KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERANGAN , TIPE-TIPE PENGENDALIAN PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTU KEANDALAN SISTEM

1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN
SERANGAN , TIPE-TIPE PENGENDALIAN PRINSIP-
PRINSIP THE FIVE TRUST SERVICE UNTU KEANDALAN
SISTEM
NAMA : M.FADHLY
NIM : 55518110022
DOSEN PENGAMPU: Prof. Dr. Ir. Hapzi Ali, MM, CMA
PROGRAM MEGISTER AKUNTANSI
UNIVERSITAS MERCUBUANA
JAKARTA 2018

2. A. KONSEP DASAR KEAMANAN INFORMASIDAN PEMAHAMAN SERANGAN
1. Konsepdasar Keamanan Informasi
KeamananInformasi elektronikyangdimiliki olehperusahaanmenjadihal yangsangat
pentingbagi perusahaanyangmenggunakanfasilitasTIdanmenempatkannyasebagai
infrastrukturpenting dalamperusahaan.OlehkarenaitudataInformasi elektronikmenjadi
assetyang sangatberharga bagi perusahaan,makadari itu perludilakukanpengamanan
sebaikbaiknya.
MenurutG. J.Simons,keamanansisteminformasi adalahbagaimanakitadapatmencegah
penipuan(cheating) atau,palingtidak,mendeteksi adanyapenipuandi sebuahsistemyang
berbasisinformasi,dimanainformasinyasendiri tidakmemiliki arti fisik.
KeperluanpengembanganKeamananpada SistemInformasi memiliki tujuansebagaiberikut
(RahmatM. Samik-Ibrahim,2005):
 penjaminan INTEGRITASinformasi.
 pengamanan KERAHASIANdata.
 pemastian KESIAGAANsisteminformasi.
 pemastianMEMENUHIperaturan,hukum, dan bakuanyang berlaku.
Dalam ISO-17799 menyatakanbahwapengamananinformasi dilakukanuntukmemberikan
5 layananjaminankeamananinformasi, antaralain :
1. Confidentiality adalahjaminanbahwainformasihanyadapat diaksesolehpihakyang
berwenang.
2. Authenticity adalahjaminanbahwainformasi benar-benarasli/autentik (tanpa
Rekayasa)
3. Integrity;jaminanbahwainformasi itutepat,lengkap,terpercaya,dansesuai aslinya.
4. Availability merupakan jaminanbahwainformasidapatdiakses olehpihakyang
berwewenangsaatdibutuhkantanpapenundaan dalampenyajiannya.
5. Non-repudiation merupakan jaminanbahwapihakyangterlibatdengankeberadaan
informasi tidakdapat menyangkal atasdokumenyangdidalamnyaada
tandatangan/paraf yangbersangkutan (ISO-17799).
Semakintinggi tingkatpengamanan suatuperusahaan,terkadang berdampakterhadap
tingkatkemudahanataukenyamanan pengguna.oleh Karenaitumakaperencanaandan
pembangunansystempengamananinformasi di perusahaanperludilakukandengansebaik
baiknya. KonsepDasarpengamananmeliputi 3hal,yaitu :

3. a. Precaution( Pencegahan) merupakan segalaupaya danlangkah-langkah yang
dilakukanagarkemananinformasi terjagadari pihakyangtidakdi inginkan.
b. Maintenance ( pemeliharaan) merupakan Pengelolaanterhadapsemuaperubahan
aplikasi sertamemastikanaplikasi tetapup todate agar terhindardari penyajianyang
usang.
c. Reaction(Tindakan) merupakan Tindakanyangtepatjikaterjadi insidenterhadap
pengaman systeminformasiitusendiri.
2. Pemahaman Serangan Terhadap Keamanan Sisteminformasi
Seranganterhadapkeamanansysteminformasi (securityattack) dalamperusahaan dapat
digolongkansebagai CyberCrime. Adabeberapakemungkinanseranganterhadapperanan
komputerataujaringankomputersebagai penyedia informasi antaralain:
a. Interuption adalah rusaknyaatautidaktersedianyaperangkatsystem. Serangan
ditujukankepadaketersediaan(availability) dari system itusendiri. Seranganini dapat
merusak,memperlambatataumembuatsystemmenjadi hang.
b. Interception keadaandimana pihakyangtidakberwewenangberhasilmengaksesasset
atau informasi. Serangandilakukandengan Caramelakukan penyadapan(wiretapping)
pada aplikasi atausystem.
c. Modification keadaandimanaPihak yangtidakberwewenangberhasilmengubahasset
atau informasi denganpenyebaranwalware ( virus,trojanhorse,ataupunworm).
d. Fabrivcationkeadaaandimana Pihakyangtidakberwewenangmemasukkanobjekpalsu
(pesan-pesanpalsu) ke dalamsystem.
Pemahamanterhadapserangan-seranganyangmungkindilakukan terhadapsystem
informasi tersebut dapatmenjadi alasankuatuntuk melakukan peningkatankeamanan
informasi, dengancara:
 Memberikanpelatihankepada seluruhpegawai perusahaanmenggunakanjaringan
komputersecarabaikdan benarserta aman.
 Mengguanakanpassword yang unikpergunakankombinasiangkahuruf dansymbol
pada password.
 Menuliskebijakandanprosedur-proseduruntukmelindungi jaringankomputer,
misalnyapenggunaanantivirus baikyangdisediakan olehwindowsataulainnya.
 Back up data-datapentingsecaraberkala.
 Mengunci setiapperalatankomputerbilatidak sedangdigunakan atauketikahendak
pergi dalamkurunwaktuyang agak lama.

4.  Menghancurkansemuadokumenelektronikbila sudahtidakdibutuhkanlagi.
B. TIPE-TIPE PENGENDALIAN
Pengendaliansisteminformasi merupakanbagianyangtakdapatdipisahkandari pengelolaan
sisteminformasi,bahkanmelaksanakanfungsi yangsangatpentingkarenamengamatisetiap
tahapandalam prosespengelolaaninformasiitusendiri.Pengendaliansisteminformasi adalah
keseluruhankegiatandalambentukmengamati,membina,danmengawasi pelaksanaan
mekanisme dalamorganisasi.Padasaatini Organisasi bergantungpadateknologiinformasi (TI),
seperti memindahkansebagaian dari sisteminformasinyake cloud.
1. PengendalianPreventif
Yaitupengendalianyangmencegahmasalahsebelum masalahtersebuttimbul.
Pengendalianpreventif yangdigunakanorganisasi secaraumumdigunakanuntuk
membatasi aksesterhadapsumberdayainformasi. COBIT5 mengidentifikasi kemampuan
dan kompetensipegawaisebagai sebuahfasilitatorkritislainnya untukkeamananinformasi
yang efektif.Olehkarenaitu,pelatihanadalahsebuahpengendalianpreventif yangkritis,
dimanaSeluruhpegawai harusdiajarkan tentangpentingnyaukuran-ukurankeamananbagi
kebertahananjangkapanjang suatuorganisasi.Selainitu,pegawai jugadilatihuntuk
mengikuti praktik-praktikkomputerisasiyangaman.sangatPentingmemahamibahwa
“pihak luar” bukansatu-satunyasumberancaman.Olehkarenaitu,organisasimenerapkan
satu setpengendalianuntukmelindungiasetinformasi tersebut.
PraktikmanajemenCOBIT5DSS05.04 menetapkanduapengendalianatasancaman
terhadapasetinformasi,yaitu:
a. Pengendalianautentifikasi,memverifikasi identitasseseorangatauperangkatyang
mencobauntukmengakses sistem.Pengendalianini membatasi siapasajayangdapat
mengaksessisteminformasi dalamorganisasi.
b. Pengendalianotorisasi,prosesmemperketataksespenggunaterotorisasi atasbagian
spesifiksistemdanmembatasitindakan-tindakanapasajayang diperbolehkan danyang
tidakdiperbolehkan untukdilakukan dalamaktifitasnya.
2. PengendalianDetektif
Yaitupengendalianyangdidesainuntukmenemukanmasalahpengendalianyangtidak
dapat dihindari.Sebagaianbesarsistemmuncul dengankemampuanekstensif untuk
mencatat(logging) siapayangmengaksessistem tersebut.Sejumlahlogyangdibuat
menciptakansebuahjejakauditpadaakses dalamsistem.Analisislogadalahproses

5. pemeriksaanloguntukmengidentifikasibukti kemungkinan suatuserangan.Sedangkan,
sistemdeteksigangguan(intrusiondetectionsystem) merupakansebuahsistemyang
menghasilkansejumlahlogdari seluruhlalulintasjaringanyangdiizinkanuntukmelewati
firewall kemudianmenganalisislog-logtersebutsebagai tandaatasgangguanyang
diupayakanatauberhasil dilakukan.
Organisasi perluuntuksecara berkalamengujiefektivitasprosesbisnisdanpengendalian
internalnya.Sebuahuji penetrasi adalahsebuahupayaterotorisasiuntukmeneroboske
dalamsisteminformasi organisasi.Olehkarenaitu,PraktikmanajemenCOBIT5 menekankan
pentingnyapengawasanberkelanjutandankepatuhanpegawai terhadapkebijakan
keamanan suatuinformasi organisasi sertakinerjakeseluruhanprosesbisnis.
3. PengendalianKorektif
Yaitupengendalianyangmengidentifikasidanmemperbaikimasalahsertamemperbaiki dan
memulihkandari kesalahanyang telahdihasilkan.Terdapattigapengendaliankorektif yang
penting,yaitu:
a. Pembentukansebuahtimperesponinsidenkomputer(computerincidentresponse
team–CIRT).Merupakansebuahtimyangbertanggungjawabuntukmengatasi insiden
keamananutamapada system.SebuahCIRTharusmengarahkanprosesresponinsiden
organisasi melaluiempattahap:
 Pemberitahuan(recognition)ketikaterjadi masalah
 Penahanan(containment)terhadapmasalah
 Pemulihan(recovery) dan
 Tindaklanjut(foloowup)
b. Pendesainanindividukhusus(ChiefInformastionSecurityOfficer –CISO).Pentingagar
organisasi menentukanpertanggung jawabanataskeamananinformasikepada
seseorangdi level manajemensenioryangtepat.satucara untukmemenuhi sasaran
adalahmenciptakanposisi CISO,yangharusindependendari fungsi-fungsi sistem
informasi lainnyasertaharusmelaporbaik ke COO(chief operatingofficer) maupun
CEO (chief executiveofficer) .Olehkarenaitu,CISOharusmemilikitanggungjawab
untukmemastikanbahwapenilaiankerentanandanrisikodilakukansecarateraturserta
auditkeamanandilakukansecara berkala.
c. Penetapansertapenerapansistemmanajemenpathyangdidesaindenganbaik.Patch
adalahkode yang dirilisolehpengembangperangkatlunakuntukmemperbaiki
kerentanantertentu padasystem.Manajemenpatchadalahprosesuntuksecarateratur

6. menerapkanpatchdanmemperbarui seluruhperangkatlunakyangdigunakan oleh
suatuorganisasi.Olehkarenasejumlahpatchmerepresentasikanmodifikasi perangkat
lunakyangsungguhrumit,maka organisasi perlumenguji dengancermatefekdari patch
sebelummenyebarkandanmenerapkannyapadasystem.
C. PENGENDALIANUMUMDAN APLIKASI
1. PENGENDALIANUMUM
Yaitupengendalianyangdidesainuntukmemastikansisteminformasi dalam organisasidan
pengendalian padalingkunganstabil dandikeloladengan sangatbaik.Pengendalianumum
digolongkanmenjadi beberapa,diantaranya:
a) Pengendalianorganisasi danotorisasi adalahsecaraumumterdapatpemisahantugas
dan jabatanantara penggunasistem danadministratorsistem.Danjugadapat dilihat
bahwapenggunahanyadapat mengaksessistemapabilamemangtelah diotorisasioleh
pihak administrator.
b) Pengendalianoperasi.Operasisisteminformasi dalamperusahaanjugaperlu
pengendalianuntukmemastikansisteminformasitersebutdapatberoperasi dengan
baik sesuai denganyangdiharapkan.
c) Pengendalianperubahan.Perubahan-perubahanyangdilakukanterhadapsistem
informasi harusdikendalikan,termasukpengendalianversi dari sisteminformasi
tersebut,catatanperubahanversi,sertamanajemenperubahanatas
diimplementasikannyasebuahsisteminformasi padaPerusahaan.
d) Pengendalianaksesfisikal danlogikal.Pengendalianaksesfisikal berkaitandenganakses
secara fisikterhadapfasilitas-fasilitassisteminformasi suatuperusahaan,sedangkan
akseslogikal berkaitandenganpengelolaanaksesterhadapsistemoperasi sistem
tersebut(seperti:windows).
2. PENGENDALIANAPLIKASI
Yaitupengendalianyangmencegah,mendeteksi,danmengoreksikesalahantransaksi dan
penipuandalamprogramaplikasi.Terdapatbeberapamacamaplikasi berwujudperangkat
lunak,yangdapat dibagi menjadi duatipe dalamperusahaan:
a. Perangkatlunakberdiri sendiri.Terdapatpadaorganisasi yangbelummenerapkanSIA
(sistemInformasiAkuntansi) dansistemERP,sehinggamasihbanyakaplikasi yang
berdiri sendiri padamasing-masingunitnya.Seperti:aplikasi(software)MYOBpada
fungsi akuntansi dankeuangan.

7. b. Perangkatlunakdi server.Tedapatpadaorganisasi yangtelahmenerapkanSIA (sistem
Informasi Akuntansi) dansistemERP.Aplikasi terinstall padaserversehinggatipe
struktursistemnyamemakai sistemclient-server.Clienthanyadipakai sebagai antar-
muka(interface) untukmengaksesaplikasi padaserver.
Adapun bentukpengendaliandari aplikasitersebut,diantaranya:
1. PengendalianOrganisasi danAksesAplikasi.Padapengendalianorganisasi,hampirsama
denganpengendalianumumorganisasi,namunlebihterfokuspadaaplikasi yang
diterapkan di perusahaan.Siapapemilikaplikasi,tugasadministrator,pengguna,hingga
pengembanganaplikasi tersebut.Untukpengendalianakses,terpusathanyapada
pengendalian logikasajauntukmenghindari aksestidakterotorisasi secarabaik.Selain
itujuga terdapatpengendalianrole basedmenudibalikpengendalianakseslogika,
dimanahanyapenggunatertentusajayangmampumengaksesmenuyangtelah
ditunjukolehadministratortersebut.Hal ini berkaitaneratdengankebijakanTIdan
prosedurperusahaanberkaitandengannamapenggunadan passwordnya.
2. PengendalianInput.Pengendalianinputmemastikandata-datayangdimasukkanke
dalamsistemtelahtervalidasi,akurat,danterverifikasidenganbaik.
3. PengendalianProses.Pengendalianprosesbiasanyaterbagi menjadi duatahapan,yaitu :
 tahapantransaksi,dimanaprosesterjadi padaberkas-berkastransaksi baikyang
sementaramaupunyangpermanen.
 tahapandatabase,prosesyangdilakukanpadaberkas-berkasmaster.
4. PengendalianOutput.Padapengendalianinidilakukanbeberapapengecekanbaik
secara otomatismaupunmanual,jikaoutputyangdihasilkanjuga bersifatkasatmata.
5. PengendalianBerkasMaster.Padapengendalianiniharusterjadi integritasreferensial
pada data,sehinggatidakakandiketemukananomali-anomali,seperti anomaly
penambahan,anomalypenghapusandananomalypemuktahiranatau pembaruan.
D. Prinsip-PrinsipThe Five Trust Services
ServicesFrameworkmengaturpengendalian TIke dalam5 (lima) prinsipyangberkontribusi
secara bersamaanterhadapkendala padasistem:
1. Keamanan(security) - akses(baikfisikmaupunlogis) terhadapsistemdandatadi dalamnya
dikendalikansertaterbatasuntukpenggunayangsah (yangdiizinkan).
2. Kerahasiaan(confidentiality) –informasi keorganisasianyangsensitif terlindungi dari
pengungkapanyangtanpaizin (tanpapemberianotorisasi).

8. 3. Privasi (privacy) –informasi pribadi tentangpelanggan,pegawai,pemasok,ataurekankerja
hanyadikumpulkan,digunakan,diungkapkan,dandikelolasesuai dengankepatuhan
terhadapkebijakaninternal danpersyaratanperaturaneksternal sertaterlindungi dari
pengungkapanyang tidakberwenang.
4. IntegritasPemrosesan(processingintegrity) –datadiprosessecaraakurat,lengkap,tepat
waktu,dan hanyadenganotorisasi yangsesuai dengankebijakanperusahaan.
5. Ketersediaan(availability)–sistemdaninformasinyatersediauntukmemenuhi kewajiban
operasional dankontraktual bagi perusahaan.

9. SUMBER
MuhammadFairuzabadi,2010, https://fairuzelsaid.wordpress.com/2010/08/24/cyberlaw-konsep-
keamanan-sistem-informasi/,16Oktober2018.
Martina MelissaL. Hapzi Ali,2018, http://martinamelissaloudoe.blogspot.com/2018/04/konsep-
dasar-keamanan-informasi.html,16 Oktober2018.
Toharudin.hapzi ali, 2018, http://toharudin965.blogspot.com/2018/04/konsep-dasar-keamanan-
informasi-dan.html ,16 Okt 2018.
dianandriani,hapzi ali,2018, https://www.slideshare.net/DianAndriani24/si-pi-dian-andriani-hapzi-
ali-konsep-dasar-keamanan-informasi-pemahaman-serangan-tipe-tipe-pengendalian-prinsipprinsip-
the-five-trust-service-untuk-keandalan-system-universitas-mercu-buana-2018,16 Oktober2018.