Dokumen tersebut membahas tentang implementasi sistem informasi keamanan yang meliputi:
1. Tujuan keamanan informasi yaitu kerahasiaan, ketersediaan, dan integritas informasi
2. Manajemen keamanan informasi dan keberlangsungan bisnis untuk menjaga keamanan sumber daya informasi dan kelangsungan bisnis perusahaan
3. Strategi manajemen risiko dan tolok ukur dalam manajemen keamanan informasi
PPT DENIES SUSANTO AHLI MADYA BANGUNAN PERAWATAN GEDUNG 1.pptx
Implementasi Sistem Informasi
1. Implementasi Sistem Informasi
Disusun untuk memenuhi tugas mata kuliah “Sistem Informasi Manajemen”
Dosen pengampu : Yananto Mihadi Putra, SE, M.Si
Oleh :
Lisaniah Amini Lisa’Ilina (43217110150)
S1 AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS MERCU BUANA
2018
2. Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta
integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras
dan data. Manajemen keamananinformasi terdiri atas perlindungan harian, yang
disebut manajemen keamanan informasi (information security managemen) dan
persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan
manajemen keberlangsungan bisnis (business continuity managemen).
Dua pendekatan dapat dilakukan untuk menysun strategi-strategi ISM: manajemen
resiko dan tolok ukur. Perhatian akan ancaman dan risiko berhbungan dengan
manajemen resiko.ancaman dapat bersifat internal atau eksternal, tidak disengaja
atau disengaja. Risiko dapat mencakup insiden pengungkapan, penggunaan, dan
modifikasi yang tidak diotorisasi serta pencurian, penghancuran, dan penolakan
layanan. Ancaman yang paling ditakuti adalah virus computer. Ada tiga jenis
pengendalian yang tersedia yaitu: pengendalian teknis, pengendalian formal, dan
pengendalian informal.
Manajemen keberlangsungan bisnis terdiri atas seperangkat subrencana untuk
menjaga keamanan karyawan, memungkinkan keberlangsungan operasional
dengan cara menyediakan fasilitas mengembangkan rencana kontinjensi baru tidak
harus dari awal; beberapa model berbasis peranti lunak tersedia, seperti halnya garis
besar dan panduan dari pemerintah.
3. A. Keamanan Informasi
Keamanan informasi (information security) digunakan untuk
mendeskripsikan perlindungan baik peralatan computer dan non komputer
dan non kompter, fasilitas, data, dan informasi dari penyalahgunaan pihak-
pihak yang tidak berwenang.
Saat pemerintah dan kalangan industri menyadari kebutuhan untuk
mengamankan sumber daya informasi mereka, perhatian nyaris terfokus
secara eksklusif pada perlindungan peranti keras dan data, maka istilah
keamanan sistem (system security) pun digunakan. Fokus sempit ini
kemudian diperluas sehingga mencakup bukan hanya peranti keras dan data,
namun juga peranti lunak, fasilitas computer, dan personel.
B. Tujuan Keamanan Informasi
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu:
1. Kerahasiaan
Perusahaan berusaha untuk melindungi data informasinya dari
pengungkapan kepada orang-orang yang tidak berwenang.
2. Ketersediaan
Tujuan infrastruktur informasi perusahaan adalah menyediakan data
dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk
menggunakannya.
3. Integritas
Semua sistem informasi harus memberikan representasi akurat atas
sistem fisik yang dipresentasikan.
C. Manajemen Keamanan Informasi
Manajemen tidak hanya diharapkan untuk menjaga sumber daya informasi
aman, namn jga diharapkan untuk menjaga persahaan tersebut agar tetap
berfungsi setelah suatu bencana atau jebolnya sistem keamanan. Aktifitas
untuk menjaga agar perusahaan dan sumber daya informasi tetap aman
disebut Manajemen keamanan informasi.
4. CIO adalah orang yang tepat untuk memikul tanggung jawab atas keamanan
informasi, namun kebanyakan organisasi mulai menunjuk orang tertentu
yang dapat mencurahkan perhatian penuh terhadap aktivitas ini. Direktur
keamanan sistem informasi perusahaan digunakan untuk individu di dalam
organisasi, biasanya anggota dari unit sistem informasi, yang bertanggung
jawab atas keamanan sistem informasi perusahaan tersebut. Namun saat ini
perubahan sedang dibuat untuk mencapai tingkat informasi yang lebih
tinggi lagi di dalam perusahaan dengan cara menunjuk seorang Direktur
Assurance informasi perusahaan (CIAO). Seorang CIAO harus
mendapatkan serangkaian sertifikat keamanan dan memiliki pengalaman
minimum 10 tahun dalam mengelola suatu fasilitas keamanan informasi.
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas
empat tahap yaitu:
1. Mengidentifikasi ancaman yang dapat menyerang sumber daya infor masi
perusahaan
2. Mengidentifikasi risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
3. Menentukan kebijakan keamanan informasi
4. Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.
D. Strategi dalam ISM
1. Manajemen Risiko (Risk Management)
Dibuat untuk menggambarkan pendekatan dimana tingkat keamanan
sumber daya informasi perusahaan dibandingkan dengan risiko yang
dihadapinya.
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai
keamanan informasi. Risiko dapat dikelola dengan cara mengendalikan
atau menghilangkan risiko atau mengurangi dampaknya.
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
a. dampak yang parah (severe impact) yang membuat perusahaan bangkrut
atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
5. b. dampak signifikan (significant impact) yang menyebabkan kerusakan dan
biaya yang signifikan, tetapi perusahaan tersebut tetap selamat
c. dampak minor (minor impact) yang menyebabkan kerusakan yang mirip
dengan yang terjadi dalam operasional sehari-hari.
2. Tolok Ukur
Tolok ukur Adalah tingkat keamanan yang disarankan dalam keadaan
normal harus memberikan perlindungan yang cukup terhadap gangguan
yang tidak terotorisasi.
E. Ancaman
Ancaman keamanan sistem informasi adalah orang, organisasi, mekanisme,
atau peristiwa yang memiliki potensi untuk membahayakan sumber daya
informasi perusahaan.
1. Ancaman Internal
Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi
juga pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis
perusahaan tersebut.
2. Ancaman Eksternal
Misalnya perusahaan lain yang memiliki produk yang sama dengan
produk perusahaan kita atau disebut juga pesaing usaha.
Jenis- Jenis Ancaman
Malicious software, atau malware terdiri atas program-program lengkap atau
segmen-segmen kode yang dapat menyerang suatu system dan melakukan fungsi-
fungsi yang tidak diharapkan oleh pemilik system. fungsi-fungsi tersebut dapat
menghapus file atau sistem itu berhenti. Terdapat beberapa piranti lunak yang
berbahaya yaitu: Virus, worm, Trojan horse, adware, spyware.
F. Risiko Keamanan Informasi (Information Security Risk)
Didefinisikan sebagai potensi output yang tidak Diharapkan dari
pelanggaran keamanan informasi oleh Ancaman keamanan informasi.
6. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko
seperti ini dibagi menjadi empat jenis yaitu:
1. Interuption: ancaman terhadap availability, yaitu data dan informasi
yang berada dalam system computer yang dirusak dan dibuang sehingga
menjadi tidak ada atau menjadi tidak berguna.
2. Interception: merupakan ancaman terhadap secrey, yaitu orang yang
tidak berhak mendapatkan akses informasi dari dalam system computer.
3. Modification: merupakan ancaman terhadap integritas, yaitu orang yang
tidak berhak, tidak hanya berhasil mendapatkan akses, melainkan juga
dapat melakukan pengubahan terhadap informasi.
4. Fabrication: adanya orang yang tidak berwenang, meniru atau
memalsukan suatu objek ke dalam sistem.
G. Macam-macam Pengendalian
1. Pengendalian Teknis
Adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh
para penyususn system selama masa siklus penyusunan system.
Dilakukan melalui tiga tahap:
a. Identifikasi Pengguna.
Memberikan informasi yang mereka ketahui seperti kata sandi
dan nomor telepon.nomor telepon.
b. Otentikasi Pengguna.
Pengguna memverivikasi hak akses dengan cara memberikan
sesuatu yang mereka miliki, seperti chip identifikasi atau tanda
tertentu.
c. Otorisasi Pengguna.
Pengguna dapat mendapatkan wewenang untuk memasuki
tingkat penggunaan tertentu.
Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat menggunakan
sumber daya informasi yang terdapat di dalam batasan file akses.
7. Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran
keamanan sebelum memiliki kesempatan untuk melakukan perusakan.
Firewall
Suatu Filter yang membatasi aliran data antara titik-titik pada suatu jaringan-
biasanya antara jaringan internal perusahaan dan Internet.
Berfungsi sebagai:
a. Penyaring aliran data
b. Penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan
internet.
2. Pengendalian Kriptografis
Merupakan penggunaan kode yang menggunakan proses-proses matematika.
Meningkatkan keamanan data dengan cara menyamarkan data dalam bentuk yang
tidak dapat dibaca. Berfungsi untuk melindungi data dan informasi yang tersimpan
dan ditransmisikan, dari pengungkapan yang tidak terotorisasi.
Kriptografi terbagi menjadi:
a. Kriptografi Simetris
Dalam kriptografi ini, kunci enkripsi sama dengan kunci dekripsi.
b. Kriptografi Asimetris
Dalam kriptografi kunci enkripsi tidak sama dengan kunci dekripsi.
Contoh:
Enkripsià kunci public
Dekripsià Kunci Privat
c. Kriptografi Hybrid
d. Menggabungkan antara kriptografi simetris dan Asimetris, sehingga
mendapatkan kelebihan dari dua metode tersebut.
Contoh: SET (Secure Electronic Transactions) pada E-Commerce
8. 3. Pengendalian Fisik
Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah
mengunci pintu ruangan computer.Perkembangan seterusnya menghasilkan kunci-
kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan
suara, serta kamera pengintai dan alat penjaga keamanan.
4. Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur
dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang
berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam
jangka panjang.
5. Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga
agar para karyawan perusahaan memahami serta mendukung program keamanan
tersebut
H. Pentingnya Keamanan system
Sistem Informasi diperlukan karena:
1. Teknologi Komunikasi Modern yang membawa beragam dinamika dari
dunia nyata ke dunia virtual
2. Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai
9. 3. Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai
ekonomis.
I. Dukungan Pemerintah Dan Industri
Beberapa organisasi pemerintah dan internasional telah menentukan
standar-standar yang ditunjukan untuk menjadi panduan bagi organisasi
yang ingin mendapatkan keamanan informasi.Beberapa standar ini
berbentuk tolak ukur, yang telah diidentifikasisebelumnya sebagai penyedia
strategi alternative untuk manajemen resiko. Beberapa pihak penentu
standar menggunakan istilah baseline(dasar) dan bukannyabenchmark
(tolak ukur). Organisasi tidak diwajibkan mengikuti standar ini.Namun,
standar ini ditunjukan untuk memberikan bantuan kepada perusahaan dalam
menentukan tingkat target keamanan.
J. Manajemen Keberlangsungan Bisnis
Manajemen keberlangsungan bisnis (business continuity management-
BCM) adalah aktivitas yang ditujukan untuk menentukan operasional
setelah terjadi gangguan sistem informasi.
Subrencana yang umum mencakup:
1. Rencana darurat (emergency plan): terdiri dari cara-cara yang akan menjaga
keamanan karyawan jika bencana terjadi. Co: Alarm bencana, prosedur evakuasi
2. Rencana cadangan : menyediakan fasilitas computer cadangan yang bisa
dipergunakan apabila fasilitas computer yang biasa hancur atau rusak hingga tidak
bisa digunakan.
3. Rencana catatan penting (vital records plan) : merupakan dokumen kertas,
microform, dan media penyimpanan optis dan magnetis yang penting untuk
meneruskan bisnis perusahaan.
Kebijakan Keamanan Informasi
Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan
program. Perusahaan dapat menerapkan keamanan dengan pendekatan yang
bertahap, diantaranya:
10. Fase 1:
Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan
keamanan tersebut.
Fase 2:
Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat dan
terpengaruh.
Fase 3:
Konsultasi dan persetujuan.Berkonsultasi dengan manajemen untuk mendapatkan
pandangan mengenai berbagai persyaratan kebijakan.
Fase 4:
Kesadaran dan edukasi.Melaksanakan program pelatihan kesadaran dan edukasi
dalam unit-unit organisasi.
Fase 5:
Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit organisasi
dimana kebijakan tersebut dapat.
Prinsip-prinsip Keamanan Informasi
Ada beberapa prinsip utama dalam keamanan informasi. Bab ini
akan membahas prinsip-prinsip tersebut secara singkat. Hal-hal yang
lebih rinci dan teknis, misalnya bagaimana mengimplementasikan
aspek keamanan, akan dibahas pada bagian terpisah.
Aspek Keamanan
Ketika kita berbicara tentang keamanan informasi, maka yang kita
bicarakan adalah tiga hal; confidentiality, integrity, dan availability.
Ketiganya sering disebut dengan istilah CIA, yang merupakan
gabungan huruf depan dari kata-kata tersebut. Selain ketiga hal
tersebut, masih ada aspek keamanan lainnya.
Ketika kita berbicara tentang keamanan sebuah sistem - jaringan,
aplikasi, atau apa pun - yang kita lakukan adalah mengevaluasi
aspek C, I, dan A dari sistem tersebut. Prioritas dari ketiga aspek
11. tersebut berbeda-beda untuk jenis sistem dan organisasi yang menggunakannya.
Ada sistem yang aspek integrity lebih penting daripada
kerahasiaannya (confidentiality). Untuk itu, pahami ketiga aspek ini.
Ini adalah prinsip utama dari keamanan.
Confidentiality
Confidentiality atau kerahasiaan adalah aspek yang biasa dipahami
tentang keamanan. Aspek confidentiality menyatakan bahwa data
hanya dapat diakses atau dilihat oleh orang yang berhak. Biasanya
aspek ini yang paling mudah dipahami oleh orang. Jika terkait dengan
data pribadi, aspek ini juga dikenal dengan istilah Privacy.
Serangan terhadap aspek confidentiality dapat berupa penyadapan
data (melalui jaringan), memasang keylogger untuk menyadap
apa-apa yang diketikkan di keyboard, dan pencurian fisik mesin /
disk yang digunakan untuk menyimpan data.
Perlindungan terhadap aspek confidentiality dapat dilakukan dengan
menggunakan kriptografi, dan membatasi akses (segmentasi jaringan)
Integrity
Aspek integrity mengatakan bahwa data tidak boleh berubah tanpa
ijin dari yang berhak. Sebagai contoh, jika kita memiliki sebuah pesan
atau data transaksi di bawah ini (transfer dari rekening 12345 ke
rekening 6789 dengan nilai transaksi teretentu), maka data transaksi
tersebut tidak dapat diubah seenaknya.
TRANSFER 12345 KE 6789 100000
Serangan terhadap aspek integrity dapat dilakukan oleh man-inthe-middle,
yaitu menangkap data di tengah jalan kemudian mengubahnya
dan meneruskannya ke tujuan. Data yang sampai di tujuan
(misal aplikasi di web server) tidak tahu bahwa data sudah
diubah di tengah jalan.
Perlindungan untuk aspek integrity dapat dilakukan dengan
menggunakan message authentication code.
12. Availability
Ketergantungan kepada sistem yang berbasis teknologi informasi
menyebabkan sistem (beserta datanya) harus dapat diakses ketika
dibutuhkan. Jika sistem tidak tersedia, not available, maka dapat terjadi
masalah yang menimbulkan kerugian finansial atau bahkan
nyawa. Itulah sebabnya aspek availability menjadi bagian dari keamanan.
Serangan terhadap aspek availability dilakukan dengan tujuan
untuk meniadakan layanan atau membuat layanan menjadi sangat
lambat sehingga sama dengan tidak berfungsi. Serangannya disebut
Denial of Service (DOS).
Perlindungan terhadap aspek availability dapat dilakukan dengan
menyediakan redundansi. Sebagai contoh, jaringan komputer dapat
menggunakan layanan dari dua penyedia jasa yang berbeda. Jika
salah satu penyedia jasa jaringan mendapat serangan (atau rusak),
maka masih ada satu jalur lagi yang dapat digunakan.
Aspek Keamanan Lainnya
Selain ketiga aspek utama (CIA), yang sudah dibahas pada bagian
sebelumnya, ada aspek keamanan lainnya. Yang ini sifatnya tambahan,
meskipun kadang menjadi bagian yang cukup signifikan juga.
Non-repudiation
Aspek non-repudiation atau nir-sangkal digunakan untuk membuat
para pelaku tidak dapat menyangkal telah melakukan sesuatu atu. Aspek ini
biasanya kental di dalam sistem yang terkait dengan
transaksi. Contoh penggunaannya adalah dalam sistem lelang elektronik.
Implementasi dari aspek ini dapat dilakukan dengan menggunakan
message authentication code (dengan menggunakan fungsi hash)
dan pencatatan (logging).
13. Authentication
Proses Authentication digunakan untuk membuktikan klaim bahwa
seseorang itu adalah benar-benar yang diklaim.
Proses pembuktian seseorang ini lebih mudah dilakukan di dunia
nyata dibandingkan dengan di dunia maya (siber, cyber). Di dunia
nyata akan sulit bagi saya untuk membuat klaim palsu bahwa saya
seorang wanita. (Saya memiliki kumis dan jenggot.) Namun di dunia
maya, saya dapat membuat klaim bahwa saya seorang wanita dengan
hanya memilih nama wanita dan memasang foto wanita.
Proses authentication ini dapat dilakukan dengan bantuan hal
lain, yang sering disebut “faktor”. (Sehingga ada istilah two-factor
authentication.)
Faktor-faktur tersebut adalah sebagai berikut.
1. Sesuatu yang diketahui. Contoh dari faktor ini adalah nama, userid,
password, dan PIN.
2. Sesuatu yang dimiliki. Contoh dari faktor ini adalah kartu, kunci, dan token.
3. Sesuatu yang menjadi bagian dari fisik pengguna. Contoh dari faktor ini
adalah sidik jari, retina mata, dan biometric lainnya.
Selain faktor-faktor di atas, ada juga yang menambahkan faktor
lain seperti berikut ini:
1. orang tersebut berada di tempat tertentu. (Proximity);
2. authentication dengan menggunakan bantuan pihak lain, pihak
ketiga yang terpercaya (trusted third party).
Authorization
Pada aspek sebelumnya, authentication, kita dapat mengetahui siapa
pengguna dan roles dari pengguna tersebut. Selanjutnya hak akses
akan diberikan kepada pengguna sesuai dengan roles yang dimilikinya.
Inilah aspek authorization. Perlu diingatkan kembali bahwa
aspek authorization ini membutuhkan authorization, sehingga dia
14. letaknya setelah authorization.
Electronic mail (email) masih merupakan salah satu aplikasi yang paling populer di
internet. Bahkan alamat email digunakan sebagai identitas pengguna di internet.
Jika Anda mendaftar ke sebuah layanan, email digunakan sebagai identitas.
Beberapa masalah keamanan terkait dengan sistem email antara
lain:
• disadap (intercept);
• dipalsukan (forgery);
• disusupi (intrude);
• digunakan untuk spamming;
• mailbomb;
• mail relay.
Komponen Sistem Email
Sebelum membahas masalah keamanan tersebut ada baiknya kita melihat
komponen dari sebuah sistem mail. Pemahaman tentang komponen ini dibutuhkan
untuk memahami potensi sumber masalah keamanan email. Sebuah sistem email
terdiri dari beberapa komponen;
mail user agent (MUA), mail transfer agent (MTA), dan mail delivery agent
(MDA).
MUA adalah komponen yang berhubungan dengan pengguna.
Biasanya MUA adalah yang kita sebut program email. Contoh dari
MUA antara lain adalah Thunderbird, Outlook, Mac Mail.app, mutt,
UNIX mail, pine, dan masih banyak lagi. (Daftar ini sering berubah.)
Pengguna menggunakan MUA untuk membuat (compose) dan membaca
email.
MTA adalah komponen yang bertugas untuk mengirimkan dan
menerima email. Dia adalah “pak pos”. MTA menerima berkas email
dari MUA dan meneruskannya ke MTA lainnya dan seterusnya sampai
ke MTA yang dituju. Contoh dari MTA antara lain adalah postfix,
15. sendmail, qmail, Exchange, exim, dan sejenisnya. MTA biasanya
adalah urusan dari administrator.
MDA adalah komponen yang bertugas untuk menyimpan email
yang datang ke mailbox pengguna. Dahulu, MDA ini menjadi bagian
dari MTA, tetapi kemudian dipisahkan karena pemisahan role agar
lebih aman. MDA harus menambahkan email yang baru masuk
ke mailbox pengguna. Untuk itu MDA harus memiliki hak untuk
menulis ke mailbox tersebut, dengan kata lain MDA harus dijalankan
dengan hak admin atau super user / root. Sementara itu MTA tidak
harus dijalanakan sebagai admin.
Ada dua format besar dari penyimpanan email; mbox dan Maildir.
Format mbox berupa sebuah berkas besar yang berisi semua email.
Email diurutkan secara sambung menyambung (concatenate). Format
Maildir berbeda, yaitu setiap email merupakan satu berkas sendiri
dalam sebuah direktori.
Skenario yang terjadi adalah sebagai berikut. Seorang pengguna
(A) membuat email dengan menggunakan MUA. Setelah email selesai
dibuat, email diberikan kepada MTA untuk disampaikan kepada
MTA penerima (B). Kadang MTA yang dituju tidak langsung dapat
diakses tetapi melalui MTA lainnya dahulu. Sesampainya di MTA
tujuan, email diberikan ke MDA untuk ditambahkan ke mailbox
penerima (B). Penerima (B) tidak harus online ketika email tersebut
itu sampai. Ketika penerima (B) akan membaca email, maka dia akan
menggunakan MUA untuk mengakses mailbox. Jika dia (B) akan
membalas, maka digunakan MUA untuk menuliskan balasannya.
Setelah selesai, email balasan diteruskan ke MTA untuk disampaikan
ke MTA tujuan (A).
16. Standar Email
Pengguna email memiliki sistem dan konfigurasi yang bervariasi.
Masalah interoprability merupakan salah satu aspek yang sangat
penting. Untuk itu digunakan RFC (Request For Comments) sebagai
standar.
Standar format email didefinisikan oleh RFC 822, “Standard for
the format of ARPA Internet text messages.” 10 (RFC ini sudah di- 10 David H.
Crocker. Standard for the
format of ARPA internet text messages
(RFC822), August 1982
gantikan oleh RFC 2822, “Internet Message Format.”) Pada prinsipnya
email dibagi dua bagian; header dan body.
• Header. Seperti amplop, berisi informasi tentang alamat pengirim
yang dituju. Header ini berisi field yang nantinya digunakan oleh
MTA untuk mengirimkan ke tujuan.
• Body. Isi surat. Body dipisahkan dari header dengan satu baris
kosong.
KEMANAN UNTUK DATA DAN INFORMASI
1. Perlindungan dari akses orang yang tidak diotorisasi terhadap data
a) Isolasi, data dan informasi yang rahasia dan penting bagi operasi perusahaan
diisolasi secara fisik untuk melindungi dari akses yang tidak diotorisasi.
b) Otentifikasi dan otorisasi pengguna. Misalnya dengan membuat daftar
pengendalian akses (ACL), membuat password, Automatic lockout, Callback
procedure, keyboard lock.
c) Peralatan komputer dan terminal dibatasi penggunaannya. MIsalnya: suatu
terminal dibatasi hanya bisa memasukkan transaksi tertentu sesuai dengan
fungsinya. Bagian gudang hanya bisa memasukkan dan memutakhirkan data
sediaan setelah memasukkan password atau username. Peralatan komputer dan
terminal juga akan terkunci otomatis bila jam kerja telah selesai.
d) Enskripsi. Untuk mencegah pengganggu (intruder) memasuki jaringan komunikasi
data dan menyadap data, maka data rahasia yang ditransmisikan melalui jaringan
17. dilindungi dengan enkripsi (data dikodekan dan apabila telah sampai kode tersebut
dibuka ditempat tujuan). Terdapat dua jenis enskripsi:private key encryption &
Public Key Encryption.
e) Destruksi. Untuk mencegah pihak yang tidak diijinkan mengakses data, data
rahasia harus segera dihancurkan ketika masa penggunaannya selesai. Untuk hasil
cetakan, segera dihancurkan melalui alat penghancur kertas.
2. Perlindungan dari akses data dan informasi yang tidak bisa dideteksi
a) Membuat access log (log akses), merupakan komponen keamanan sistem
pengoperasian, mencatat seluruh upaya untuk berinteraksi dengan basis
data/database. Log ini menampilkan waktu, tanggal dan kode orang yang
melakukan akses ke basis data. Log ini menghasilkan jejak audit yang harus
diperiksa oleh auditor internal atau administratur keamanan untuk menetapkan
ancaman-ancaman yang mungkin terhadap keamanan sistem informasi.
b) Console log Cocok bagi komputer mainframe yang menggunakan pemrosesan
tumpuk. Console log mencatat semua tindakan yang dilakukan sistem operasi dan
operator komputer.Console log mencatat seluruh tindakan yang dilakukan sistem
operasi dan operator komputer, seperti permintaan dan tanggapan yang dibuat
selama pelaksanaan pemrosesan dan aktivitas lainnya.
c) Perangkat lunak pengendalian akses, Beberapa perangkat lunak berinteraksi
dengan sistem operasi komputer untuk membatasi dan memantau akses terhadap
file dan data.
d) Log perubahan program dan sistem. Log perubahan program dan sistem dapat
memantau perubahan terhadap program, file dan pengendalian. Manajer
pengembangan sistem memasukkan kedalam log ini seluruh perubahan dan
tambahan yang diijinkan terhadap program. Perubahan dan tambahan yang
diijinkan terhadap program harus diperiksa internal auditor untuk memeriksa
kesesuaian dengan prosedur perubahan yang disarankan.
PERLINDUNGAN DARI KERUGIAN ATAU PERUBAHAN YANG TIDAK
DIHARAPKAN TERHADAP DATA ATAU PROGRAM
1. Log (catatan) perpustakaan, memperlihatkan pergerakan dari file data, program,
dan dokumentasi yang digunakan dalam pemrosesan atau aktivitas lainnya.
18. 2. Log transaksi, mencatat transaksi individual ketika transaksi itu dimasukkan ke
dalam sistem on-line untuk pemrosesan. Log ini memberikan jejak audit dalam
sistem pemrosesan online. Termasuk dalam log ini adalah tempat pemasukan
transaksi, waktu dan data yang dimasukkan, nomor identifikasi orang yang
memasukkan data, kode transaksi, dan jumlah. Perangkat lunak sistem juga
meminta nomor transaksi. Secara teratur daftar log transaksi ini harus dicetak.
3. Tombol perlindunganpada 3 ½ floppy disk
4. Label file
5. Memori hanya-baca (Read -Only Memory)
6. Penguncian (lockout), merupakan perlindungan khusus yang diperlukan untuk
melindungi basis data/database, karena beragam pengguna dan program biasanya
mengakses data secara bergantian dan terus menerus. Penguncian mencegah dua
program mengakses data secara bersamaan. Akibatnya, satu program harus ditunda
sampai program lain selesai mengakses. Jika kedua program diijinkan untuk
memutakhirkan record yang sama, maka satu data dapat dicatat berlebihan dan
hilang.
PEMULIHAN DAN REKONSTRUKSI DATA YANG HILANG
1. Program pencatatan vital, yaitu program yang dibuat untuk mengidentifikasi dan
melindungi catatan komputer dan nonkomputer yang penting untuk operasi
perusahaan, seperti catatan pemegang saham, catatan karyawan, catatan pelanggan,
catatan pajak dan bursa, atau catatan sediaan.
2. Prosedur backup dan rekonstruksi. Backup merupakan tindasan (copy) duplikasi
dari dokumen, file, kumpulan data, program dan dokumentasi lainnya yang sangat
penting bagi perusahaan. Prosedur rekonstruksi terdiri dari
penggunaanbackup untuk mencipta ulang data atau program yang hilang.
Contoh Kasus:
Ancaman Terbesar Untuk Perusahaan:Pemerasan Dalam Dunia Maya.
Pelaku menjelajahi perumahan-perumahan di Virginia dan Maryland
dengan mobil Pontiac tuanya dengan Antena terpasang di dasbor. Saat melakukan
19. hal itu, ia menyalakan koneksi nirkabel ke yahoo! Dan America Online untuk
mengambil akun dan kata sandi. Ia adalah golongan penjahat computer yang baru
mengintai dunia maya (cyberstalker), yang melakukan pemerasan dunia maya
(cyberextortion).
Ia juga seorang pengusaha yang memiliki bisnis paten, dan ia menggunakan
komputer untuk menuntut $17 juta dari Micro paten, perusahaan paten dan merek
dagang. Sebelumnya ia telah melamar kerja ke MicroPatent dan ditolak. Kemudian
ia mengirimkan lebih dari selusin e-mail ancaman ke Daniel I. Videtto, presiden
microPatent. Pengintai dunia maya ini mengklaimbahwa ia memiliki ribuan
dokumen rahasia MicroPatent, data pelanggan yang rahasia, kata sandi computer,
dan alamat-alamat e-amail, dan ia mengancam jika Videtto tidak menghiraukan
permintaanya, Informasi ini akan “berakhir di kontak-kontak e-mail diseluruh
dunia”. Tidak seperti banyak perusahaan yang mengambil jalan keluar yang mudah
dengan cara menyerah kepada permintaan pemeras, MicroPatent memutuskan
untuk melawan balik. Perusahaan tersebut menyewa penyelidik swasta dan seorang
bekas profiler psikologi untuk CIA. Tugas dari profiler ini adalahuntuk menemukan
profil psikologi dari pemeras ini. Akhirnya, kerja keras ini membuahkan hasil. Pada
bulan Maret 2004, pihak yang berwenang menangkap pengintai dunia maya saat ia
duduk di mobilnya saat ia menulis e-mail yang ia kirimkan kepada Videtto. Pada
akhir tahun yang sama penjahat dunia maya ia mengaku bersalah atas tuntutan
tindakan pemerasan dan dihukum selama 5 tahun penjara.
Kesimpulan
Dapat disimpulkan bahwa Keamanan informasi (informationsecurity) digunakan
untuk mendeskripsikan perlindungan baik peralatan computer dan non komputer
dan non kompter, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak
yang tidak berwenang. Keamanan informasi ditujukan untuk mencapai tiga tujuan
utama yaitu: kerahasiaan, ketersediaan, dan integritas.
Sedangkan Ancaman keamanan sistem informasi adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber
daya informasi perusahaan. Ancaman itu terdiri dari ancaman internal dan
eksternal. Resiko keamanan informasi dapat Didefinisikan sebagai potensi output
20. yang tidak Diharapkan dari pelanggaran keamanan informasi oleh Ancaman
keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi.
Untuk mengendalikan Ancaman serta risiko keamanan informasi itu dapat
dilakukan dengan berbagai pengendalian yaitu: pengendalian teknis, kriptografis,
fisik, formal dan informal.
21. DAFTAR PUSTAKA
Putra, Yananto Mihadi. (2018). Modul Kuliah Sistem Informasi Manajemen:
Implementasi Sistem Informasi. FEB - Universitas Mercu Buana: Jakarta
https://budi.rahardjo.id/files/keamanan.pdf
HTTP://DUNIAAKUNTANTANSI.BLOGSPOT.COM/2016/09/CONTOH-
MAKALAH-KEAMANAN-SISTEM-INFORMASI.HTML