Dokumen tersebut membahas tentang keamanan sistem informasi, termasuk ancaman seperti hacker, cracker, virus, dan cara mengatasinya. Dijelaskan pula berbagai alat deteksi kecurangan dan perangkat lunak untuk meningkatkan keamanan sistem informasi.
Sim, risky yoni septiana, prof. dr. ir. hapzi ali, m.m, cma, pengantar sistem...
Sim, risky yoni septiana, prof. dr. ir. hapzi ali, m.m, cma, keamanan sistem informasi , universitas mercu buana, 2017
1. Nama : Risky Yoni Septiana
NIM : 43215010082
Dosen Pengampu : Prof. Dr. Ir. Hapzi Ali, M.M, CMA
KEAMANAN SISTEM INFORMASI
Hacker adalah seorang yang mempunyai keinginan untuk mengetahui secara
mendalam mengenai kerja suatu system, komputer atau jaringan komputer, sehingga menjadi
orang yang ahli dalam bidang penguasaan sistem, komputer atau jaringan komputer, atau
dapat dikatakan sebagai orang yang memiliki skill superior dalam bidang perkomputeran, dan
bukan merupakan penjahat komputer. Biasanya tujuan dari seorang Hacker adalah untuk
menyempurnakan sebuah system dan melindungi sebuah system, sedangkan seorang Cracker
(Black Hat Hacker) lebih bersifat destruktif. Umumnya cracker melakukan cracking untuk
menggunakan sumber daya di sebuah sistem untuk kepentingan sendiri. Dengan cara
menerobos masuk system jaringan target.
CARA MENGATASI HACKER DAN CRACKER ATAU KEJAHATAN KOMPUTER
Memperkuat Hukum
Kini dengan hukum dunia teknologi informasi diperkuat maka setiap orang tidak
seenaknya lagi melanggar hukum, karena bisa-bisa digiring sampai ke kantor polisi.
Organisasi industri seperti Software Publishers Association (SPA) segera dibentuk setelah
maraknya pembajakan perangkat lunak dalam sekala besar maupun kecil. Pembajakan
perangkat lunak komersial sekarang merupakan tindak pidana berat, bisa dipenjara maksimal
5 tahun dan didenda hingga 250.000 dollar bagi siapa saja yang terbukti memakai peragkat
bajakan. Dengan memperkuat hukum ini minimal akan mengurangi resiko kejahatan
Teknologi informasi.
CERT : Computer Emergency respose Team
Pada tahun 1988, setelah internet tersebar luas, Departemen pertahanan AS
membentuk CERT. Meskipun lembaga ini tidak mempunyai wewenang untuk menahan atau
mengadili, CERT menyediakan informasi internasional dan layanan seputar keamanan bagi
para pengguna internet. CERT hadir sebagai pendamping pihak yang diserang, membantu
2. mengatasi penggangu, dan mengevaluasi sistem yang telah megalami serangan untuk
melindunginya dari gangguan dimasa yang akan datang.
Alat pendeteksi kecurangan perangkat lunak deteksi berbasis aturan.
Dalam teknik ini pengguna, semisal pedagang membuat file negatif yang memuat
kriteria yang harus dipenuhi oleh setiap transaksi. Kriteria ini meliputi nomor kartu kredit
yang dicuri dan juga batas harganya, kecocokan alamat rekening pemegang kartu dan alamat
pengiriman, dan peringatan jika satu item dipesan dalam jumlah besar.
Perangkat Lunak Model Prediktif-Statistik
Dalam teknik ini dilakukan pemeriksaan pada berton-ton data dari transaksi
sebelumnya. Tujuannya untuk membuat diskripsi matematis tentang kecurangan transaksi
yang biasa terjadi. Perangkat lunak ini menghitung pesanan yang masuk menurut skala rasio
yang didasarkan pada kemiripan profil kecurangan. Semisal jika beberapa pencuri yang telah
mendapatkan nomor telpon perusahaan anda dengan cara menyadap pembicaraan –
melakukan pembicaraan kesuatu negara padahal anda tidak pernah melakukannya, maka
perangkat lunak AT&T akan melakukan aktivitas yang tidak biasa lalu memanggil anda
untuk mengetahui apakah anda yang melakukan panggilan tersebut.
Perangkat Lunak Manajemen Internet Pegawai (EIM)
Program yang dibuat oleh Websense, SurfControl, dan Smartfilter yang digunakan
untuk memantau berapa banyak waktu yang dihabiskan para manusia yg diweb dan untuk
memblokir akses ke situs judi atau porno.
Perangkat lunak penyaring Internet
Beberapa perusahaan menggunakan perangkat lunak penyaring filter khusus untuk
memblok akses ke pornogafi, download music bootleg, dan situs Internet lain yang tidak
dikehendaki yang kemungkinan akan diakses pengawasan secara elektronik perusahaan
menggunakan berbagai jenis pengawas elektronik yang menyertakan teknologi pemantau
audio dan visual, membaca email dan blog, dan merekam keystroke. Virus adalah program
komputer yang secara umum bekerja dengan merusak data atau sistem targetnya. Biasanya
3. virus banyak menyerang sistem dengan sistem operasi windows, walaupun ada beberapa
virus juga yang menyerang pengguna dengan sistem operasi lainnya seperti linux dan mac.
Biasanya tujuan penyebaran virus adalah untuk merusak sistem target, lalu berikutnya
sang hacker akan memeras korbannya dengan tuntutan sejumlah uang. Jika uang tidak
dikirimkan, maka serangan virus akan ditingkatkan dan sistem korban menjadi rusak dan
kegiatan bisnisnya tidak dapat berjalan lancar. Biasanya yang diincar dalam serangan virus
adalah perusahaan yang pada umumnya memiliki uang yang bisa diperas.
Sedangkan spyware adalah sebuah program jahat yang bisa memata-matai pengguna yang
komputernya terinfeksi oleh spyware. Spyware, jika terpasang pada komputer Anda, akan
mendeteksi dan merekam berbagai kegiatan Anda di dunia maya, termasuk password email
Anda, login dan password internet banking Anda, dan sebagainya. Selanjutnya, data yang
dikumpulkan oleh spyware akan dikirimkan kepada hacker yang membuatnya, tanpa
diketahui pengguna. Selanjutnya setelah data pengguna tersebut sampai di tangan sang
hacker, mereka akan memanfaatkannya untuk melakukan pembelian tanpa diketahui pemilik
rekening atau mereka mentransfer dana korban ke rekening sang hacker. Saran saya untuk
Anda supaya terhindar dari serangan Virus dan Spyware yang cukup mudah dilakukan adalah
dengan menginstall software anti virus dan anti spyware pada komputer Anda
Langkah-langkah Pencegahan Virus
1. Jangan menggunakan disket atau sebarang storan yang tidak diketahui puncanya.
Disket yang tidak diketahui tersebut mungkin telah tercemar dengan virus. Amalan write-
protect disket hendaklah dilakukan selalu bagi mempastikan virus tidak dapat menulis dirinya
kedalam disket tersebut.
2. Jangan sesekali menggunakan perisian cetak rompak (pirated copy) Perisian cetak rompak
lazimnya ialah perangkap penulis virus. Perisian sebenar yang telah dimodifikasi dengan
memasukkan virus ini lazimnya dijual dengan harga yang amat murah.
3. Jangan membuka emel yang mempunyai attachment Teknologi internet telah dipergunakan
sepenuhnya oleh penulis virus. Virus kini mampu disebarkan melalui pembacaan emel yang
telah tercemar. Kebanyakan emel ini akan mengandungi fail attachment. Kadang-kala ia tetap
mengandungi virus walaupun dihantar oleh orang yang anda kenali. Pastikan anda menelefon
kenalan anda, bagi mempastikan adakah beliau benar-benar telah menghantar emel yang
mengandungi fail attachment kepada anda.
4. 4. Gunakan Perisian Anti-Virus. Perisian anti-virus ialah perisian utiliti untuk mengesan dan
memusnahkan virus. Terdapat perisian ini yang boleh didapati secara percuma di Internet
antaranya ;
a. AVGAnti-virus
b. Free Anti-Virus
c. Innoculate IT (terdapat untuk OS windows95 keatas dan juga Palm OS)
Manakala anti-virus yang dijual dipasaran ialah ;
a. Mc Afee Anti-Virus
b. Norton Anti-Virus
c. Pc-Cillin
d. Armour Anti Virus
e. VBuster
f. Virus Rx (untuk komputer Apple)
Kebanyakan perisian anti-virus ini boleh di upgrade bagi mempastikan ia
mengandungi pangkalan data anti-virus terkini. Ia juga kadangkala menawarkan bantuan
segera kepada pengguna berdaftar. VBuster umpamanya adalah perisian anti-virus yang amat
terkenal malah ia digunakan oleh NASA. Ia dicipta oleh Dr. Looi Hong Thong yang berasal
dari Pulau Pinang, Malaysia.
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi.
Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik
dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau
bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu
performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan. Makalah ini
diharapkan dapat memberikan gambaran dan informasi tentang keamanan sistem informasi.
Keamanan sistem adalah sebuah sistem yang digunakan untuk mengamankan sebuah
komputer dari gangguan dan segala ancaman yang membahayakan yang pada hal ini
keamanannya melingkupi keamanan data atau informasinya ataupun pelaku sistem (user).
Baik terhindar dari ancaman dari luar, virus. Spyware, tangan-tangan jahil pengguna lainnya
5. dll. Sistem komputer memiliki data-data dan informasi yang berharga, melindungi data-data
ini dari pihak-pihak yang tidak berhak merupakan hal penting bagi sistem operasi
Adapun tujuan keamanan Informasi menurut Garfinkel, antara lain:
1. Kerahasiaan/privacy
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari
orang yang tidak berhak mengakses. Privacy lebih kearah datadata yang sifatnya privat
sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain
untuk keperluan tertentu (misalnya
sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk keperluan
tertentu tersebut.
2. Ketersediaan/ availability
Agar data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk
menggunakannya.
3. Integritas/ integrity.
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi.
Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin
merupakan contoh masalah yang harus dihadapi. Sebuah e-maildapat saja “ditangkap” di
tengah jalan, diubah isinya kemudian diteruskan ke alamat yang dituju. Dengan kata lain,
integritas dari informasi sudah tidak terjaga. Penggunaan enkripsi dan digital signature,
misalnya, dapat mengatasi masalah ini.
4. Autentikasi/ Authentication .
Berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang yang
mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud,
atau server yang dihubungi adalah betul-betul serveryang asli. Authentication biasanya
diarahkan kepada orang (pengguna), namun tidak pernah ditujukan kepada serveratau mesin.
5. Access Control
Berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan
dengan klasifikasi data (public, private, confidential, top secret) dan user (guest, admin, top
manager) mekanisme authentication dan jugaprivacy.
6. Non-repudiation
Menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi.
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem
informasi akan terus meningkat dikarenakan beberapa hal:
6. a. Aplikasi bisnis berbasis teknologi informasi dan jaringan komputer semakin meningkat.
b. Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan
membutuhkan lebih banyak operator dan administrator yang handal.
c. Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source
code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan.
d. Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan
komputer yang global seperti internet..
e. Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti
dan masalah interoperabilityantar vendor yang lebih sulit ditangani.
f. Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai
yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
g. Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan
telekomunikasi yang sangat cepat. Begitu pentingnya nilai sebuah informasi menyebabkan
seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu, karena
jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi
itu sendiri.
C. Ancaman Virus
Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus.Virus
adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan
pengguna. Ancaman dalam sistem informasi merupakan serangan yang dapat muncul pada
sistem yang digunakan. Serangan dapat diartikan sebagai “tindakan yang dilakukan
denganmenggunakan metode dan teknik tertentu dengan berbagai tools yang
diperlukansesuai dengan kebutuhan yang disesuaikan dengan objek serangan tertentu
baikmenggunakan serangan terarah maupun acak“. Serangan yang terjadi terhadapsebuah
sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration.Dalam materi
keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah sistem
sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin canggih dan
sangat sulit di prediksi dan dideteksi. Beberapa contoh serangan yang dapat mengancam
sebuah sistem adalah sebagai berikut :
1. Virus
Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun 1980-an,
virus berkembang pesat seiring dengan pesatnya perkembangan teknologi komputer. Virus
selalu menemukan dan menyesuaikan diri untuk menyebarkan dirinya dengan berbagai
7. macam cara. Pada dasarnya, virus merupakan program komputer yang bersifat “malicious”
(memiliki tujuan merugikan maupun bersifat mengganggu pengguna sistem) yang dapat
menginfeksi satu atau lebih sistem komputer melalui berbagai cara penularan yang dipicu
oleh otorasisasi atau keterlibatan “user” sebagai pengguna komputer. Kerusakan yang dapat
ditimbulkan pun bermacam-macam mulai dari yang mengesalkan sampai kepada jenis
kerusakan yang bersifat merugikan dalam hal finansial.
2. Worms
Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah “virus”
merupakan program malicious yang dirancang terutama untuk menginfeksi komputer yang
berada dalam sebuah sistem jaringan. Walaupun sama-sama sebagai sebuah penggalan
program, perbedaan prinsip yang membedakan worms dengan virus adalah bahwa
penyebaran worm tidak tergantung pada campur tangan manusia atau pengguna. Worms
merupakan program yang dibangun dengan algoritma tertentu sehingga mampu untuk
mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa melalui bantuan maupun
keterlibatan pengguna. Pada mulanya worms diciptakan dengan tujuan untuk mematikan
sebuah sistem atau jaringan komputer. Namun belakangan ini telah tercipta worms yang
mampu menimbulkan kerusakan luar biasa pada sebuah sistem maupun jaringan komputer,
seperti merusak file-file penting dalam sistem operasi, menghapus data pada hard disk,
menghentikan aktivitas komputer , dan hal-hal destruktif lainnya. Karena karakteristiknya
yang tidak melibatkan manusia, maka jika sudah menyebar sangat sulit untuk mengontrol
atau mengendalikannya. Usaha penanganan yang salah justru akan membuat pergerakan
worms menjadi semakin liar tak terkendali untuk itulah dipergunakan penanganan khusus
dalam menghadapinya.
3. Trojan Horse
Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang
digunakan untuk merebut kota Troy yang dikelilingi benteng yang kuat. Pihak penyerang
membuat sebuah patung kuda raksasa yang di dalamnya memuat beberapa prajurit yang
nantinya ketika sudah berada di dalam wilayah benteng akan keluar untuk melakukan
peretasan dari dalam. Ide ini mengilhami sejumlah hacker dan cracker dalam membuat virus
atau worms yang cara kerjanya mirip dengan fenomena taktik perang ini, mengingat
banyaknya antivirus yang bermunculan maka mereka menciptakan sesuatu yang tidak dapat
terdeteksi oleh antivirus.
8. Ancaman Keamanan Sistem Informasi
Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam
sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem
informasi.Ancaman terhadap keamanan informasi berasal dari individu, organisasi,
mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada
sumber-sumber informasi.Pada kenyataannya ancaman dapat bersifat internal, yaitu berasal
dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan. Ancaman juga
dapat terjadi secara sengaja ataupun tidak sengaja..Ancaman selama ini hanya banyak di
bahas dikalangan akademis saja.Tidak banyak masyarakat yang mengerti tentang ancaman
bagi keamanan sistem informasi mereka. Masyarakat hanya mengenal kejahatan teknologi
dan dunia maya hanya apabila sudah terjadi “serangan“ atau “attack”. Sebuah hal yang perlu
disosialisasikan dalam pembahasan tentang keamanan sistem terhadap masyarakat adalah
mengenalkan “ancaman” kemudian baru mengenalkan „serangan‟ kepada masyarakat. Perlu
di ketahui bahwa serangan dimulai dengan ancaman, dan tidak akan ada serangan sebelum
adanya ancaman. Serangan dapat diminimalisir apabila ancaman sudah diprediksi dan
dipersiapkan antisipasi sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui
metode -metode penilaian resiko dari sebuah ancaman. Ada beberapa metode yang digunakan
dalam mengklasifikasikan ancaman, salah satunya adalah Stride Method ( metode stride ) .
STRIDE merupakan singkatan dari:
A. Spoofing : Menggunakan hak akses / Mengakses sistem dengan menggunakan
identitas orang lain .
B. Tampering : Tanpa mempunyai hak akses namun dapat mengubah data yang ada
didalam database.
C. Repudiation : Membuat sebuah sistem atau database dengan sengaja salah, atau
sengaja menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi sehingga
dapat digunakan untuk mengakses sistem pada suatu saat
D. Information disclosure : Membuka atau membaca sebuah informasi tanpa memiliki
hak akses atau membaca sesuatu tanpa mempunyai hak otorisasi.
E. Denial of service : Membuat sebuah sistem tidak bekerja atau tidak dapat digunakan
oleh orang lain.
F. Elevation of priviledge : Menyalahgunakan wewenang yang dimiliki untuk
mengakses sebuah sistem untuk kepentingan pribadi.
9. Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila seseorang
diketahui membawa senjata tajam kemanapun dia pergi maka dapat dikatakan orang tersebut
dapat merupakan ancaman bagi orang lain. Hal lain didunia nyata adalah pada saat diketahui
seseorang membawa kunci T di sakunya maka dapat disimpulkan orang tersebut adalah
merupakan ancaman bagi orang lain yang membawa kendaraan bermotor. Didalam dunia
keamanan sistem atau dunia teknologi informasi seseorang dapat dikatakan berpotensi
sebagai ancaman apabila memiliki hal sebagai berikut:
a. Kewenangan tinggi untuk login kedalam sebuah sistem.
b. Memiliki hak akses ( password ) seseorang yang dia ketahui dari berbagai sumber.
c. Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian
dibidang itu
d. Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem
tersebut.
C. JENIS UKURAN-UKURAN KEAMANAN SISTEM INFORMASI
Untuk melindungi sumberdaya organisasi, suatu perusahaan harus menerapkan beragam
jenis ukuran keamanan. Ukuran keamanan yang memadai memungkinkan perusahaan:
o Melindungi fasilitas komputernya dan fasilitas fisik lainnya.
o Menjaga integritas dan kerahasiaan file data.
o Menghindari kerusakan serius atau kerugian-kerugian karena bencana
Ukuran keamanan fokus pada:
o Keamanan fisik dan
o Keamanan data/informasi.
Kemanan fisik dikelompokkan atas:
o Kemanan untuk sumberdaya fisik selain fasilitas komputer
o Keamanan untuk fasilitas perangkat keras komputer.
Ukuran keamanan spesifik
Untuk setiap keamanan fisik dan keamanan data/informasi, maka ukuran-ukuran
keamanan harus ditetapkan untuk:
1. Melindungi dari akses yang tidak diotorisasi/diijinkan
2. Perlindungan terhadap bencana
3. Perlindungan terhadap kerusakan atau kemacetan
4. Perlindungan dari akses yang tidak terdeteksi
5. Perlindungan terhadap kehilangan atau perubahan-prubahan yang tidak seharusnya
10. 6. Pemulihan atau rekonstruksi data yang hilang
D. KEAMANAN UNTUK SUMBER DAYA FISIK NON KOMPUTER
1. Sumberdaya fisik nonkomputer misalnya kas, sediaan, surat-surat berharga sekuritas, aktiva
tetap perusahaan, atau arsip-arsip dalam lemari arsip.
2. Perlindungan dari akses yang tidak diijinkan
Akses ke aktiva fisik non komputer harus dibatasi atau dijaga dari pihak-pihak yang
tidak diijinkan/diotorisasi.
Kas harus disimpan dalam kotak terkunci (brankas) dan hanya boleh diakses oleh orang-
orang yang diijinkan.
Menetapkan penjaga untuk sediaan yang disimpan digudang atau aktiva yang ada
digedung administrasi atau pabrik.
Membuat pagar untuk wilayah-wilayah tempat penyimpanan aktiva.
Membuat alarm, monitor TV atau lemari arsip yang terkunci.
3. Perlindungan dari Bencana, Melengkapi gudang dengan peralatan-peralatan pencegah api dan
menyimpan kas pada tempat yang tahan api
4. Perlindungan dari kerusakan dan kemacetan, Melakukan pemeliharaan rutin atas aktiva-
aktiva operasi, seperti mesin, mobli dan lain-lain
E. KEMANAN UNTUK PERANGKAT KERAS KOMPUTER
1. Perlindungan dari akses orang yang tidak diijinkan
Pusat fasilitas komputer harus diisolasi, lokasi tidak bisa dipublikasi dan tidak tampak
dari jalan umum.
Akses fisik ke fasilitas komputer dibatasi pada orang yang diotorisasi, misalnya
operator komputer, pustakawan, penyelia pemrosesan data atau manajemen sistem
informasi.
Penjaga keamanan dan resepsionis ditempatkan pada titik-titik strategis.
Memakai alat scanning elektronik
Pintu terkunci ke ruangan komputer dan titik pemasukan data yang hanya bisa
dibuka dengan kartu berkode magnetik.
Alarm, apabila ada pihak yang tidak diotorisasi masuk.
11. 2. Perlindungan dari bencana
Fasilitas komputer diatur kelembaban dan suhu ruangannya.
Untuk menghindari kerusajkan karena air, maka lantai, dinding dan atap harus tahan air.
Membuat detektor asap atau detektor api
Untuk mainframe, maka sebaiknya disediakan generator ataupun UPS
3. Perlindungan dari kerusakan dan kemacetan: Membuat rencana backup file
F. KEMANAN UNTUK DATA DAN INFORMASI
1. Perlindungan dari akses orang yang tidak diotorisasi terhadap data
a) Isolasi, data dan informasi yang rahasia dan penting bagi operasi perusahaan diisolasi secara
fisik untuk melindungi dari akses yang tidak diotorisasi.
b) Otentifikasi dan otorisasi pengguna. Misalnya dengan membuat daftar pengendalian akses
(ACL), membuat password, Automatic lockout, Callback procedure, keyboard lock.
c) Peralatan komputer dan terminal dibatasi penggunaannya. MIsalnya: suatu terminal
dibatasi hanya bisa memasukkan transaksi tertentu sesuai dengan fungsinya. Bagian gudang
hanya bisa memasukkan dan memutakhirkan data sediaan setelah memasukkan password
atau username. Peralatan komputer dan terminal juga akan terkunci otomatis bila jam kerja
telah selesai.
d) Enskripsi. Untuk mencegah pengganggu (intruder) memasuki jaringan komunikasi data dan
menyadap data, maka data rahasia yang ditransmisikan melalui jaringan dilindungi dengan
enkripsi (data dikodekan dan apabila telah sampai kode tersebut dibuka ditempat tujuan).
Terdapat dua jenis enskripsi:private key encryption & Public Key Encryption.
e) Destruksi. Untuk mencegah pihak yang tidak diijinkan mengakses data, data rahasia harus
segera dihancurkan ketika masa penggunaannya selesai. Untuk hasil cetakan, segera
dihancurkan melalui alat penghancur kertas.
2. Perlindungan dari akses data dan informasi yang tidak bisa dideteksi
a) Membuat access log (log akses), merupakan komponen keamanan sistem pengoperasian,
mencatat seluruh upaya untuk berinteraksi dengan basis data/database. Log ini menampilkan
waktu, tanggal dan kode orang yang melakukan akses ke basis data. Log ini menghasilkan
jejak audit yang harus diperiksa oleh auditor internal atau administratur keamanan untuk
menetapkan ancaman-ancaman yang mungkin terhadap keamanan sistem informasi.
b) Console log Cocok bagi komputer mainframe yang menggunakan pemrosesan
tumpuk. Console log mencatat semua tindakan yang dilakukan sistem operasi dan operator
komputer.Console log mencatat seluruh tindakan yang dilakukan sistem operasi dan operator
12. komputer, seperti permintaan dan tanggapan yang dibuat selama pelaksanaan pemrosesan dan
aktivitas lainnya.
c) Perangkat lunak pengendalian akses, Beberapa perangkat lunak berinteraksi dengan sistem
operasi komputer untuk membatasi dan memantau akses terhadap file dan data.
d) Log perubahan program dan sistem. Log perubahan program dan sistem dapat memantau
perubahan terhadap program, file dan pengendalian. Manajer pengembangan sistem
memasukkan kedalam log ini seluruh perubahan dan tambahan yang diijinkan terhadap
program. Perubahan dan tambahan yang diijinkan terhadap program harus diperiksa internal
auditor untuk memeriksa kesesuaian dengan prosedur perubahan yang disarankan.
G. PERLINDUNGAN DARI KERUGIAN ATAU PERUBAHAN YANG TIDAK
DIHARAPKAN TERHADAP DATA ATAU PROGRAM
1. Log (catatan) perpustakaan, memperlihatkan pergerakan dari file data, program, dan
dokumentasi yang digunakan dalam pemrosesan atau aktivitas lainnya.
2. Log transaksi, mencatat transaksi individual ketika transaksi itu dimasukkan ke dalam
sistem on-line untuk pemrosesan. Log ini memberikan jejak audit dalam sistem
pemrosesan online. Termasuk dalam log ini adalah tempat pemasukan transaksi, waktu dan
data yang dimasukkan, nomor identifikasi orang yang memasukkan data, kode transaksi, dan
jumlah. Perangkat lunak sistem juga meminta nomor transaksi. Secara teratur daftar log
transaksi ini harus dicetak.
3. Tombol perlindunganàpada 3 ½ floppy disk
4. Label file
5. Memori hanya-baca (Read -Only Memory)
6. Penguncian (lockout), merupakan perlindungan khusus yang diperlukan untuk melindungi
basis data/database, karena beragam pengguna dan program biasanya mengakses data secara
bergantian dan terus menerus. Penguncian mencegah dua program mengakses data secara
bersamaan. Akibatnya, satu program harus ditunda sampai program lain selesai mengakses.
Jika kedua program diijinkan untuk memutakhirkan record yang sama, maka satu data dapat
dicatat berlebihan dan hilang.
Kebijakan Keamanan Sistem Informasi
Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai
sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin
13. dalam melaksanakan tugasnya.Setiap organisasi akan selalu memiliki pedoman bagi
karyawannya untuk mencapai sasarannya. Setiap karyawan tidak dapat bertindak semaunya
sendiri dan tidak berdisiplin dalam melaksanakan tugasnya.Kebijakan keamanan sistem
informasi biasanya disusun oleh pimpinan operasi beserta pimpinan ICT (Information
Communication Technology) dnegan pengarahan dari pimpinan organisasi. Rangkaian
konsep secara garis besar dan dasar bagi prosedur keamanan sistem informasi adalah:
Kebijakan Keamanan Sistem Informasi.
Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai
sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin
dalam melaksanakan tugasnya.Setiap organisasi akan selalu memiliki pedoman bagi
karyawannya untuk mencapai sasarannya. Setiap karyawan tidak dapat bertindak semaunya
sendiri dan tidak berdisiplin dalam melaksanakan tugasnya.Kebijakan keamanan sistem
informasi biasanya disusun oleh pimpinan operasi beserta pimpinan ICT (Information
Communication Technology) dnegan pengarahan dari pimpinan organisasi. Rangkaian
konsep secara garis besar dan dasar bagi prosedur keamanan sistem informasi adalah:
1. Kemanan sistem informasi merupakan urusan dan tanggung jawab semua
karyawan. Karyawan diwajibkan untuk memiliki “melek” keamanan
informasi.Mereka harus mengetahui dan dapat membayangkan dampak apabila
peraturan keamanan sistem informasi diabaikan.Semua manajer bertanggung jawab
untuk mengkomunikasikan kepada semua bawahannya mengenai pengamanan yang
dilakukan di perusahaan dan meyakinkan bahwa mereka mengetahui dan memahami
semua peraturan yang diterapkan di perusahaan dan bagiannya.
2. Penetapan pemilik sistem informasi. Akan berguna sekali apabila seseorang ditunjuk
sebagai pemilik sistem (atau sistem) yang bertanggung jawab atas keamanan sistem
dan data yang dipakainya.Ia berhak untuk mengajukan permintaan atas pengembangan
sistem lebih lanjut atau pembetulan di dalam sistem yang menyangkut bagiannya.
Personel ini merupakan contact person dengan bagian ICT (Information
Communication Technology).
3. Langkah keamanan harus sesuai dengan peraturan dan undang-
undang. Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undang-
undang yang telah ditetapkan yang berkaitan dengan proteksi data, computer crime,
dan hak cipta.
14. 4. Antisipasi terhadap kesalahan. Dengan meningkatkan proes transaksi secara online
dan ral time dan terkoneksi sistem jaringan internaisonal, transaksi akan terlaksanaka
hanya dalam hitunngan beberapa detik dan tidak melibatkan manusia. Transaksi
semacam ini apabila terjadi kesalahan tidak dapat langsung diperbaiki atau akan
menyita banyak waktu dan upaya untuk memperbaikinya. Antisipasi dan pencegahan
dengan tindakan keamanan yang ketat akan memberikan garansi atas integritas,
kelanjutan, dan kerahasiaan transaksi yang terjadi. Tindakan pecegahan tambahan
harus diimplementasikan agar dapat mendeteksi dan melaporkan kesalahan yang terjadi
sehingga kejanggalan dapat ikoreksi secepat mungkin.Pengaksesan ke dalam sistem
harus berdasarkan kebutuhan fungsi. User harus dapat meyakinkan kebutuhannya
untuk dapat mengakses ke sistem sesuai dnegan prinsip “need to know”. Pemilik
sistem harus bertanggung jawab atas pemberian akses ini.
5. Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses
di sistem informasi. Sistem computer milik perusahaan beserta jaringannya hanya
diperbolehkan untuk dipakai demi kepentingan bisnis perusahaan.Data perusahaan
hanya diperbolehkan dipakai untuk bisnis perusahaan dan pemilik sistem bertanggung
jawab penuh atas pemberian pengaksesan terhadap data tersebut.
6. Pekerjaan yang dilakukan oleh pihak ketiga. Apabila pihak ketiga melakukan
pekerjaan yang tidak dapat ditangani oleh perusahaan, maka perusahaan harus
dilindungi oleh keamanan atas informasi perusahaan.Di dalam kontrak harus
didefinisikan agar pihak ketiga mematuhi peraturan dan keamanan sistm informasi
perusahaan.Manajemen harus bertanggung jawab agar pihak ketiga mematuhi dan
mengikuti peraturan keamanan yang telah ditentukan.
7. Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan
pemakai akhir sistem informasi. Untuk menjaga kestabilan sistem informasi di
lingkungan perusahaan, dianjurkan agar diadakan pemisahan secara fungsional antara
pengembang sistem, pengoperasian sistem harian dan pemakai akhir. Untuk mencapai
tujuan ini, pihak ICT terutama bagian pengembangan sistem tidak dibenarkan apabila
ia menangani administrasi yang menyangkut keamanan sistem.
8. Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah ada
harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan
permintaan perubahan (change request)
9. Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk
pengembangan dan implementasi sistem baru. Setiap permintaan perubahan program
15. harus disertai alasan yang kuat serta keuntungan yang akan didapatkan dan pemohon
harus dapat meyakini manajer terkait dan pemilik sistem mengenai perubahan ini. Oleh
karena itu, sangat penting apabila semua pihak yang terkait harus menandatangani
“change request” sebelum kegiatan ini dimulai.
10. Sistem yang akan dikembangkan harus sesuai dnegan standart metode pengembangan
sistem yang diemban oleh organisasi. Sistem yang akan dibangun harus memakai
bahasa pemograman yang telah ditetapkan. Tidak dibenarkan apabila programer
membuatnya dengan bermacam-macam bahasa pemograman.Patut dipertimbangkan
semua risiko keamanan beserta penanggulannya di dalam sistem.Sebelum sistem
aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keadaan
keamanan di dalam aplikasi tersebut.
11. Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan
memakai kode identiitasnya (user-ID). Semua pemakai harus berhati-hati menyimpan
password User-ID-nya. Semua aktivitas yang dilakukan dengan ID ini akan terekam di
dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan
fatal yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang berdampak
akan mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik user-
ID ini.
Sumber :
Hapzi Ali, Modul Sistem Informasi Manajemen
https://alvinnikmatulhidayah.wordpress.com/2016/03/01/cara-penanggulangan-hacker-dan-
cracker-dalam-cybercrime/
http://www.ukm.my/ptjzon3/?page_id=381
http://duniaakuntantansi.blogspot.co.id/2016/09/contoh-makalah-keamanan-sistem-
informasi.html
http://alsyahdadgmni.blogspot.co.id/?m=1
https://goindoti.blogspot.co.id/2016/08/keamanan-sistem-informasi.html