Dokumen tersebut membahas tentang keamanan informasi dalam pemanfaatan teknologi informasi. Secara garis besar, dibahas mengenai tujuan keamanan informasi yaitu kerahasiaan, ketersediaan dan integritas sumber daya informasi perusahaan. Juga dibahas mengenai manajemen keamanan informasi, strategi yang dapat dilakukan seperti manajemen risiko, ancaman-ancaman keamanan informasi, serta pengendalian yang dapat dilakukan se
PPT Materi Jenis - Jenis Alat Pembayaran Tunai dan Non-tunai.pptx
KEAMANANINFO
1. TUGAS PERTEMUAN KE-09
KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLOGI
INFORMASI
Dosen pengampu : Bpk. Yananto Mihadi Putra, SE, M. Si
DISUSUN OLEH :
Siti Aisyah Maudina 43217120099
FAKULTAS EKONOMI DAN BISNIS
JURUSAN AKUNTANSI
MERCU BUANA MENTENG
2021
2. Abstrak (Ringkasan Artikel)
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta
integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras
dan data. Manajemen keamananinformasi terdiri atas perlindungan harian, yang
disebut manajemen keamanan informasi (information security managemen) dan
persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan
manajemen keberlangsungan bisnis (business continuity managemen).
Dua pendekatan dapat dilakukan untuk menysun strategi-strategi ISM: manajemen
resiko dan tolok ukur. Perhatian akan ancaman dan risiko berhbungan dengan
manajemen resiko.ancaman dapat bersifat internal atau eksternal, tidak disengaja atau
disengaja. Risiko dapat mencakup insiden pengungkapan, penggunaan, dan
modifikasi yang tidak diotorisasi serta pencurian, penghancuran, dan penolakan
layanan. Ancaman yang paling ditakuti adalah virus computer. Ada tiga jenis
pengendalian yang tersedia yaitu: pengendalian teknis, pengendalian formal, dan
pengendalian informal.
Pendahuluan
Serangan cyber terus terjadi mengancam keamanan informasi milik organisasi serta
perusahaan-perusahaan di Indonesia. Saat ini sebagian besar orang sudah beralih
menggunakan platform digital untuk melakukan berbagai aktivitas.
Terlebih di masa pandemi seperti saat ini, orang-orang dihimbau untuk tetap tinggal
di dalam rumah sehingga mereka lebih banyak menggunakan platform digital untuk
melakukan berbagai hal baik itu untuk transaksi online, belajar, bekerja dan lain-lain.
Di sisi lain, para cyber hacker terus memanfaatkan momen untuk melakukan
serangkaian tindak kejahatan cyber. Tidak terkecuali di masa pandemi seperti saat
ini.
Pada tahun 2020 yang lalu saja, Badan Siber dan Sandi Negara telah mengungkapkan
bahwa terjadi peningkatan serangan cyber sebesar 4 kali lipat. (Sumber:
Tekno.kompas.com). Serangan cyber yang terjadi dapat berbentuk malware, trojan,
phishing, dan lain-lain. Oleh karena itulah, di masa pandemi ini BSSN menghimbau
para pemilik perusahaan agar terus membenahi kebijakan keamanan informasi untuk
mengantisipasi adanya serangan siber.
3. Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta
integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras
dan data. Manajemen keamananinformasi terdiri atas perlindungan harian, yang
disebut manajemen keamanan informasi (information security managemen) dan
persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan
manajemen keberlangsungan bisnis (business continuity managemen).
Dua pendekatan dapat dilakukan untuk menysun strategi-strategi ISM: manajemen
resiko dan tolok ukur. Perhatian akan ancaman dan risiko berhbungan dengan
manajemen resiko.ancaman dapat bersifat internal atau eksternal, tidak disengaja atau
disengaja. Risiko dapat mencakup insiden pengungkapan, penggunaan, dan
modifikasi yang tidak diotorisasi serta pencurian, penghancuran, dan penolakan
layanan. Ancaman yang paling ditakuti adalah virus computer. Ada tiga jenis
pengendalian yang tersedia yaitu: pengendalian teknis, pengendalian formal, dan
pengendalian informal.
Manajemen keberlangsungan bisnis terdiri atas seperangkat subrencana untuk
menjaga keamanan karyawan, memungkinkan keberlangsungan operasional dengan
cara menyediakan fasilitas mengembangkan rencana kontinjensi baru tidak harus dari
awal; beberapa model berbasis peranti lunak tersedia, seperti halnya garis besar dan
panduan dari pemerintah.
Literatur Teori
A. Keamanan Informasi
Keamanan informasi (information security) digunakan untuk mendeskripsikan
perlindungan baik peralatan computer dan non komputer dan non kompter, fasilitas,
data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
Saat pemerintah dan kalangan industri menyadari kebutuhan untuk mengamankan
sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada
perlindungan peranti keras dan data, maka istilah keamanan sistem (system security)
pun digunakan. Fokus sempit ini kemudian diperluas sehingga mencakup bukan
4. hanya peranti keras dan data, namun juga peranti lunak, fasilitas computer, dan
personel.
B. Tujuan Keamanan Informasi
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu:
1. Kerahasiaan
Perusahaan berusaha untuk melindungi data informasinya dari pengungkapan kepada
orang-orang yang tidak berwenang.
2. Ketersediaan
Tujuan infrastruktur informasi perusahaan adalah menyediakan data dan informasi
sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
3. Integritas
Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang
dipresentasikan.
C. Manajemen Keamanan Informasi
Manajemen tidak hanya diharapkan untuk menjaga sumber daya informasi aman,
namn jga diharapkan untuk menjaga persahaan tersebut agar tetap berfungsi setelah
suatu bencana atau jebolnya sistem keamanan. Aktifitas untuk menjaga agar
perusahaan dan sumber daya informasi tetap aman disebut Manajemen keamanan
informasi.
CIO adalah orang yang tepat untuk memikul tanggung jawab atas keamanan
informasi, namun kebanyakan organisasi mulai menunjuk orang tertentu yang dapat
mencurahkan perhatian penuh terhadap aktivitas ini. Direktur keamanan sistem
informasi perusahaan digunakan untuk individu di dalam organisasi, biasanya anggota
dari unit sistem informasi, yang bertanggung jawab atas keamanan sistem informasi
perusahaan tersebut. Namun saat ini perubahan sedang dibuat untuk mencapai tingkat
5. informasi yang lebih tinggi lagi di dalam perusahaan dengan cara menunjuk seorang
Direktur Assurance informasi perusahaan (CIAO). Seorang CIAO harus mendapatkan
serangkaian sertifikat keamanan dan memiliki pengalaman minimum 10 tahun dalam
mengelola suatu fasilitas keamanan informasi.
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat
tahap yaitu:
1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi
perusahaan
2. Mengidentifikasi risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
3. Menentukan kebijakan keamanan informasi
4. Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.
D. Strategi dalam ISM
1. Manajemen Risiko (Risk Management)
Dibuat untuk menggambarkan pendekatan dimana tingkat keamanan sumber daya
informasi perusahaan dibandingkan dengan risiko yang dihadapinya.
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan
risiko atau mengurangi dampaknya.
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
a. dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau
sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
b. dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya
yang signifikan, tetapi perusahaan tersebut tetap selamat
c. dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan
yang terjadi dalam operasional sehari-hari.
6. 2. Tolok Ukur
Tolok ukur Adalah tingkat keamanan yang disarankan dalam keadaan normal harus
memberikan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.
E. Ancaman
Ancaman keamanan sistem informasi adalah orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi
perusahaan.
1. Ancaman Internal
Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut.
2. Ancaman Eksternal
Misalnya perusahaan lain yang memiliki produk yang sama dengan produk
perusahaan kita atau disebut juga pesaing usaha.
Jenis- Jenis Ancaman
Malicious software, atau malware terdiri atas program-program lengkap atau segmen-
segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang
tidak diharapkan oleh pemilik system. fungsi-fungsi tersebut dapat menghapus file
atau sistem itu berhenti. Terdapat beberapa piranti lunak yang berbahaya yaitu: Virus,
worm, Trojan horse, adware, spyware.
F. Risiko Keamanan Informasi (Information Security Risk)
Didefinisikan sebagai potensi output yang tidak Diharapkan dari pelanggaran
keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili
tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis
yaitu:
7. 1. Interuption: ancaman terhadap availability, yaitu data dan informasi yang
berada dalam system computer yang dirusak dan dibuang sehingga menjadi
tidak ada atau menjadi tidak berguna.
2. Interception: merupakan ancaman terhadap secrey, yaitu orang yang tidak
berhak mendapatkan akses informasi dari dalam system computer.
3. Modification: merupakan ancaman terhadap integritas, yaitu orang yang tidak
berhak, tidak hanya berhasil mendapatkan akses, melainkan juga dapat
melakukan pengubahan terhadap informasi.
4. Fabrication: adanya orang yang tidak berwenang, meniru atau memalsukan
suatu objek ke dalam sistem.
G. Macam-macam Pengendalian
1. Pengendalian Teknis
Adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para
penyususn system selama masa siklus penyusunan system. Dilakukan melalui tiga
tahap:
a. Identifikasi Pengguna.
Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor
telepon.nomor telepon.
b. Otentikasi Pengguna.
Pengguna memverivikasi hak akses dengan cara memberikan sesuatu yang mereka
miliki, seperti chip identifikasi atau tanda tertentu.
c. Otorisasi Pengguna.
Pengguna dapat mendapatkan wewenang untuk memasuki tingkat penggunaan
tertentu.
Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat menggunakan sumber
daya informasi yang terdapat di dalam batasan file akses.
8. Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran
keamanan sebelum memiliki kesempatan untuk melakukan perusakan.
Firewall
Suatu Filter yang membatasi aliran data antara titik-titik pada suatu jaringan-biasanya
antara jaringan internal perusahaan dan Internet.
Berfungsi sebagai:
a. Penyaring aliran data
b. Penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan
internet.
2. Pengendalian Kriptografis
Merupakan penggunaan kode yang menggunakan proses-proses
matematika. Meningkatkan keamanan data dengan cara menyamarkan data dalam
bentuk yang tidak dapat dibaca. Berfungsi untuk melindungi data dan informasi yang
tersimpan dan ditransmisikan, dari pengungkapan yang tidak terotorisasi.
Kriptografi terbagi menjadi:
a. Kriptografi Simetris
Dalam kriptografi ini, kunci enkripsi sama dengan kunci dekripsi.
b. Kriptografi Asimetris
Dalam kriptografi kunci enkripsi tidak sama dengan kunci dekripsi.
Contoh:
Enkripsià kunci public
Dekripsià Kunci Privat
c. Kriptografi Hybrid
9. d. Menggabungkan antara kriptografi simetris dan Asimetris, sehingga mendapatkan
kelebihan dari dua metode tersebut.
Contoh: SET (Secure Electronic Transactions) pada E-Commerce
3. Pengendalian Fisik
Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah mengunci
pintu ruangan computer.Perkembangan seterusnya menghasilkan kunci-kunci yang
lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta
kamera pengintai dan alat penjaga keamanan.
4. Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur dan
praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda
dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen
menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam
bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang.
5. Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga agar
para karyawan perusahaan memahami serta mendukung program keamanan tersebut
H. Pentingnya Keamanan sistem
Sistem Informasi diperlukan karena:
1. Teknologi Komunikasi Modern yang membawa beragam dinamika dari dunia
nyata ke dunia virtual
2. Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai
3. Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai ekonomis.
10. I. Dukungan Pemerintah Dan Industri
Beberapa organisasi pemerintah dan internasional telah menentukan standar-standar
yang ditunjukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan
keamanan informasi.Beberapa standar ini berbentuk tolak ukur, yang telah
diidentifikasisebelumnya sebagai penyedia strategi alternative untuk manajemen
resiko. Beberapa pihak penentu standar menggunakan istilah baseline(dasar) dan
bukannyabenchmark (tolak ukur). Organisasi tidak diwajibkan mengikuti standar
ini.Namun, standar ini ditunjukan untuk memberikan bantuan kepada perusahaan
dalam menentukan tingkat target keamanan.
J. Manajemen Keberlangsungan Bisnis
Manajemen keberlangsungan bisnis (business continuity management-BCM) adalah
aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan
sistem informasi.
Subrencana yang umum mencakup:
1. Rencana darurat (emergency plan): terdiri dari cara-cara yang akan menjaga
keamanan karyawan jika bencana terjadi. Co: Alarm bencana, prosedur evakuasi
2. Rencana cadangan : menyediakan fasilitas computer cadangan yang bisa
dipergunakan apabila fasilitas computer yang biasa hancur atau rusak hingga tidak
bisa digunakan.
3. Rencana catatan penting (vital records plan) : merupakan dokumen kertas,
microform, dan media penyimpanan optis dan magnetis yang penting untuk
meneruskan bisnis perusahaan.
K. Kebijakan Keamanan Informasi
Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program.
Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap,
diantaranya:
11. Fase 1:
Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan keamanan
tersebut.
Fase 2:
Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat dan
terpengaruh.
Fase 3:
Konsultasi dan persetujuan.Berkonsultasi dengan manajemen untuk mendapatkan
pandangan mengenai berbagai persyaratan kebijakan.
Fase 4:
Kesadaran dan edukasi.Melaksanakan program pelatihan kesadaran dan edukasi
dalam unit-unit organisasi.
Fase 5:
Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit organisasi
dimana kebijakan tersebut dapat
Contoh Kasus:
Ancaman Terbesar Untuk Perusahaan:Pemerasan Dalam Dunia Maya.
Pelaku menjelajahi perumahan-perumahan di Virginia dan Maryland dengan
mobil Pontiac tuanya dengan Antena terpasang di dasbor. Saat melakukan hal itu, ia
menyalakan koneksi nirkabel ke yahoo! Dan America Online untuk mengambil akun
dan kata sandi. Ia adalah golongan penjahat computer yang baru mengintai dunia
maya (cyberstalker), yang melakukan pemerasan dunia maya (cyberextortion).
Ia juga seorang pengusaha yang memiliki bisnis paten, dan ia menggunakan
komputer untuk menuntut $17 juta dari Micro paten, perusahaan paten dan merek
dagang. Sebelumnya ia telah melamar kerja ke MicroPatent dan ditolak. Kemudian ia
mengirimkan lebih dari selusin e-mail ancaman ke Daniel I. Videtto, presiden
microPatent. Pengintai dunia maya ini mengklaimbahwa ia memiliki ribuan dokumen
12. rahasia MicroPatent, data pelanggan yang rahasia, kata sandi computer, dan alamat-
alamat e-amail, dan ia mengancam jika Videtto tidak menghiraukan permintaanya,
Informasi ini akan “berakhir di kontak-kontak e-mail diseluruh dunia”. Tidak seperti
banyak perusahaan yang mengambil jalan keluar yang mudah dengan cara menyerah
kepada permintaan pemeras, MicroPatent memutuskan untuk melawan balik.
Perusahaan tersebut menyewa penyelidik swasta dan seorang bekas profiler psikologi
untuk CIA. Tugas dari profiler ini adalahuntuk menemukan profil psikologi dari
pemeras ini. Akhirnya, kerja keras ini membuahkan hasil. Pada bulan Maret 2004,
pihak yang berwenang menangkap pengintai dunia maya saat ia duduk di mobilnya
saat ia menulis e-mail yang ia kirimkan kepada Videtto. Pada akhir tahun yang sama
penjahat dunia maya ia mengaku bersalah atas tuntutan tindakan pemerasan dan
dihukum selama 5 tahun penjara.
Pembahasan
1. Definisi keamanan informasi dan pengamanan informasi.
Keamanan informasi merupakan suatu sub sistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis komputer.
Sistem keamanan informasi memiliki elemen utama sistem informasi, seperti
perangkat keras, database prosedur, dan pelaporan. Sebuah contoh, data terkait
dengan penggunaan sistem dan pelanggaran keamanan bias jadi dikumpulkan secara
real time, disimpan dalam database, dan digunakan untuk menghasilkan laporan.
Tiga elemen dasar confidentiality, integrity, dan availability(CIA) merupakan dasar
diantara program program keamanan yang dikembangkan. Ketiga elemen tersebut
merupakan mata rantai yang saling berhubungan dalam konsep information protection.
Keamanan bisa dicapai dengan beberapa cara atau strategi yang biasa dilakukan
secara simultan atau dilakukan dalam kombinasi satu dengan yang lainnya. Strategi-
strategi dari keamanan informasi masing-masing memiliki fokus dan dibangun
tujuan tertentu sesuai kebutuhan.
2. Informasi perlu diberikan keamanan.
CIA triad adalah model standar dalam keamanan informasi yang dirancang untuk
mengatur dan mengevaluasi bagaimana sebuah organisasi atau perusahaan ketika data
disimpan, dikirim, atau diproses. Setiap aspek yang ada di dalam CIA triad
13. (Confidentiality – Integrity – Availability) akan menjadi komponen penting dari
keamanan informasi.
A. Confidentiality (Kerahasiaan)
Ketika kita membahas mengenai aspek confidentiality atau kerahasiaan informasi,
maka kita sedang berbicara mengenai serangkaian upaya perlindungan agar informasi
tidak terakses oleh pihak yang tidak berwenang.
Informasi rahasia memang dianggap sebagai data yang bernilai oleh para cyber hacker.
Informasi yang diincar biasanya berupa informasi pelanggan, data karyawan,
kekayaan intelektual, atau informasi mengenai rahasia dagang. Oleh karena itulah
para cyber hacker terus mencari kerentanan yang ada pada dalam sistem agar mereka
bisa mengakses info-info penting tersebut.
Pada umumnya, informasi rahasia dapat jatuh ke tangan yang salah karena data
breach atau ancaman orang dalam. Beberapa jenis serangan yang umum digunakan
untuk mengakses informasi rahasia tersebut seperti :
Serangan Man in The Middle
Pembobolan enkripsi
Serangan eavesdropping
Untuk melindunginya, terdapat sejumlah langkah yang dapat dipergunakan seperti
dengan menerapkan autentikasi dua faktor, penggunaan password yang kuat, enkripsi,
dan lain-lain.
Meskipun demikian, juga perlu memahami bahwa informasi rahasia juga dapat
terakses oleh pihak yang tidak sah karena kecerobohan atau kesalahan pengguna, serta
kontrol keamanan yang tidak memadai. Contohnya seperti penggunaan password
yang lemah, berbagi akun, atau karena social engineering karena security awareness
yang kurang.
Oleh karena itulah, pelatihan karyawan atau user juga dapat dilakukan sebagai
langkah pencegahan tambahan agar informasi rahasia bisa tetap terlindungi dengan
baik. Jadi, kesimpulannya aspek confidentiality ini memiliki tujuan untuk melindungi
informasi dari akses dan penyalahgunaan info yang tidak sah.
Sumber: blog.jamestyson.co.uk
14. B. Integrity
Dalam keamanan informasi, integrity atau integritas mengacu pada suatu metode atau
langkah-langkah untuk menjaga agar data atau informasi tidak dapat dimanipulasi,
diubah atau diedit oleh pihak yang tidak punya wewenang. Langkah-langkah ini
memberikan jaminan atas keakuratan dan kelengkapan informasi.
Seperti halnya dengan perlindungan informasi rahasia, perlindungan integritas juga
perlu untuk dilakukan. Bayangkan jika Anda memiliki sebuah web e-commerce yang
diretas oleh hacker sehingga mereka dapat mengubah harga produk Anda menjadi
jauh lebih murah. Contoh lain dari kegagalan perlindungan integritas seperti ketika
pengguna website mengunjungi halaman web Anda namun peretas mampu
mengalihkan traffic tersebut ke website palsu. Serangan-serangan tersebut tentu akan
membawa kerugian besar untuk perusahaan Anda.
Perlu Anda ketahui, aspek perlindungan integrity tidak hanya akan melindungi
keakuratan informasi dari serangan hacker namun juga untuk mencegah perubahan
informasi yang tidak disengaja. Contohnya seperti kesalahan pengguna atau
kerusakan sistem.
Untuk mencegah modifikasi informasi yang tidak diinginkan atau untuk memastikan
bahwa informasi dapat dipulihkan kembali jika diubah oleh pihak tidak sah, maka
terdapat beberapa langkah pencegahan yang bisa Anda lakukan. Beberapa diantaranya
seperti :
Mengontrol akses pengguna
Enkripsi
Autentikasi yang ketat
Prosedur backup dan recovery
Version controls
Input validation
C. Availability
Aspek ketiga dalam CIA triad adalah availability atau ketersediaan. Artinya, dalam
konteks keamanan informasi upaya untuk menjaga agar sebuah sistem tetap bisa
digunakan adalah hal penting yang perlu dilakukan. Dengan memberikan
perlindungan availability, Anda harus bisa memberikan jaminan bahwa sistem dan
data dapat diakses oleh pengguna yang diautentikasi kapanpun informasi tersebut
dibutuhkan.
Kelangsungan sebuah bisnis akan sangat bergantung pada pemeliharaan performa
perangkat keras, perangkat lunak, dan saluran komunikasi yang digunakan untuk
menyimpan dan memproses informasi. Ketika sebuah situs website perusahaan
terganggu dan tidak dapat diakses, maka perusahaan dapat kehilangan banyak
pendapatan. Selain itu pelanggan juga akan merasa tidak puas dengan performa web
sehingga mempengaruhi reputasi perusahaan.
15. Para peretas biasanya mengganggu availability website menggunakan beberapa jenis
serangan salah satunya adalah DDOS attack. Serangan tersebut dilakukan dengan cara
membanjiri lalu lintas server, jaringan, atau sistem untuk mengganggu lalu lintas
normal. Jika peretas berhasil melakukannya maka akses website dapat menghilang
atau bekerja dengan sangat lambat.
Selain itu ketidaktersediaan informasi juga dapat terjadi karena beberapa hal lain
seperti karena menggunakan bandwidth yang tidak mencukupi atau karena adanya
kode berbahaya di dalam sistem.
Untuk menjaga aspek availability ini, terdapat beberapa upaya yang bisa Anda
lakukan. Beberapa diantaranya seperti:
Menggunakan layanan pelindung DDoS
Menggunakan redundancy, firewall, dan proxy servers
Memastikan bahwa bandwidths yang digunakan mencukupi
Penggunaan access controls.
3. Yang terjadi jika tidak adanya proses keamanan informasi pada perusahaan.
Yang akan terjadi adalah perusahaan bisa saja terkena ancaman dan resiko. Ancaman
seperti :
Ancaman internal dan eksternal :
Ancaman bersifat internal tidak hanya berasal dari para pegawai
tetap perusahaan tetapi dapat juga berasal dari para pegawai sementara,
konsultan, kontraktor, dan rekan bisnis perusahaan. Ancaman yang berasal dari
dalam perusahaan diperkirakan mempunyai bahaya yang lebih serius
dibandingkan ancaman yang berasal dari luar perusahaan, karena individu atau
kelompok internal memiliki pengetahuan yang
lebih mengenai yang ada dalam perusahaan tersebut. Kontrol
yang dibuat untuk menghadapi ancaman eksternal biasanya baru mulai bekerja jika
serangan terhadap keamanan terdeteksi. Sedangkan kontrol untuk menghadapi
ancaman dibuat untuk memprediksi gangguan keamanan yang mungkin terjadi.
Ketidaksengajaan dan kesengajaan, kecelakaan dan kerusakan :
Tidak semua ancaman berasal dari perbuatan yang disengaja dengan maksud
untuk menimbulkan kerugian. Banyak diantaranya karena ketidaksengajaan atau ke
betulan, baik yang berasal dari dalam maupun luar perusahaan. Dengan
adanya hal seperti ini, maka keamanan informasi harus ditujukan tidak hanya untuk m
engatasi ancaman yang timbul karena kesengajaan tetapi juga harus
mampu mengurangi bahkan menghilangkan faktor-faktor yang dapat menimbulkan
ancaman yang tidak sengaja terhadap keamanan perusahaan.
Resiko seperti :
16. 1. Penggunaan yang tidak berhak·
2. Perusakan yang tidak bertanggung jawab dan pengabaian terhadap ketentuan sistem·
3. Modifikasi yang tidak bertanggung jawab
Ancaman yang paling membahayakan adalah :
1. Virus Program komputer yang dapat menggandakan dirinya sendiri tanpa
pengetahuan pengguna
2. Worm tidak dapat menggandakan dirinya sendiri dalam suatu sistem tapi dapat
mengirimkan duplikatnya melalui email.
3. Trojan horse
Dapat menggandakan diri serta mengirimkan duplikatnya sendiri. Pendistribusian ju
stru dilakukan oleh pengguna sendiri sebagai suatu program utility tanpa
disadari, pada saat digunakan maka program tersebut akan menimbulkan perubahan
yang tidak diinginkan pada fungsi sistem.
4. Penerapan keamanan informasi pada perusahaan Anda?
Apabila ada pihak yang membocorkan informasi maupun mengetahuinya sendiri,
maka kerugian besar akan terjadi pada perusahaan. Bisa saja pihak lain menggunakan
kesempatan ini untuk menyerang dan membuat perusahaan bangkrut. Akibatnya,
lebih dari puluhan, ratusan bahkan ribuan orang menjadi pengangguran. Dengan
menjaga informasi dan kerahasiaan perusahaan, maka secara tidak langsung
perusahaan akan lebih aman dari tindakan pencurian. Keamanan pun harus diterapkan
dalam setiap hal baik itu karywan maupun teknologi yang terdapat didalamnya. Tetapi
ada tiga cara yang dapat digunakan untuk mengamankan identitas dan informasi
rahasia dari perusahaan sebagai berikut:
1. Mengamankan jaringan
Seperti yang kita ketahui semakin canggihnya teknologi, maka cyber crime pun akan
semakin tinggi pula. Mereka pasti akan mengikuti perkembangan teknologi guna me
mperoleh keuntungan instan dengan menjual informasi perusahaan pada pihak lain
yang memiliki niat tidak baik dengan perusahaan. Karena itulah diperlukan penjagaan
ekstra ketat dari pihak jaringan teknologi. Apabila perusahaan memakai sistem
jaringan nirkabel, maka
pastikan memiliki teknisi yang mampu mengamankan jaringan. Apalagi hacker
yang berpengalaman pasti bisa memperoleh berbagai akses menuju jaringan dalam jan
gka waktu yang cepat. Semakin canggih hacker, maka data perusahaan akan langsung
terbuka bahkan tanpa sadari. Pastikan perusahaan selalu mengunci router dan juga
mengenkripsi seluruh informasi dari mata-mata. Bila perlu, selalu beri pasword dalam
seluruh jaringan data komputer dan bila perlu cobalah untuk hidden seluruh sistem.
Dengan menyembunyikan data,maka setidaknya Anda telah mencegah kejahatan
dalam perusahaan. Bila perlu, jangan ada orang lain yang mengakses komputer orang
lain dengan sembarangan meskipun dalam satu perusahaan.
17. 2. Memperhatikan Phishing
Phishing merupakan salah satu teknik pencurian identitas yang paling umum. Cara ini
akan memungkinkan para hacker mampu mengakses data atau informasi perusahaan
dengan berpura-
pura jika mereka adalah situs website yang dipercayai. Arti sebenarnya adalah dengan
mengklik salah satu situs scam atau palsu akan membuat mereka memiliki akses
untuk masuk menuju data informasi pribadi perusahaan dan hal ini jelas merugikan
perusahaan kedepannya. Bahkan tanpa disadari, situs palsu itu telah mengakses data
sebanyak mungkin karena berperan sebagai situs perusahaan. Guna mencegah hal ini
terjadi, maka harus tetap memberi tahu pada karyawan untuk tetap berhati-hati pada
situs yang meminta informasi tersebut dalam bentuk apapun meskipun merasa mereka
adalah agen yang terpercaya. Pastikan untuk tetap membuat karyawan waspada
selama mereka mengakses internet.
3. Membackup data
Selalu backup data atau file perusahaan sesering mungkin yang kita
bisa. Sebagai contoh apabila di kantor terjadi pemadaman listrik mendadak ataupun
koneksi internet yang hilang seringkali membuat tugas maupun data informasi
menjadi hilang. Meskipun
komputer merupakan teknologi canggih, namun hal seperti ini seringkali terjadi
sehingga harus tetap sering melakukan backup secara berkala untuk mencegah hal ini
terjadi. Sebaiknya memiliki salinan yang diletakkan dalam flash disk maupun juga
hardisk sehingga apabila hal seperti ini terjadi, maka tidak perlu khawatir lagi dan
cukup memindahkannya kembali menuju komputer baru.
5. Sebagai manajer TI yang memahami keamanan informasi dalam
pemanfaatan teknologi, langkah-langkah nyata/kongkret yang akan dilakukan
pada perusahaan untuk mengantasipasi permasalahan keamanan informasi
dalam pemanfaatan teknologi sebagai media untuk mengoptimalkan informasi
pada perusahaan.
Setiap organisasi memiliki beberapa bentuk informasi yang setiap hari digunakan
untuk keperluan bisnisnya. Untuk melindungi informasi yang bersifat sensitif seperti:
informasi pembayaran pelanggan; data karyawan; atau informasi strategis lainnya,
maka sangat penting untuk mengambil langkah-langkah pengamanan dan memastikan
bahwa informasi tersebut tidak pernah memasuki akses publik. Berikut ini adalah
langkah-langkah untuk mengamankan informasi milik organisasi.
1. Membuat kebijakan untuk menangani informasi
Jika suatu organisasi tidak mampu untuk membedakan secara benar antara informasi
yang bersifat sensitif dengan informasi yang bersifat non-sensitif maka tidak mungkin
bisa mengamankan data yang penting. Suatu kode kebijakan data mampu
menguraikan jenis data yang dianggap sensitif dan mampu menentukan proses yang
ketat untuk mengidentifikasi dan menangani serta mengamankan berbagai jenis data.
18. Suatu sistem klasifikasi data yang bertingkat dapat membantu untuk membedakan
antara informasi sensitif dan non-sensitif.
Langkah-langkah keamanan diberlakukan untuk setiap tingkat data, tingkat pertama
yaitu data yang sangat sensitif yang dapat menyebabkan kerusakan parah dan
membutuhkan tingkat keamanan tertinggi serta akses hanya diperbolehkan atas dasar
kebutuhan khusus. Tingkat ke-dua yaitu data cukup sensitif yang dapat menimbulkan
resiko relatif rendah dan membutuhkan sedikit kontrol keamanan serta hak akses
internal. Kemudian tingkat yang ke-tiga yaitu data non-sensitif yang tidak
menimbulkan resiko bagi organisasi dan hanya membutuhkan keamanan yang sedikit
atau tidak ada pembatasan akses.
2. Menggunakan enkripsi untuk mentransfer data
Banyak organisasi telah memahami pentingnya menerapkan langkah-langkah
keamanan untuk melindungi dan mengamankan sistem informasi dalam jaringan
perusahaan dari akses yang tidak sah. Data sensitif selalu diakses dan berinteraksi
dengan segala macam orang dan aplikasi, sebab itu untuk melindungi informasi ketika
diakses melalui sistem mengharuskan organisasi untuk mengenkripsi data yang
bertujuan untuk melindungi serta mengamankan informasi itu sendiri. Enkripsi adalah
suatu bentuk pengamanan informasi dengan membuat informasi tersebut tidak dapat
dibaca tanpa bantuan penterjemah khusus.
3. Memilih software yang aman untuk organisasi
Tentukanlah perangkat lunak yang direkomendasikan oleh ahli sistem keamanan
informasi untuk standar keamanan yang digunakan. Perangkat lunak yang Anda
gunakan mungkin tidak mengikuti prosedur keamanan yang handal dan dapat
menyebabkan meningkatnya kemungkinan Peretas mengakses informasi sensitif. Hal
ini menjadi masalah serius terutama ketika menangani dan menyimpan informasi
pembayaran pelanggan melalui perangkat lunak akuntansi.
Ada beberapa langkah dasar bagi organisasi untuk dapat memilih dan
mengidentifikasi software yang aman, yaitu dengan cara: memilih perangkat lunak
dari penyedia yang dapat dipercaya; melakukan analisis menyeluruh mengenai
kebutuhan perangkat lunak; melakukan beberapa penelitian untuk mengidentifikasi
perangkat lunak yang paling sesuai dan aman untuk organiasasi; membaca ulasan dan
umpan balik dari perangkat lunak yang akan dipilih. Tidaklah mengapa walaupun
harganya relatif tinggi jika perangkat lunak yang dipilih memang sesuai dan aman
untuk organisasi.
4. Meningkatkan keamanan password
Peretas menggunakan berbagai metode untuk mencoba masuk ke akun Anda. Metode
paling umum adalah dengan mengetik huruf, angka, dan simbol secara manual untuk
menebak kata sandi. Metode yang lebih canggih adalah menggunakan metode
"serangan brute force". Dalam teknik ini, program komputer menjalankan setiap
kemungkinan kombinasi huruf, angka, dan simbol secepat mungkin untuk
memecahkan kata sandi. Semakin panjang dan kompleks kata sandi, maka akan
semakin lama proses ini berlangsung. Kata sandi yang terdiri dari tiga karakter
19. membutuhkan waktu kurang dari satu detik untuk dipecahkan.Penggunaan password
yang lemah merupakan masalah yang sangat umum dan merupakan salah satu
keamanan yang secara signifikan dapat ditingkatkan dengan pelatihan dan pengenalan
berbagai aplikasi manajemen password. Kebanyakan pencurian data sensitif
disebabkan oleh segelintir kesalahan keamanan informasi dasar.
5. Menggunakan komputer pribadi
Penggunaan komputer atau perangkat pribadi merupakan bagian yang tak terpisahkan
dari kehidupan dan pekerjaan, selain membawa manfaat bagi produktivitas dan
efektivitas biaya, juga dapat mengamankan data sensitif dari akses yang tidak sah.
Adalah tindakan yang tepat untuk menggunakan komputer pribadi untuk mencegah
data sensitif diakses dan disimpan oleh orang lain yang tidak berhak.
6. Mematuhi aturan keamanan
Banyak Peretas memilih untuk menargetkan pimpinan atau direksi, karena
kemungkinan besar direksi memiliki akses ke data aset yang bernilai tinggi. Direksi
seringkali diberikan otonomi yang lebih besar dan kebebasan bergerak melalui sistem
yang sensitif yang mungkin tidak mematuhi praktik keamanan yang sama seperti
karyawan. sangat penting bahwa praktik keamanan harus dipahami dan ditaati seluruh
infrastruktur organisasi untuk mencegah hacker dari mendapatkan akses yang mudah
ke informasi sensitif melalui jalur ini.
7. Meningkatkan kesadaran keamanan
Karyawan adalah aset keamanan yang paling berharga bagi perusahaan dalam
menciptakan budaya kesadaran keamanan yang dapat membantu karyawan
mengidentifikasi masalah data, dan juga membantu untuk mengidentifikasi kesalahan
penyebaran informasi dan potensi ancaman keamanan data. Di mana ada data sensitif
maka terdapat upaya yang berbahaya dari pihak ketiga untuk mencoba mencurinya.
Tidak ada sistem keamanan sempurna sekalipun dengan menerapkan langkah-langkah
keamanan yang komprehensif dan juga kesadaran yang tinggi. Melindungi organisasi
dalam hal kehilangan data sensitif mengharuskan organisasi untuk aktif
mengembangkan rencana untuk menghindari pelanggaran keamanan informasi.
8. Menerapkan Sistem Manajemen Keamanan Informasi
Sistem Manajemen Keamanan Informasi atau ISO / IEC 27001 merupakan suatu
metode khusus yang terstruktur tentang pengamanan informasi yang diakui secara
internasional. ISO / IEC 27001 merupakan dokumen sistem manajemen keamanan
informasi yang memberikan gambaran secara umum mengenai apa saja yang harus
dilakukan oleh suatu perusahaan maupun organisasi dalam usaha mereka untuk
mengevaluasi, mengimplementasikan dan memelihara keamanan informasi yang
dimiliki berdasarkan ”best practise” dalam pengamanan informasi.
20. Kesimpulan
Dapat disimpulkan bahwa keamanan informasi (informationsecurity) digunakan untuk
mendeskripsikan perlindungan baik peralatan computer dan non komputer dan non
kompter, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak
berwenang. Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu:
kerahasiaan, ketersediaan, dan integritas.
Sedangkan Ancaman keamanan sistem informasi adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya
informasi perusahaan. Ancaman itu terdiri dari ancaman internal dan eksternal.
Resiko keamanan informasi dapat didefinisikan sebagai potensi output yang tidak
diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.
Semua risiko mewakili tindakan yang tidak terotorisasi. Untuk mengendalikan
ancaman serta risiko keamanan informasi itu dapat dilakukan dengan berbagai
pengendalian yaitu: pengendalian teknis, kriptografis, fisik, formal dan informal.
Ancaman keamanan informasi Anda dapat datang dalam berbagai bentuk. Dengan
memahami apa itu keamanan informasi, kita dapat mengevaluasi dan mengidentifikasi
kebijakan di perusahaan. Kita dapat melihat apakah kebijakan tersebut dapat
melindungi informasi rahasia sesuai aspek-aspek pada CIA triad.
Ada banyak cara untuk melindungi keamanan informasi di perusahaan. Salah satu
yang bisa kita andalkan adalah dengan melakukan penetration testing.
Seperti yang sudah dijelaskan di atas, pada CIA triad terdapat 3 aspek dasar yang
harus selalu diperhatikan dalam menjaga keamanan informasi. Aspek tersebut adalah
Confidentiality, Integrity dan Availability.
Dengan melakukan penetration testing, kita dapat mengeksploitasi dan
mengidentifikasi apakah ada kerentanan yang bisa segera diperbaiki dari ketiga aspek
tersebut. Selain itu, melalui penetration testing, kita juga akan memperoleh berbagai
saran dan solusi untuk meminimalisir risiko dan dampak yang ditimbulkan apabila
ketiga aspek keamanan informasi tersebut berhasil dieksploitasi.
21. Daftar Pustaka (Minimal 5, sumber bisa modul, ebook, artikel
baik online maupun offline)
· Damayanti, K., Fardinal., (2019). The Effect of Information Technology Utilization,
Management Support, Internal Control, and User Competence on Accounting
Information System Quality. Schollars Bulletin, 5(12), 751-758.
· Hanifah, S., Sarpingah, S., & Putra, Y. M., (2020). The Effect of Level of Education,
Accounting Knowledge, and Utilization Of Information Technology Toward Quality The
Quality of MSME ’ s Financial Reports. The 1st Annual Conference Economics, Business,
and Social Sciences (ACEBISS) 2019, 1 (3). https://doi.org/10.4108/eai.3-2-2020.163573
· Herliansyah, Y., Nugroho, L., Ardilla, D., & Putra, Y. M., (2020). The Determinants
of Micro, Small and Medium Entrepreneur (MSME) Become Customer of Islamic
Banks (Religion, Religiosity, and Location of Islamic Banks ). The 1st Annual
Conference Economics, Business, and Social Sciences (ACEBISS) 2019, 1 , (2).
https://doi.org/10.4108/eai.26-3-2019.2290775
· Nugroho, L., Mastur, A.A., Fardinal, F., Putra, Y.M., (2019). Hajj, Civilization and
Islamic Banking Contribution Discourses. Location of Islamic Banks ). The 1st Annual
Conference Economics, Business, and Social Sciences (ACEBISS) 2019, 1 (11),
http://dx.doi.org/10.4108/eai.26-3-2019.2290773
· Putra, Y. M., (2018). Informasi dalam Praktik. Modul Kuliah Sistem Informasi
Manajemen. FEB-Universitas Mercu Buana: Jakarta
· Putra, Y. M., (2019). Analysis of Factors Affecting the Interests of SMEs Using
Accounting Applications. Journal of Economics and Business, 2(3), 818-826.
https://doi.org/10.31014/aior.1992.02.03.129
https://www.logique.co.id/blog/2021/02/18/keamanan-informasi/