang dapat terjadi baik dari dalam sistem maupun
dari luar sistem. Ancaman ini sendiri terbagi lagi dalam beberapa kategori yaitu
ancaman lingkungan, ancaman manusia, dan ancaman alam.
 Ancamana lingkungan adalah segala aktifitas yang terjadi disekitar perangkat
keras yang digunakan atau letak fisik dari sekumpulan informasi. Ancaman ini bisa
berupa terjadinya gangguan pada jaringan listrik, Kerusakan pada media tempat
dimana diletakkan informasi. dll
 Ancaman Manusia adalah ancaman yang paling serius. Ancaman ini bisa berupa
pencurian, perubahan tanpa izin, perusakan yang dilakukan secara langsung
melalui media fisik dimana informasi itu berada. Selain itu ancaman manusia juga
bisa datang tanpa harus langsung berhadapan dengan media fisik, seperti adanya
malicious code, virus, trojan, aktifitas hacking, DDOS metode, hingga social
enginering.
 Ancaman Alam juga harus menjadi basis pertimbangan dalam menerapkan
manajemen sistem keamanan informasi. Kejadian bencana alam seperti banjir,
tanah longsor, gempa bumi, petir atau kebakaran, sudah dapat di akomodir
dengan menerapkan Perencanaan Recovery terhadap semua data informasi
dengan metode backup dll.

4. 2. Kelemahan atau adanya lubang keamanan yang terbuka atau biasa
disebut vulnerability.
Kelemahan ini bisa timbul pada saat menetapkan sebuah prosedur pada alur
informasi atau perancangan desain aplikasi informasi yang dilakukan tanpa
memperhatikan resiko keamanan yang terjadi. Penerapan Penggunaan Firewall,
akses terbatas, atau pemutusan hubungan dapat dijadikan sebagai tindakan
pencegahan sementara hingga celah atau lubang keamanan dapat diperbaiki.
Masalah yang terjadi pada sistem informasi dapat mengakibatkan banyak masalah
pada pengelolaan manajemen informasi itu sendiri, baik dari segi kerahasiaan,
integritas, efektifitas maupun efisiensi.
Untuk menjamin keamanan sistem informasi, sebuah struktur manajemen keamanan
informasi harus sudah dibangun sedemikan ketatnya. Beberapa hal utama yang perlu
diperhatikan dalam membangun sebuah struktur manajemen keamanan informasi
adalah
 Manajeman akses kontrol terhadap sistem yang dipakai
 Media Telekomunikasi dan jaringan yang digunakan.
 Efektifitas manajemen praktis
 Sistem aplikasi yang digunakan dan dikembangkan
 Penerapan Cryptographs yang mengacak informasi secara terstruktur.
 Manajemen Disaster Recovery Plan atau tindakan pencegahan serta
perencanaan recovery terhadap sebuah kasus yang terjadi.
 Akses hukum dan penerapan investigasi serta kode etik

5. Keamanan Sistem
Keamanan Informasi
Keamanan informasi (information security) digunakan untuk mendeskripsikan
perlindungan baik peralatan computer dan non komputer dan non kompter, fasilitas,
data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
Saat pemerintah dan kalangan industri menyadari kebutuhan untuk mengamankan
sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada
perlindungan peranti keras dan data, maka istilah keamanan sistem (system security)
pun digunakan. Fokus sempit ini kemudian diperluas sehingga mencakup bukan
hanya peranti keras dan data, namun juga peranti lunak, fasilitas computer, dan
personel.
Keamanan Sistem mengacu pada perlindungan terhadap semua sumber daya
informasi perusahaan dari ancaman oleh pihak-pihak yang tidak berwenang.
Tujuan-tujuan Keamanan ; dimaksudkan untuk mencapai 3 tujuan utama , yaitu :
1. Kerahasiaan, perusahaan berusaha melindungi data dan informasi dari
orang-orang yang tidak berhak.
2. Ketersediaan, tujuan CBIS adalah menyediakan data dan informasi bagi
mereka yang berwenang untuk menggunakannya.
3. Integritas, semua subsistem CBIS harus menyediakan gambaran akurat dari
sistem fisik yang diwakilinya.
Pengendalian Akses ; dicapai melalui suatu proses 3 langkah, yang mencakup :
1. Indentifikasi User.
2. Pembuktian Keaslian User.
3. Otorisasi User.

6. Strategi Pengulangan Biaya Manajemen Informasi, Strategi yang paling banyak
dimanfaatkan adalah :
1. Strategi Konsolidasi, dapat diikuti dengan mengurangi jumlah lokasi sumber
daya informasi yang terpisah. Alasannya adalah sejumlah kecil pemusatan
sumber daya yang besar dapat beroperasi lebih efisien dari pada banyak
pemusatan sumber daya yang kecil.
2. Downsizing, adalah transfer berbagai aplikasi berbasis komputer perusahaan
dari konfigurasi peralatan besar, seperti mainframe ke platform yang lebih kecil
seperti komputer mini. Dalam beberapa kasus, platform yang lebih kecil tetap
berada dalam IS, dan dalam kasus lain ditempatkan di area pemakai. Pemindahan
ke sistem yang kurang mahal tetapi penuh daya ini disebut Smartsizing.
Keuntungan downsizing : sistem yang user friendly.
3. Outsourcing, ukuran pemotongan biaya yang dapat berdampak lebih besar bagi
IS dari pada downsizing adalah outsourcing. Outsourcing adalah mengkontrakkan
keluar semua atau sebagianoperasi komputer perusahaan kepada organisasi jasa
di luar perusahaan.
Jasa-jasa yang ditawarkan Outsourcers mencakup :
a) Entry data dan pengolahan sederhana.
b) Kontrak pemrograman.
c) Manajemen fasilitas, operasi lengkap dari suatu pusat komputer.
d) Integrasi sistem, adalah kinerja semua tugas-tugas siklus hidup pengembangan
sistem.
e) Dukungan operasi untuk pemeliharaan, pelayanana atau pemulihan dari
bencana.

7. Pentingnya Pengendalaian Sistem Informasi
Untuk berfungsi secara efektif dan efisien, sebuah business harus mempunyai
sistem informasi manajemen yang valid, akurat, lengkap, tepat waktu dan tepat guna.
Dengan demikian manajemen, aktor yang menjadi pemegang peranan penting dari
keberhasilan sesuatu perusahaan, dapat mengambil keputusan yang optimal
berdasarkan
informasi yang dapat diandalkan. Sesuai dengan laju perkembangan teknologi
informasi, sistem informasi manajemen masa kini pada umumnya telah didukung oleh
komputer di dalam suatu kegiatan usaha adalah sangat tergantung pada situasi dan
kondisi dari masing-masing perusahaan. Ada perusahaan yang tidak bisa berfungsi
sama sekali kalau komputernya macet, karena memekai sistem informasi manajemen
yang sangat bergantung pada komputer (computer dominant firm); dan ada pula
perusahaan yang tetap bisa beroperasi seperti biasa, meskipun komputernya musnah
terkena bencana, sebab sistem informasi manajemennya memang kurang
bergantung pada peran komputer (computer minor firm).
Tujuan Keamanan Informasi
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu:
1. Kerahasiaan
Perusahaan berusaha untuk melindungi data informasinya dari pengungkapan
kepada orang-orang yang tidak berwenang.
2. Ketersediaan
Tujuan infrastruktur informasi perusahaan adalah menyediakan data dan informasi
sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
3. Integritas
Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang
dipresentasikan.
Sistem Informasi diperlukan karena:

8. 1. Teknologi Komunikasi Modern yang membawa beragam dinamika dari dunia
nyata ke dunia virtual
2. Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai
3. Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai ekonomis.
Manajemen Keamanan Informasi
Manajemen tidak hanya diharapkan untuk menjaga sumber daya informasi aman,
namn jga diharapkan untuk menjaga persahaan tersebut agar tetap berfungsi setelah
suatu bencana atau jebolnya sistem keamanan. Aktifitas untuk menjaga agar
perusahaan dan sumber daya informasi tetap aman disebut Manajemen keamanan
informasi.
CIO adalah orang yang tepat untuk memikul tanggung jawab atas keamanan
informasi, namun kebanyakan organisasi mulai menunjuk orang tertentu yang dapat
mencurahkan perhatian penuh terhadap aktivitas ini. Direktur keamanan sistem
informasi perusahaan digunakan untuk individu di dalam organisasi, biasanya
anggota dari unit sistem informasi, yang bertanggung jawab atas keamanan sistem
informasi perusahaan tersebut. Namun saat ini perubahan sedang dibuat untuk
mencapai tingkat informasi yang lebih tinggi lagi di dalam perusahaan dengan cara
menunjuk seorang Direktur Assurance informasi perusahaan (CIAO). Seorang CIAO
harus mendapatkan serangkaian sertifikat keamanan dan memiliki pengalaman
minimum 10 tahun dalam mengelola suatu fasilitas keamanan informasi.
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas
empat tahap yaitu:
1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi
perusahaan
2. Mengidentifikasi risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
3. Menentukan kebijakan keamanan informasi
4. Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.

9. Strategi dalam ISM
1. Manajemen Risiko (Risk Management)
Dibuat untuk menggambarkan pendekatan dimana tingkat keamanan sumber daya
informasi perusahaan dibandingkan dengan risiko yang dihadapinya.
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan
risiko atau mengurangi dampaknya.
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
a. dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau
sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
b. dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya
yang signifikan, tetapi perusahaan tersebut tetap selamat
c. dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan
yang terjadi dalam operasional sehari-hari.
2. Tolak Ukur
Tolok ukur Adalah tingkat keamanan yang disarankan dalam keadaan normal harus
memberikan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.
Ancaman
Ancaman keamanan sistem informasi adalah orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi
perusahaan.
1. Ancaman Internal
Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut.
2. Ancaman Eksternal
Misalnya perusahaan lain yang memiliki produk yang sama dengan produk
perusahaan kita atau disebut juga pesaing usaha.

10. Jenis- Jenis Ancaman
Malicious software, atau malware terdiri atas program-program lengkap atau segmen-
segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang
tidak diharapkan oleh pemilik system. fungsi-fungsi tersebut dapat menghapus file
atau sistem itu berhenti. Terdapat beberapa piranti lunak yang berbahaya yaitu: Virus,
worm, Trojan horse, adware, spyware.
Risiko Keamanan Informasi (Information Security Risk)
Didefinisikan sebagai potensi output yang tidak Diharapkan dari pelanggaran
keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili
tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis
yaitu:
1. Interuption: ancaman terhadap availability, yaitu data dan informasi yang
berada dalam system computer yang dirusak dan dibuang sehingga menjadi
tidak ada atau menjadi tidak berguna.
2. Interception: merupakan ancaman terhadap secrey, yaitu orang yang tidak
berhak mendapatkan akses informasi dari dalam system computer.
3. Modification: merupakan ancaman terhadap integritas, yaitu orang yang tidak
berhak, tidak hanya berhasil mendapatkan akses, melainkan juga dapat
melakukan pengubahan terhadap informasi.
4. Fabrication: adanya orang yang tidak berwenang, meniru atau memalsukan
suatu objek ke dalam sistem.

11. Macam-macam Pengendalian
1. Pengendalian Teknis Adalah pengendalian yang menjadi satu di dalam system
dan dibuat oleh para penyususn system selama masa siklus penyusunan
system. Dilakukan melalui tiga tahap:
a. Identifikasi Pengguna.
Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor
telepon.nomor telepon.
b. Otentikasi Pengguna.
Pengguna memverivikasi hak akses dengan cara memberikan sesuatu yang mereka
miliki, seperti chip identifikasi atau tanda tertentu.
c. Otorisasi Pengguna.
Pengguna dapat mendapatkan wewenang untuk memasuki tingkat penggunaan
tertentu.
Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat menggunakan
sumber daya informasi yang terdapat di dalam batasan file akses.
Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran
keamanan sebelum memiliki kesempatan untuk melakukan perusakan.
Firewall
Suatu Filter yang membatasi aliran data antara titik-titik pada suatu jaringan-biasanya
antara jaringan internal perusahaan dan Internet.
Berfungsi sebagai:
a. Penyaring aliran data
b. Penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan
internet.

12. 2. Pengendalian Kriptografis
Merupakan penggunaan kode yang menggunakan proses-proses
matematika. Meningkatkan keamanan data dengan cara menyamarkan data dalam
bentuk yang tidak dapat dibaca. Berfungsi untuk melindungi data dan informasi yang
tersimpan dan ditransmisikan, dari pengungkapan yang tidak terotorisasi.
Kriptografi terbagi menjadi:
a. Kriptografi Simetris
Dalam kriptografi ini, kunci enkripsi sama dengan kunci dekripsi.
b. Kriptografi Asimetris
Dalam kriptografi kunci enkripsi tidak sama dengan kunci dekripsi.
Contoh:
Enkripsià kunci public
Dekripsià Kunci Privat
c. Kriptografi Hybrid
d. Menggabungkan antara kriptografi simetris dan Asimetris, sehingga mendapatkan
kelebihan dari dua metode tersebut.
Contoh: SET (Secure Electronic Transactions) pada E-Commerce
3. Pengendalian Fisik
Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah mengunci
pintu ruangan computer.Perkembangan seterusnya menghasilkan kunci-kunci yang
lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta
kamera pengintai dan alat penjaga keamanan.
4. Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur
dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang
berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam
jangka panjang.

13. 5. Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga agar
para karyawan perusahaan memahami serta mendukung program keamanan
tersebut
Model Sistem Informasi Sumber Daya Informasi
Pengertian :
Sistem yang menyediakan informasi mengenai sumber daya informasi perusahaan
kepada para pemakai diseluruh perusahaan.
Subsistem Input :
1) Sistem Informasi Akuntansi ; mengumpulkan data internal yang menjelaskan unit
jasa informasi dan data lingkungan yang menjelaskan transaksi unit tersebut
dengan para pemasoknya.
2) Subsistem Riset Sumber Daya Informasi ; menjelaskan kegiatan yang terdiri dari
proyek-proyek riset didalam perusahaan yang selanjutnya menentukan kebutuhan
user dan kepuasan user.
3) Subsistem Intelijen Sumber Daya Informasi ; menjelaskan fungsi yang
berhubungan dengan pengumpulan informasi dan elemen-elemen di lingkungan
perusahaan khususnya elemen-elemen yang berinteraksi dengan jasa informasi.
Elemen-elemen ini meliputi :
 Pemerintah.
 Pemasok.
 Serikat Pekerja.
 Masyarakat Global.
 Pelanggan.
 Pesaing.
 Masyarakat
 Keuangan.
 Pemegang Saham.

14. Subsistem Output :
1) Subsistem Perangkat Keras ; menyiapkan output informasi yang menjelaskan
sumber daya perangkat keras. Perangkat Lunak yang digunakan dalam
subsistem ini dapat berupa query language, pembuatan laporan dan model
matematika.
2) Subsistem Perangkat Lunak ; menyiapkan output informasi yang menjelaskan
sumber daya perangkat lunak. Output informasi terutama berbentuk jawaban
atas database query dan laporan periodik.
3) Subsistem Sumber Daya Manusia ; menyediakan informasi tentang para
spesialis informasi perusahaan.
4) Subsistem Data dan Informasi ; menyiapkan output yang menjelaskan sumber
daya data dan informasi yang berada di database pusat.
5) Subsistem Sumber Daya Terintegrasi ; menyatukan informasi yang menjelaskan
sumber daya hardware, software, SDM serta data dan informasi.
Mencapai Kualitas Manajemen Jasa Informasi
Konsep TQM (Total Quality Management) sering diasosiasikan dengen proses
manufaktur. Namun dasar yang sama dapat diterapkan pada produk dan jasa apapun
termasuk yang ditawarkan oleh IS.
 Kontrol desain sistem
 Kontrol pengoperasian sistem
 Kontrol pengoperasian system didasarkan pada struktur organisasional
dari departemen operasi, aktivitas dari unit yang ada dalam departemen
tersebut. Kontrol yang memberikan kontribusi terhadap tujuan ini dapat
diklasifikasikan menjadi lima area :
 Struktur organisasional
 Kontrol perpustakaan
 Pemeliharaan peralatan
 Kontrol lingkungan dan kemanan
fasilitas
 Perencanaan disaster, meliputi area :
 Rencana keadaan darurat (emergency plan)

15.  Rencana back-up Rencana record penting (vital record
plan)
 Rencana recovery (recovery plan)
Keamanan Sistem Informasi Berbasis Internet
Pada era global seperti sekarang ini, kemanan sistem informasi berbasis
internet menjadi suatu keharusan untuk diperhatikan, karena jaringan komputer
internet yang sifatnya publik dan global pada dasarnya tidak aman. Pada saat data
terkirim dari suatu komputer kekomputer yang lain didalam internet, data itu akan
melewati sejumlah komputer yang lain yang berarti akan memberi kesempatan pada
user internet yang lain untuk menyadap atau mengubah data tersebut. Kecuali suatu
komputer terkunci didalam ruangan yang mempunyai akses terbatasdan komputer
tersebut tidak terhubung keluar dari ruangan itu, maka komputer tersebut tidak aman.
Pembobolan sistem keamanan di internet terjadi hampir tiap hari diseluruh dunia.
Sistem keaman jaringan komputer yang terhubung di internet harus direncanakan dan
dipahami dengan baik agar dapat melindungi investasi dan sumber daya didalam
jaringan komputer tersebut secara efektif. Sebelum mulai mengamankan suatu
jaringan komputer, harus ditentukan lebih dahulu tingkat ancaman(threat) yang harus
diatasi, dan resiko yang harus diambil maupun yang harus dihindari. Untuk itu,
jaringan komputer harus danalisa untuk mengetahui apa yang harus diamankan,
untuk apa diamankan, seberapa besar nilainya, dan siapa yang bertanggung jawab
terhadap atas data dan aset-aset lain didalam jaringan komputer tersebut. Dibawah
ini adalah hal-hal yang harus dimengerti dalam perencanaan kebijaksanaan(policy)
keamanan jaringan komputer:
Resiko
Resiko adalah suatu kemungkinan dimana penyusup berhasil mengakses komputer
didalam jaringan yang dilindungi. Apakah penyusup dapat membaca, menulis atau
mengeksekusi suatu file yang dapat mengakibatkan kerugian terhadap organisasi
pemilik jaringan komputer tersebut? Apakah penyusup dapat merusak data yang
penting? Seberapa besar hal-hal tersebut dapat mengakibatkan kerugianterhadap
pemilik jaringan komputer? Harus diingat pula bahwa siapa saja yang dapat
memperoleh akses terhadap suatu account, maka dia dapat menyamar sebagai

16. pemilik account. Dengan kata lain, dengan adanya satu account yang tidak aman
didalam suatu sistem jaringan komputer dapat berakibat seluruh jaringan komputer
menjadi tidak aman.
Ancaman(threat)
Pada dasarnya, ancaman dating dari seseorang yang mempunyai keinginan
memperoleh akses ilegal kedalam suatu jaringan komputer. Oleh karena itu harus
ditentukan siapa saja yang diperbolehkan mempunyai akses legal kedalam sistem,
dan ancaman-ancaman yang dapat mereka timbulkan. Ada beberapa tujuan yang
ingin dicapai oleh penyusup, dan akan sangat berguna bila dapat membedakan
mereka pada saat merencanakan sistem keamanan jaringan komputer. Beberapa
tujuan para penyusup antara lain:
1) Pada dasrnya hanya ingin tahu sistem dan data yang pada suatu jaringan
komputer yang dijadikan sasaran. Penyusup yang bertujuan seperti ini disebut
dengan the curious.
2) Membuat sistem jaringan komputer menjadi down, atau mengubah tampilan situs
web atau hanya ingin membuat organisasi pemilik jaringan komputer sasaran
harus mengeluarkan uang dan waktu untuk memulihkan jaringan komputernya.
Penyusup yang mempunyai tujuan seperti ini sering disebut dengan the Malicious.
3) Berusaha untuk menggunakan sumber daya didalam sistem jaringan komputer
untuk memperoleh popularitas. Penyusup jenis ini sering disebut dengan the high-
profile intruder.
4) Ingin tahu data apa yang ada di jaringan komputer sasaran untuk selanjutnya
dimanfaatkan untuk mendapatkan uang. Penyusup jenis ini sering disebut dengan
the competition.
Kelemahan
Kelemahan menggambarkan seberapa kuat sistem keamanan suatu jaringan
komputer terhadap jaringan komputer yang lain, dan kemungkinan bagi seseorang
untuk mendapat akses illegal kedalamnya. Resiko apa yang bakal dihadapi bila
seseorang berhasil membobol sistem keamanan suatu jaringan komputer? Tentu
saja, perhatian yang harus dicurahkan terhadap sambungan point to point protocol
secara dari rumah akan berbeda dengan perhatian yang harus dicurahkan terhadap
suatu perusahaan yang tersambung ke internet, ada jaringan komputer besar yang

17. lain. Seberapa besar waktu yang dibutuhkan untuk mendapatkan kembali data yang
rusak atau yang hilang? Suatu investasi untuk pencegahan akan dapat memakan
waktu sepuluh kali lebih cepat dari pada waktu yang diperlukan untuk mendapat
kembali data yang hilang atau rusak.
Penyusunan Policy Sistem Kemanan
Policy keamanan situs
Suatu organisasi dapat mempunyai lebih dari satu situs, dimana setiap
situs mempunyai jaringan sendiri. Bila organisasi besar, maka sangat dimungkinkan
situs-situs tersebut mempunyai administrasi jaringan yang dibedakan menurut tujuan
tertentu. Bila situs-situs ini tidak terhubung melalui intranet, tiap situs mungkin memiliki
policy keamanan sendiri. Bagaimanapun, bila situs-situs tersebut terhubung melalui
intranet, maka policy keamanan harus mencakup tujuan dari semua situs yang
terhubung.
Pada umunya suatu situs adalah sebagai bagian organasisai yang mempunyai
beberapa komputer dan sumber daya yang terhubung kedalam suatu jaringan.
Sumber daya tersebut misalnya:
a) Workstation.
b) Komputer sebagai host maupun server.
c) Device untuk inter koneksi: gateway, router,bridge, repeater.
d) Terminal server.
e) Perangkat lunak aplikasi dan jaringan.
f) Kabel jaringan.
g) Informasi didalam file dan basis data.
Policy keamanan situs harus memperhatikan pula keamanan terhadap sumber daya
tersebut. Karena situs terhubung ke jaringan lain, maka policy keamanan harus
memperhatikan kebutuhan keamanan dari semua jaringan yang saling terhubung.
Hal ini penting untuk diperhatikan karena kemungkinan policy kemanan situs dapat
melindungi situs tersebut, namun berbahaya bagi sumber daya jaringan yang lain.
Suatu contoh dari hal ini adalah penggunenn alamat IP dibelakang firewall, dimana
alamat IP tersebut sudah digunakan oleh orang lain. Pada kasus ini, penyusupan
dapat dilakukan terhadap jaringan dibelakang firewall dengan melakukan IP

18. spoofing. Sebagai catatan, RFC 1244 membahas policy keamanan situs secara
detail.
Policy keamanan jaringan
Policy keamanan menyediakan kerangka-kerangka untuk membuat keputusan yang
spesifik, misalnya mekanisme apa yang akan digunakan untuk melindungi jaringan
dan bagaimana mengkonfigurasi servis-servis. Policy keamanan juga merupakan
dasar untuk mengembangkan petunjuk pemograman yang aman untuk diikuti user
maupun bagi administrator sistem. Karena Policy keamanan mencakup bahasan
yang sangat luas.
Sebuah Policy keamanan mencakup hal-hal berikut ini:
1. Deskripsi secara detail tentang lingkungan teknis, hukum yang berlaku otoritas
bagi Policy tersebut dan filosofi dasar untuk digunakan pada saat
menginterpretasikan Policy tersebut.
2. Analisa resiko yang mengidentifikasi asset-aset situs, ancaman yang dihadapi
oleh aset-aset tersebut, dan biaya yang harus dikeluarkan untuk berusaha atau
kehilangan aset-aset tersebut.
3. Petunjuk bagi administrator system untuk mengelola sistem.
4. Defenisi bagi user tentang hal-hal yang boleh dilakukan.
5. Petunjuk untuk kompromi terhadap media dan penerapan hukum yang ada, serta
memutuskan apakah ada penyusup atau mematikan sistem dan kemudian
memulihkannya lagi.
Faktor yang berpengaruh terhadap Policy antara lain adalah:
 Komitmen dari pengelola jaringan.
 Dukungan teknologi untuk menerapkan keamanan tersebut.
 Keefektifan penyebaran Policy tersebut.
 Kesadaran semua user jaringan terhadap keamanan jaringan.

19. Pihak pengelola jaringan komputer mengatur tanggung jawab terhadap keamanan
jaringan, menyediakan training untuk personel-personel yang bertugas dibidang
keamanan jaringan, dan mengalokasikan dana untuk keamanan jaringan. Yang
termasuk pilihan-pilihan teknis yang dapat digunakan untuk mendukung keamanan
jaringan komputer antara lain:
1. Authentikasi terhadap sistem.
2. Audit sistem untuk akuntabilisasi dan rekonstruksi.
3. Enkripsi terhadap sistem untuk penyimpanan dan pengiraman data penting
4. Tool-tool jaringan, misalnya freewall dan proxy.
Hal-hal praktis untuk mendukung keamanan jaringan Dibawah ini adalah hal-hal
praktis yang perlu dilakukan untuk mendukung keamanan jaringan komputer,
antara lain:
1. Memastikan semua account mempunyai password yang sulit untuk ditebak.
Akan lebih baik bila nenggunakan OTP (Once Time Password).
2. Menggunakan tool, misalnya MD5 checksums, sebuah teknik kriptografi
untuk memastikan intergritas perangkat lunak sistem.
3. Menggunakan teknik pemrograman yang aman pada saat menggunakan
perangkat lunak.
4. Selalu bersikap waspada terhadap penggunann dan konfigurasi jaringan
komputer.
5. Memeriksa secara rutin apakah vendor memilki perbaikan-pebaikan terhadap
lubang keamanan yang terbaru, dan selalu menjaga sistem selalu mengalami
upgrading terhadap kemanan.
6. Memeriksa secara rutin dokumen-dokumen dan artikel online tentang bahaya
keamanan dan teknik menagatasinya. Dokumen dan artikel seperti ini daapat
ditemukan pada situs-situs milik insident response teams, .
7. Mengaudit sistem dan jaringan, dan secara rutin memeriksa daftar logg.
Beberapa situs yang mengalami insiden keamanan melaporkan bahwa audit
yang dikumpulkan minim sehingga sulit untuk mendeteksi dan melacak
penyusupan.
Pada era sekarang internet sudah menjadi hal yang tidak asing lagi. Tapi masih
banyak diantara para penggunanya yang belum tahu bahwa keamanan data-data
yang tersimpan di internet belumlah aman.

20. Oleh karena itu pengamanan komputer dari para pembobol sangatlah penting.
Karena jika para pembobol berhasil masuk lalu mengambil data dan bahkan merusak
data kita maka dana untuk memperbaiki dan mengembalikan data yang hilang
sangatlah mahal dan membutuhkan waktu yang lama.
Pentingnya Keamanan sistem
Sistem Informasi diperlukan karena:
1. Teknologi Komunikasi Modern yang membawa beragam dinamika dari dunia
nyata ke dunia virtual
2. Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai
3. Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai ekonomis.
Dukungan Pemerintah Dan Industri
Beberapa organisasi pemerintah dan internasional telah menentukan standar-standar
yang ditunjukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan
keamanan informasi.Beberapa standar ini berbentuk tolak ukur, yang telah
diidentifikasisebelumnya sebagai penyedia strategi alternative untuk manajemen
resiko. Beberapa pihak penentu standar menggunakan istilah baseline(dasar) dan
bukannyabenchmark (tolak ukur). Organisasi tidak diwajibkan mengikuti standar
ini.Namun, standar ini ditunjukan untuk memberikan bantuan kepada perusahaan
dalam menentukan tingkat target keamanan.
Manajemen Keberlangsungan Bisnis
Manajemen keberlangsungan bisnis (business continuity management-BCM) adalah
aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan
sistem informasi.
Subrencana yang umum mencakup:
1. Rencana darurat (emergency plan): terdiri dari cara-cara yang akan menjaga
keamanan karyawan jika bencana terjadi. Co: Alarm bencana, prosedur evakuasi

21. 2. Rencana cadangan : menyediakan fasilitas computer cadangan yang bisa
dipergunakan apabila fasilitas computer yang biasa hancur atau rusak hingga tidak
bisa digunakan.
3. Rencana catatan penting (vital records plan) : merupakan dokumen kertas,
microform, dan media penyimpanan optis dan magnetis yang penting untuk
meneruskan bisnis perusahaan.
Kebijakan Keamanan Informasi
Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan
program. Perusahaan dapat menerapkan keamanan dengan pendekatan yang
bertahap, diantaranya:
Fase 1:
Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan keamanan
tersebut.
Fase 2:
Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat dan
terpengaruh.
Fase 3:
Konsultasi dan persetujuan.Berkonsultasi dengan manajemen untuk mendapatkan
pandangan mengenai berbagai persyaratan kebijakan.
Fase 4:
Kesadaran dan edukasi.Melaksanakan program pelatihan kesadaran dan edukasi
dalam unit-unit organisasi.
Fase 5:
Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit organisasi
dimana kebijakan tersebut dapat

22. Contoh Kasus:
Ancaman Terbesar Untuk Perusahaan:Pemerasan Dalam Dunia Maya.
Pelaku menjelajahi perumahan-perumahan di Virginia dan Maryland dengan
mobil Pontiac tuanya dengan Antena terpasang di dasbor. Saat melakukan hal itu, ia
menyalakan koneksi nirkabel ke yahoo! Dan America Online untuk mengambil akun
dan kata sandi. Ia adalah golongan penjahat computer yang baru mengintai dunia
maya (cyberstalker), yang melakukan pemerasan dunia maya (cyberextortion).
Ia juga seorang pengusaha yang memiliki bisnis paten, dan ia menggunakan
komputer untuk menuntut $17 juta dari Micro paten, perusahaan paten dan merek
dagang. Sebelumnya ia telah melamar kerja ke MicroPatent dan ditolak. Kemudian ia
mengirimkan lebih dari selusin e-mail ancaman ke Daniel I. Videtto, presiden
microPatent. Pengintai dunia maya ini mengklaimbahwa ia memiliki ribuan dokumen
rahasia MicroPatent, data pelanggan yang rahasia, kata sandi computer, dan alamat-
alamat e-amail, dan ia mengancam jika Videtto tidak menghiraukan permintaanya,
Informasi ini akan “berakhir di kontak-kontak e-mail diseluruh dunia”. Tidak seperti
banyak perusahaan yang mengambil jalan keluar yang mudah dengan cara menyerah
kepada permintaan pemeras, MicroPatent memutuskan untuk melawan balik.
Perusahaan tersebut menyewa penyelidik swasta dan seorang bekas profiler
psikologi untuk CIA. Tugas dari profiler ini adalahuntuk menemukan profil psikologi
dari pemeras ini. Akhirnya, kerja keras ini membuahkan hasil. Pada bulan Maret 2004,
pihak yang berwenang menangkap pengintai dunia maya saat ia duduk di mobilnya
saat ia menulis e-mail yang ia kirimkan kepada Videtto. Pada akhir tahun yang sama
penjahat dunia maya ia mengaku bersalah atas tuntutan tindakan pemerasan dan
dihukum selama 5 tahun penjara.
Kesimpulan
Dapat disimpulkan bahwa Keamanan informasi (informationsecurity) digunakan untuk
mendeskripsikan perlindungan baik peralatan computer dan non komputer dan non
kompter, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak
berwenang. Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu:
kerahasiaan, ketersediaan, dan integritas.

23. Sedangkan Ancaman keamanan sistem informasi adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya
informasi perusahaan. Ancaman itu terdiri dari ancaman internal dan eksternal.
Resiko keamanan informasi dapat Didefinisikan sebagai potensi output yang tidak
Diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan
informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Untuk
mengendalikan Ancaman serta risiko keamanan informasi itu dapat dilakukan dengan
berbagai pengendalian yaitu: pengendalian teknis, kriptografis, fisik, formal dan
informal.

24. Putra, Yananto Mihadi. (2018). ModulKuliah Sistem InformasiManajemen:
Pengantar Sistem InformasiManajemen. FEB- Universitas Mercu Buana:
Jakarta.)
Agus Arijanto,SE,MMModulKuliah Sistem InformasiManajemen. FEB-
Universitas Mercu Buana: Jakarta