Dokumen tersebut membahas tentang manajemen keamanan informasi pada perusahaan. Informasi penting yang disampaikan adalah definisi keamanan sistem informasi, tujuan keamanan informasi yaitu kerahasiaan, ketersediaan dan integritas, serta manajemen keamanan informasi yang terdiri atas identifikasi ancaman, pendefinisian risiko, penetapan kebijakan keamanan, dan penerapan kontrol.
Tugas 1 ABK di SD prodi pendidikan guru sekolah dasar.docx
Tugas sim, widya ayunda putri, yananto mihadi putra, keamanan informasi , 2018
1. SISTEM INFORMASI
MANAJEMEN
Nama : Widya Ayunda Putri
NIM : 43217110256
S1 AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS
UNIVERSITAS MERCU BUANA
2. Manajemen Keamanan Informasi Pada Perusahaan
A. Pengertian keamanan sistem informasi
Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk
adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain. Padahal
berbicara masalah keamanan sistem informasi maka kita akan berbicara kepada
kemungkinan adanya resiko yang muncul atas sistem tersebut (lihat tulisan strategi
pendekatan manajemen resiko dalam pengembangan sistem informasi). Sehingga
pembicaraan tentang keamanan sistem tersebut maka kita akan berbicara 2 masalah utama
yaitu :
1. Threats (Ancaman) atas sistem dan
2. Vulnerability (Kelemahan) atas sistem
Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem
informasi yaitu :
Efektifitas
Efisiensi
Kerahaasiaan
Integritas
Keberadaan (availability)
Kepatuhan (compliance)
Keandalan (reliability)
Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan
dengan baik. Adapun kriteria yag perlu di perhatikan dalam masalah keamanan sistem
informasi membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :
1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang di pakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
3. 9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada
Keamanan informasi dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan
integritas di dalam sumber daya informasi perusahaan. Manajemen keamanan informasi
terdiri dari:
o Perlindungan Sehari-hari disebut Manajemen Keamanan Informasi (information
security management/ ISM)
o Persiapan untuk menghadapi operasi setelah bencana disebut Manajemen
Kesinambungan Bisnis (business continuity management /BCM)
B. Tujuan Keamanan Informasi
Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama, yaitu:
o Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan orang –
orang yang tidak berhak
o Ketersediaan: meyakinkan bahwa data dan informasi perusahaan hanya dapat
digunakan oleh orang yang berhak menggunakannya.
o Integritas: sistem informasi perlu menyediakan representasi yang akurat dari sistem
fisik yang direpresentasikan
C. Manajemen Keamanan Informasi
Manajemen keamanan informasi menjadi penting diterapkan agar informasi yang beredar
di perusahaan dapat dikelola dengan benar sehingga perusahaan dapat mengambil
keputusan berdasarkan informasi yang ada dengan benar pula dalam rangka memberikan
layanan yang terbaik kepada pelanggan. ISM terdiri dari empat langkah:
o Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi
perusahaan
o Mendefinisikan resiko dari ancaman yang dapat memaksakan
o Penetapan kebijakan keamanan informasi
o Menerapkan controls yang tertuju pada resiko
D. Ancaman keamanan sistem informasi
4. Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang
dapat mengganggu keseimbangan sistem informasi. Ancaman yang mungkin timbul dari
kegiatan pengolahan informasi berasal dari 3 hal utama, yaitu :
1. Ancaman Alam
2. Ancaman Manusia
3. Ancaman Lingkungan
a). Ancaman Alam
Yang termasuk dalam kategori ancaman alam terdiri atas :
Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi,
badai, pencairan salju
Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
b). Ancaman Manusia
Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :
Malicious code
Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures
Social engineering
Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS,
backdoor
Kriminal
Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
Teroris
Peledakan, Surat kaleng, perang informasi, perusakan
c). Ancaman Lingkungan
Yang dapat dikategorikan sebagai ancaman lingkungan seperti :
Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba
dan dalam jangka waktu yang cukup lama
Polusi
Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan
anti api, dll
Kebocoran seperti A/C, atap bocor saat hujan
Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau
belum teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara
5. matriks ancaman sehingga kemungkinan yang timbul dari ancaman tersebut
dapat di minimalisir dengan pasti. Setiap ancaman tersebut memiliki
probabilitas serangan yang beragam baik dapat terprediksi maupun tidak dapat
terprediksikan seperti terjadinya gempa bumi yang mengakibatkan sistem
informasi mengalami mall function.
Ancaran Keamanan Informasi bisa juga erupakan orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahayakansumber daya informasi
perusahaan.
1) Ancaman Internal
Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga
pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut.
2) Ancaman Eksternal
Misalnya perusahaan lain yang memiliki produk yang sama dengan produk
perusahaan kita atau disebut juga pesaing usaha.
Jenis- Jenis Ancaman:
Malicious software, atau malware terdiri atas program-program lengkap atau segmen-
segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi yang
tidak diharapkan oleh pemilik system.
Peranti Lunak yang berbahaya (Malicious Software-Malware)
1. Virus
Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si
pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain
2. Worm
Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi dapat
menyebarkan salinannya melalui e-mail
3. Trojan Horse
Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri, namun disebarkan
6. sebagai perangkat
4. Adware
Program yang memunculkan pesan-pesan yang mengganggu
5. Spyware
Program yang mengumpulkan data dari mesin pengguna
E. Risiko Keamanan Informasi (Information Security Risk)
Didefinisikan sebagai potensi output yang tidak Diharapkan dari pelanggaran keamanan
informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang
tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
¡ Interuption:ancaman terhadap availability, yaitu data dan informasi yang berada dalam
system computer yang dirusak dan dibuang sehingga menjadi tidak ada atau menjadi
tidak berguna.
¡ Interception: merupakan ancaman terhadap secrey, yaitu orang yang tidak berhak
mendapatkan akses informasi dari dalam system computer
¡ Modification: merupakan ancaman terhadap integritas, yaitu orang yang tidak berhak,
tidak hanya berhasil mendapatkan akses, melainkan juga dapat melakukan pengubahan
terhadap informasi.
¡ Fabrication: adanya orang yang tidak berwenang, meniru atau memalsukan suatu objek
ke dalam system.
Tindakan tidak sah yang menyebabkan resiko dapat digolongkan ke dalam empat jenis :
Pencurian dan Penyingkapan tidak sah
Penggunaan Tidak Sah
Pembinasaan dan Pengingkaran Layanan yang tidak sah
Modifikasi yang tidak sah
F. Kelemahan keamanan sistem informasi
Adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat
mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem
7. kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba
menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada prosedur, peralatan,
maupun perangkat lunak yang dimiliki, contoh yang mungkin terjadi seperti : Seting
firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting VPN yang
tidak di ikuti oleh penerapan kerberos atau NAT.
Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu
:
1. Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman
dan kelemahan
2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses
yang mengubah sistem dari keadaan normal menjadi keadaan abnormal
3. Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak
seimbang untuk dikembalikan dalam keadaan normal
Tindakan tersebutlah menjadikan bahwa keamanan sistem informasi tidak dilihat hanya
dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan
tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.
G. Manajemen Risiko (Management Risk)
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko
atau mengurangi dampaknya.
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
a. dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau sangat
membatasi kemampuan perusahaan tersebut untuk berfungsi
b. dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya yang
signifikan, tetapi perusahaan tersebut tetap selamat
c. dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan yang
terjadi dalam operasional sehari-hari.
8. Tabel Tingkat Dampak dan Kelemahan
Dampak Parah Dampak Signifikan Dampak Minor
Kelemahan
Tingkat Tinggi
Melaksanakan analisis
kelemahan. Harus
meningkatkan
pengendalian
Melaksanakan analisis
kelemahan.
Harus meningkatkan
pengendalian
Analisis
kelemahan tidak
dibutuhkan
Kelemahan
Tingkat
Menengah
Melaksanakan analisis
kelemahan. Sebaiknya
meningkatkan
pengendalian.
Melaksanakan analisis
kelemahan. Sebaiknya
meningkatkan
pengendalian.
Analisis
kelemahan tidak
dibutuhkan
Kelemahan
Tingkat Rendah
Melaksanakan analisis
kelemahan. Menjaga
Pengendalian tetap ketat.
Melaksanakan analisis
kelemahan. Menjaga
Pengendalian tetap ketat.
Analisis
kelemahan tidak
dibutuhkan
H. Serangan-serangan dalam Keamanan Informasi
1. Serangan untuk mendapatkan akses
Caranya antara lain: Menebak password, terbagi menjadi 2 cara:
a. Teknik mencoba semua kemungkinan password
b. Mencoba dengan koleksi kata-kata yang umum dipakai. Missal: nama anak,
tanggal lahir
2. Serangan untuk melakukan modifikasi
Setelah melakukan serangan akses biasanya melakukan sesuatu pengubahan untuk
mendapatkan keuntungan. Contoh:
a. Merubah nilai
b. Penghapusan data hutang di bank
3. Serangan untuk menghambat penyediaan layanan
Cara ini berusaha mencegah pihak-pihak yang memiliki pemakai sah atau pengaruh
luas dan kuat untuk mengakses sebuah informasi
Misal:
a. Mengganggu aplikasi
9. b. Mengganggu system
c. Mengganggu jaringan
I. Kontrol
Kontrol adalah mekanisme yang diimplementasikan untuk melindungi perusahaan dari
resiko-resiko dan meminimalisir dampak dari resiko yang terjadi:
Technical control teknis dibangun didalam sistem oleh sistem pengembang sementara
proses pengembangan berjalan.
Access control adalah dasar keamanan melawan ancaman oleh orang-orang yan tidak
berkepentingan langsung/terkait.
Intrusion detection systems akan mencoba mencari tahu satu percobaan yang
dilakukan ntuk menerobos keamanan sebelum menimbulkan kerusakan
J. Pengendalian Dalam menejeman Keamanan Informasi
1) Pengendalian (Control)
Merupakan mekanisme yang diterapkan, baik untuk melindungi perusahaan dari
risiko atau untuk meminimalkan dampak risiko tersebut pada perusahaan jika risiko
tersebut terjadi.
Pengendalian terbagi menjadi tiga kategori, yakni:
a. Pengendalian Teknis
b. Pengendalian Formal
c. Pengendalian Informal
2) Pengendalian Teknis
Adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para
penyususn system selama masa siklus penyusunan system.Dilakukan melalui tiga
tahap:
a. Identifikasi Pengguna.
Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor
telepon.nomor telepon.
b. Otentikasi Pengguna
Pengguna memverivikasi hak akses dengan cara memberikan sesuatu yang
mereka miliki, seperti chip identifikasi atau tanda tertentu.
c. Otorisasi Pengguna
10. Pengguna dapat mendapatkan wewenang untuk memasuki tingkat penggunaan
tertentu.
Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat menggunakan sumber
daya informasi yang terdapat di dalam batasan file akses.
a. Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran
keamanan sebelum memiliki kesempatan untuk melakukan perusakan.
Contoh:
Peranti lunak proteksi virus (virus protection software).Peranti lunak yang
didesain untuk mencegah rusaknya keamanan sebelum terjadi.
b. Firewall
Suatu Filter yang membatasi aliran data antara titik-titik pada suatu jaringan-
biasanya antara jaringan internal perusahaan dan Internet.
Berfungsi sebagai:
Penyaring aliran data
Penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan
internet.
Jenis:
Firewall Paket
Firewall Tingkat Sirkuit
Firewall Tingkat Aplikasi
3) Pengendalian Kriptografis
Merupakan penggunaan kode yang menggunakan proses-proses
matematika.Meningkatkan keamanan data dengan cara menyamarkan data dalam
bentuk yang tidak dapat dibaca. Berfungsi untuk melindungi data dan informasi yang
tersimpan dan ditransmisikan, dari pengungkapan yang tidak terotorisasi.
Enkripsi: merubah data asli menjadi data tersamar.
Deksipsi: merubah data tersamar menjadi data asli.
Kriptografi terbagi menjadi:
a. Kriptografi Simetris
Dalam kriptografi ini, kunci enkripsi sama dengan kunci dekripsi.
11. b. Kriptografi Asimetris
c. Dalam kriptografi ini, kunci enkripsi tidak sama dengan kunci dekripsi.
Contoh:
Enkripsi kunci public
Dekripsi Kunci Privat
d. Kriptografi Hybrid
Menggabungkan antara kriptografi simetris dan Asimetris, sehingga
mendapatkan kelebihan dari dua metode tersebut.
Contoh:
SET (Secure Electronic Transactions) pada E-Commerce
4) Pengendalian Fisik
Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah
mengunci pintu ruangan computer.Perkembangan seterusnya menghasilkan kunci-
kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan
suara, serta kamera pengintai dan alat penjaga keamanan.
5) Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur
dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang
berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam
jangka panjang.
6) Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga agar
para karyawan perusahaan memahami serta mendukung program keamanan
tersebut.
Berkaitan dengan keamanan system informasi, diperlukan tindakan berupa
pengendalian terhadap sistem informasi. Kontrol-kontrol yang dapat dilakukan untuk
pengamanan sistem informasi antara lain:
12. a. Kontrol Administratif
Kontrol administratif dimaksudkan untuk menjamin bahwa seluruh kerangka control
dilaksanakan sepenuhnya dalam organisasi berdasarkan prosedur-prosedur yang jelas.
Kontrol ini mencakup hal-hal berikut:
o Mempublikasikan kebijakan control yang membuat semua pengendalian sistem
informasi dapat dilaksanakan dengan jelas dan serius oleh semua pihak dalam
organisasi.
o Prosedur yang bersifat formal dan standar pengoperasian disosialisasikan dan
dilaksanakan dengan tegas. Termasuk hal ini adalah proses pengembangan sistem,
prosedur untuk backup, pemulihan data, dan manajemen pengarsipan data.
o Perekrutan pegawai secara berhati-hati yang diikuti dengan orientasi pembinaan, dan
pelatihan yang diperlukan.
o Supervisi terhadap para pegawai. Termasuk pula cara melakukan control kalau
pegawai melakukan penyimpangan terhadap yang diharapkan.
o Pemisahan tugas-tugas dalam pekerjaan dengan tujuan agar tak seorangpun yang
dapat menguasai suatu proses yang lengkap. Sebagai contoh, seorang pemrogram
harus diusahakan tidak mempunyai akses terhadap data produksi (operasional) agar
tidak memberikan kesempatan untuk melakukan kecurangan.
b. Kontrol Pengembangan dan Pemeliharaan Sistem
Untuk melindungi kontrol ini, peran auditor sangat sistem informasi sangatlah penting.
Auditor system informasi harus dilibatkan dari masa pengembangan hingga pemeliharaan
system, untuk memastikan bahwa system benar-benar terkendali, termasuk dalam hal
otorisasi pemakai system. Aplikasi dilengkapi dengan audit trail sehingga kronologi
transaksi mudah untuk ditelusuri.
c. Kontrol Operasi
Kontrol operasi dimaksudkan agar system beroperasi sesuai dengan yang diharapkan.
Termasuk dalam kontrol ini:
Pembatasan akan akses terhadap data
Akses terhadap ruangan yang menjadi pusat data dibatasi sesuai dengan wewenang
yang telah ditentukan. Setiap orang yang memasuki ruangan ini harus diidentifikasi
dengan benar. Terkadang ruangan ini dipasangi dengan CTV untuk merekam siapa
saja yang pernah memilikinya.
13. Kontrol terhadap personel pengoperasi
Dokumen yang berisi prosedur-prosedur harus disediakan dan berisi pesoman-
pedoman untuk melakukan suatu pekerjaan. Pedoman-pedoman ini arus dijalankan
dengan tegas. Selain itu, [ara [ersonel yang bertugas dalam pengawasan operasi
sistem perlu memastikan bahwa catatan-catatan dalam sistem komputer (system log)
benar-benar terpelihara.
Kontrol terhadap peralatan
Kontrol terhadap peralatan-peralatan perlu dilakukan secara berkala dengan tujuan
agar kegagalan peralatan dapat diminimumkan.
Kontrol terhadap penyimpanan arsip
Kontrol ini untuk memastikan bahwa setiap pita magnetic yang digunakan untuk
pengarsipan telah diberi label dengan benar dan disimpan dengan tata cara yang
sesuai.
Pengendalian terhadap virus
Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga
kontrol berupa preventif, detektif, dan korektif.
Kontrol Contoh
Preventif
Menggunakan salinan perangkat lunak atau berkas
yang berisi makro yang benar-benar bersih.
Mengindari pemakaian perangkat
lunak freeware atau shareware dari sumber yang
belum bisa dipercaya.
Menghindari pengambilan berkas yang
mengandung makro dari sembarang tempat.
Memeriksa program baru atau berkas-berkas baru
yang mengandung makro dengan program anti
virus sebelum dipakai.
Menyadarkan pada setiap pemakai untuk waspada
14. d. Proteksi Fisik terhadap Pusat Data
Untuk menjaga hal-hal yangtidak diinginkan terhadap pusat data, factor lingkungan yang
menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik
ruangan perlu diperhatikan dengan benar. Peralatan-peralatan yang berhubungan dengan
faktor-faktor tersebut perlu dipantau dengan baik.
Untuk mengantisipasi segala kegagalan sumber daya listrik, biasa digunakan UPS.
Dengan adanya peralatan ini, masih ada kesempatan beberapa menit sampai satu jam bagi
personil yang bertanggung jawab untuk melakukan tindakan-tindakan seperti memberikan
peringatan pada pemakai untuk segera menghentikan aktivitas yang berhubungan dengan
sistem komputer. Sekiranya sistem memerlukan operasi yang tidak boleh diputus,
misalnya pelayanan dalam rumah sakit, sistem harus dilengkapi generator listrik
tersendiri.
terhadap virus.
Detektif
Secara rutin menjalankan program antivirus untuk
mendeteksi infeksi virus.
Melakukan pembandingan ukuran-ukuran berkas
untuk mendeteksi perubahan ukuran pada berkas
Melakukan pembandingan tanggal berkas untuk
mendeteksi perubahan tanggal berkas.
Korektif
Memastikan pem-backup-an yang bersih
Memiliki rencana terdokumentasi tentang
pemulihan infeksi virus.
Menjalankan program antivirus untuk
menghilangkan virus dan program yang tertular.
15. e. Kontrol Perangkat Keras
Untuk mengatisipasi kegagalan sistem komputer, terkadang organisasi menerapkan
sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan). Sistem ini
dapat berjalan sekalipun terdapat gangguan pada komponen-komponennya. Pada sistem
ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau
kembarannya segera mengambil alih peran komponen yang rusak dan sistem dapat
melanjutkan operasinya tanpa atau dengan sedikit interupsi.
Sistem fault-tolerant dapat diterapkan pada lima level, yaitu pada komunikasi jaringan,
prosesor, penyimpan eksternal, catu daya, dan transaksi. Toleransi kegagalan terhadap
jaringan dilakukan dengan menduplikasi jalur komunikasi dan prosesor komunikasi.
Redundasi prosesor dilakukan antaralain dengan teknik watchdog processor, yang akan
mengambil alih prosesor yang bermasalah.
Toleransi terhadap kegagalan pada penyimpan eksternal antara lain dilakukan
melalui disk memoring atau disk shadowing, yang menggunakan teknik dengan menulis
seluruh data ke dua disk secara pararel. Jika salah satu disk mengalami kegagalan,
program aplikasi tetap bisa berjalan dengan menggunakan disk yang masih bai. Toleransi
kegagalan pada catu daya diatasi melalui UPS. Toleransi kegagalan pada level transaksi
ditanganimelalui mekanisme basis data yang disebut rollback, yang akan mengembalikan
ke keadaan semula yaitu keadaan seperti sebelum transaksi dimulai sekiranya di
pertengahan pemrosesan transaksi terjadi kegagalan.
f. Kontrol Akses terhadap Sistem computer
Untuk melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi
otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai
dan password. Password bersifat rahasia sehingga diharapkan hanya pemiliknyalah yang
tahu password-nya. Setelah pemakai berhasil masuk ke dalam sistem (login), pemakai
akan mendapatkan hak akses sesuai dengan otoritas yang telah ditentukan. Terkadang,
pemakai juga dibatasi oleh waktu. Kontrol akses juga bisa berbentuk kontrol akses
berkas. Sebagai contoh, administrator basis data mengatur agar pemakai X bisa
mengubah data A, tetapi pemakai Y hanya bisa membaca isi berkas tersebut.
Jika pendekatan tradisional hanya mengandalkan pada password, sistem-sistem yang
lebih maju mengombinasikan dengan teknologi lain. Misalnya, mesin ATM (anjungan
tunai mandiri) menggunakan kartu magnetic atau bahkan kartu cerdas sebagai langkah
awal untuk mengakses sistem dan kemudian baru diikuti dengan pemasukan PIN
16. (personal identification number). Teknologi yang lebih canggih menggunakan sifat-sifat
biologis manusia yang bersifat unik, seperti sidik jari dan retina mata, sebagai kunci
untuk mengakses sistem.
Pada sistem yang terhubung ke Internet, akses Intranet dari pemakai luar (via Internet)
dapat dicegar dengan menggunakan firewall. Firewall dapat berupa program ataupun
perangkat keras yang memblokir akses dari luar intranet.
g. Kontrol terhadap Akses Informasi
Ada kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil
membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer).
Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi
tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak. Studi tentang
cara mengubah suatu informasi ke dalam bentuk yang tak dapat dibaca oleh orang lain
dikenal dengan istilah kriptografi. Adapun sistemnya disebut sistem kripto. Secara lebih
khusus, proses untuk mengubah teks asli (cleartext atau plaintext) menjadi teks yang telah
dilacak (cliphertext) dinamakan enskripsi, sedangkan proses kebalikannya,
dari chiphertext menjadi cleratext, disebut dekrpisi. Keamanan informasi
menggunakan kriptografi untuk mengubah informasi yang dapat digunakan menjadi
bentuk yang membuat itu tidak dapat digunakan oleh pihak lain selain dari pengguna
yang berwenang; proses ini disebut enkripsi . Informasi yang telah dienkripsi (tidak dapat
digunakan lagi) dapat diubah kembali ke bentuk aslinya dapat digunakan oleh pengguna
yang berwenang, yang memiliki bagian kunci kriptografi , melalui proses dekripsi.
Kriptografi digunakan dalam keamanan informasi untuk melindungi informasi dari
pengungkapan yang tidak sah atau tidak disengaja sedangkan informasi adalah dalam
perjalanan (baik secara elektronik atau secara fisik) dan sementara informasi dalam
penyimpanan.
Kriptografi menyediakan keamanan informasi dengan aplikasi yang berguna lainnya juga
termasuk metode otentikasi ditingkatkan, mencerna pesan, tanda tangan digital, non-
repudiation , dan komunikasi jaringan dienkripsi. Aplikasi kurang aman Lama seperti
telnet dan ftp secara perlahan digantikan dengan aplikasi yang lebih aman
seperti ssh yang menggunakan jaringan komunikasi terenkripsi. Komunikasi nirkabel bisa
dienkripsi dengan menggunakan protokol seperti WPA/WPA2 atau lebih tua (dan kurang
aman) WEP . Komunikasi kabel (seperti ITU-TG.hn ) dijamin menggunakan AES untuk
17. enkripsi dan X.1035untuk otentikasi dan pertukaran kunci. Software aplikasi
seperti GnuPG atau PGP dapat digunakan untuk mengenkripsi file data dan Email.
Kriptografi dapat memperkenalkan masalah keamanan jika tidak diterapkan dengan
benar. Solusi kriptografi harus diimplementasikan dengan menggunakan solusi industri
diterima yang telah mengalami peer review ketat oleh para ahli independen dalam
kriptografi. Para panjang dan kekuatan dari kunci enkripsi juga merupakan pertimbangan
penting. Sebuah kunci yang lemah atau terlalu pendek akan menghasilkan enkripsi lemah.
Tombol yang digunakan untuk enkripsi dan dekripsi harus dilindungi dengan derajat yang
sama kekakuan sebagai informasi rahasia lainnya. Mereka harus dilindungi dari
pengungkapan yang tidak sah dan perusakan dan mereka harus tersedia saat
diperlukan. PKIsolusi mengatasi banyak masalah yang mengelilingi manajemen kunci .
Dua teknik yang popular untuk melakukan enskripsi yaitu DES dan public-key
encryption.
DES merupakan teknik untuk melakukan enskripsi dan deskripsi yang dikembangkan
oleh IBM pada tahun 1970-an. Kunci yang digunakan berupa kunci privat yang
bentuknya sama. Panjang kunci yang digunakan sebesar 64 bit. Algoritma yang
digunakan mengonversi satu blok berukuran 64 bit (8karakter) menjadi blok data
berukuran 64 bit.
Sistem DES yang menggunakan kunci privat memiliki kelemahan yang terletak pada
keharusan untuk mendistribusikan kunci ini. Pendistribusian inilah yang menjadi titik
rawan untuk diketahui oleh pihak penyadap.
Untuk mengatasi kelemahan sistem kripto simetrik, diperkenalkan teknik yang disebut
kriptografi kunci publik. Sistem ini merupakan model sistem kripto asimetrik, yang
menggunakan kunci enkripsi dan dekripsi yang berbeda. Caranya adalah dengan
menggunakan kunci privat dan kunci publik. Sebagai gambaran, bila pengirim S
mengirimkan pesan ke penerima R, ia menggunakan kunci publik R dan kemudian R
melakukan dekripsi dengan menggunakan kunci privat R.
h. Kontrol terhadap Bencana
Sementara rencana kelangsungan bisnis (BCP) mengambil pendekatan yang luas untuk
berurusan dengan organisasi-lebar dampak bencana, pemulihan bencana perencanaan
(DRP), yang adalah bagian dari rencana kelangsungan bisnis, adalah bukan terfokus pada
mengambil langkah yang diperlukan untuk melanjutkan operasi bisnis normal secepat
mungkin. Sebuah rencana pemulihan bencana yang dilakukan segera setelah bencana
18. terjadi dan rincian langkah-langkah apa yang harus diambil dalam rangka untuk
memulihkan infrastruktur teknologi informasi kritis. Perencanaan pemulihan bencana
termasuk mendirikan kelompok perencanaan, melakukan penilaian risiko, menetapkan
prioritas, mengembangkan strategi pemulihan , mempersiapkan persediaan dan
dokumentasi dari rencana, mengembangkan kriteria dan prosedur verifikasi, dan terakhir
melaksanakan rencana tersebut.
Zwass (1998) membagi rencana pemulihan terhadap bencana ke dalam 4 komponen:
Rencana darurat (emergency plan) menentukan tidakan-tindakan yang harus
dilakukan oleh para pegawai manakala bencana terjadi.
Rencana cadangan (backup plan) menentukan bagaimana pemrosesan informasi akan
dilaksanakan selama masa darurat.
Rencana pemulihan (recovery plan) menentukan bagaimana pemrosesan akan
dikembalikan ke keadaan seperti aslinya secara lengkap, termasu mencakup tanggung
jawab masing-masing personil.
Rencana pengujian (test plan) menentukan bagaimana komponen-komponen dalam
rencana pemulihan akan diuji atau disimulasikan.
i. Kontrol Terhadap Perlidungan Terakhir
Kontrol terhadap perlindungan terakhir dapat berupa:
Rencana pemulihan terhadap bencana.
Asuransi.
Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana. Itulah
sebabnya, biasanya organisasi mengansurasikan gedung atau asset-aset tertentu dengan
tujuan kalau bencana terjadi, klaim asuransi dapat digunakan untuk meringankan beban
organisasi.
j. Kontrol Aplikasi
Kontrol aplikasi adalah kontrol yang diwujudkan secara sesifik dalam suatu aplikasi
sistem informasi. Wilayah yang dicakup oleh kontrol ini meliputi:
Kontrol Masukan
Kontrol masukan digunakan untuk menjamin keakurasian data, kelengkapan
masukan, dan validasi terhadap masukan. Digit pemeriksaan (check digit) yang
ditambahkan dalam suatu kode masukan merupakan suatu contoh teknik yang
digunakan untk menjamin keakurasian dan keabsahan data.
19. Kontrol Pemrosesan
Kesalahan salam pemrosesan bisa terjadi sekalipun program dibuat dengan hati-hati
agar bebas dari kesalahan. Kesalahan juga bisa terjadi karena gangguan pada
komponen-komponen pemrosesan. Oleh karena itu, pemeriksaan terhadap kebenaran
hasil pemrosesan kadang-kadang perlu dilakukan sehingga kalaku terjadi hal-hal
yang tidak benar segera bisa diketahui.
Kontrol proses antara lain dilakukan dengan mencantumkan total kontrol, berupa
nilai total semua transaksi. Ada pula yang mencantumkan jumlah rekaman dengan
maksud untuk dicocokkan dengan jumlah transaksi.
Kontrol Keluaran
Kontrol keluaran dilakukan secara manual untuk memastikan bahwa hasil
pemrosesan memang sesuai dengan yang diharapkan. Hal ini dilakukan dengan
melaksanakan pengamatan terhadap dokumen-dokumen dan laporan-laporan yang
dihasilkan oleh komputer didasarkan pada kebenaran informasi, otorisasi, dan
kerahasiaan informasi.
Kontrol Basis Data
Kontrol terhadap basis data antara lain dengan cara:
a). Penerapan kebijakan backup dan recovery.
b). Penanganan transaksi melalui mekanisme rollback dan commit. (rollback adalah
kemampuan basis data yang memungkinkan pengembalian ke keadaan sebelum
sebuah transaksi dimulai jika suatu transaksi tidak berjalan dengan sempurna,
sedangkan commit digunakan untuk memastikan bahwa data benar-benar teah
dimutakhirkan pada basis data sekiranya sebuah transaksi berlangsung dengan
sempurna.
c). Otorisasi akses, yang mengatur orang tertentu hanya bisa melakukan tindakan
tertentu pada berkas tertentu.
Kontrol Telekomunikasi
Telekmunikasi merupakan komponen yang paling lemah dalam sistem informasi.
Penyadapan informasi dapat dilakukan melalui sarana ini dengan cara menyergap
gelombang radio dalam sistem tanpa kabel (wireless) atau dengan cara menyadap
jalur fisik dalam jaringan. Untuk mengantisipasi keadaan seperti ini, kontrol terhadap
telekomunikasi dapat dilakukan dengan cara mengenkripsi informasi sehingga
penyadap tidak dapat membaca informasi yang sesungguhnya. Teknik checksum juga
20. bisa diterapkan pada data yang vital untuk mendeteksi apakah telah terjadi perubahan
pada data atau tidak.
K. Pentingnya Keamanan system
Sistem Informasi diperlukan karena:
1 Teknologi Komunikasi Modern yang membawa beragam dinamika dari dunia nyata
ke dunia virtual
Contohnya adalah: dalam bentuk transaksi elektronik seperti e-banking, dan
pembawa aspek positif maupun negative, misalnya: pencurian, pemalsuan, dan
penggelapan menggunakan internet.
2 Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai
Contoh: Pemakai kurang menguasai computer.
3 Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai ekonomis.
Contoh: dokumen rancangan produk baru, kartu kredit, dan laporan keuangan
perusahaan
L. Dukungan Pemerintah Dan Industri
Beberapa organisasi pemerintah dan internasional telah menentukan standar-standar yang
ditunjukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan
informasi.Beberapa standar ini berbentuk tolak ukur, yang telah diidentifikasisebelumnya
sebagai penyedia strategi alternative untuk manajemen resiko. Beberapa pihak penentu
standar menggunakan istilah baseline(dasar) dan bukannya benchmark (tolak ukur).
Organisasi tidak diwajibkan mengikuti standar ini.Namun, standar ini ditunjukan untuk
memberikan bantuan kepada perusahaan dalam menentukan tingkat target keamanan.
M. Manajemen Keberlangsungan Bisnis
Manajemen keberlangsungan bisnis (business continuity management-BCM) adalah
aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem
informasi.
Subrencana yang umum mencakup:
o Rencana darurat (emergency plan): terdiri dari cara-cara yang akan menjaga
keamanan karyawan jika bencana terjadi. Co: Alarm bencana, prosedur evakuasi
21. o Rencana cadangan : menyediakan fasilitas computer cadangan yang bisa
dipergunakan apabila fasilitas computer yang biasa hancur atau rusak hingga tidak
bisa digunakan. Cadangan dapat diperoleh melalui kombinasi :
a). Peranti keras, peranti lunak, dan data diduplikasikan sehingga jika satu set tidak
dapat dioperasikan , set cadangannya dapat meneruskan proses.
b). Sumber daya informasi tidak dipasang pada tempat yang sama. Perusahaan
besar biasanya membuat pusat komputer yang terpisah untuk wilayah-wilayah
operasi yang berbeda-beda.
o Perusahaan dapat membuat perjanjian dengan para pengguna peralatan yang sama
sehingga masing-masing perusahaan dapat menyediakan cadangan kepada yang lain
jika terjadi
o Rencana catatan penting (vital records plan) : merupakan dokumen kertas,
microform, dan media penyimpanan optis dan magnetis yang penting untuk
meneruskan bisnis perusahaan.
N. Meletakkan Manajemen Keberlangsungan Bisnis Pada Tempatnya
Manajemen keberlangsungan bisnis merupakan salah satu bidang penggunaan
komputer di mana kita dapat melihat perkembangan besar. Pada akhir tahun1980-an,
hanya beberapa perusahaan yang memiliki rencana seperti itu, dan perusahaan jarang
mengujinya. Sejak itu, banyak upaya telah dilaksnakan untuk mengembaangkan
perencanaan kontinjenssi, dan banyak informasi serta bantuan telah tersedia. Tersedia
pula rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke dalam
kebutuhan khususnya.
O. Dampak Positif dan Negatif
1) Dampak Positif :
melindungi data dan informasi perusahaan dari pengungkapan kepada orang-
orang yang tidak berwenang.
Melindungi data perusahaan dari virus komputer
membawa beragam dinamika dari dunia nyata ke dunia virtual
2) Dampak Negatif:
Masih bisa terjadi kebocoran informasi
Masih bisa muncul virus komputer yang membahayakan
22. Kurangnya pengetahuan mengenai keamanan informasi
Kegunaan sistem informasi dalam mendukung proses bisnis organisasi semakin nyata
dan meluas. Sistem informasi membuat proses bisnis suatu organisasi menjadi lebih efisien
dan efektif dalam mencapai tujuan. Sistem informasi bahkan menjadi key-enabler (kunci
pemungkin) proses bisnis organisasi dalam memberikan manfaat bagi stakeholders. Maka
dari itu, semakin banyak organisasi, baik yang berorientasi profit maupun yang tidak,
mengandalkan sistem informasi untuk berbagai tujuan. Di lain pihak, seiring makin
meluasnya implementasi sistem informasi maka kesadaran akan perlunya dilakukan review
atas pengembangan suatu sistem informasi semakin meningkat. Kesadaran ini muncul karena
munculnya berbagai kasus yang terkait dengan gagalnya sistem informasi, sehingga
memberikan akibat yang sangat mempengaruhi kinerja organisasi.
Terdapat beberapa resiko yang mungkin ditimbulkan sebagai akibat dari gagalnya
pengembangan suatu sistem informasi, antara lain:
Sistem informasi yang dikembangkan tidak sesuai dengan kebutuhan organisasi.
Melonjaknya biaya pengembangan sistem informasi karena adanya “scope creep”
(atau pengembangan berlebihan) yang tanpa terkendali.
Sistem informasi yang dikembangkan tidak dapat meningkatkan kinerja organisas
Mengingat adanya beberapa resiko tersebut diatas yang dapat memberikan dampak terhadap
kelangsungan organisasi maka setiap organisasi harus melakukan review dan evaluasi
terdapat pengembangan sistem informasi yang dilakukan. Review dan evaluasi ini dilakukan
oleh internal organisasi ataupun pihak eksternal organisasi yang berkompeten dan diminta
oleh organisai. Kegiatan review dan evaluasi ini biasanya dilakukan oleh Auditor Sistem
Informasi. Selain wawasan, pengetahuan dan ketrampilan diatas seorang spesialis audit
sistem informasi juga dituntut memenuhi syarat akreditasi pribadi terkait suatu sistem
sertifikasi kualitas yang diakui secara internasional. Salah satu sertifikasi profesional sebagai
standar pencapaian prestasi dalam bidang audit, kontrol, dan keamanan sistem informasi yang
telah diterima secara internasional adalah CISA® (Certified Information Systems Auditor)
yang dikeluarkan oleh ISACA (Information Systems Audit and Control Association). Audit
sistem informasi dilakukan untuk menjamin agar sistem informasi dapat melindungi aset
milik organisasi dan terutama membantu pencapaian tujuan organisasi secara efektif.
23. Contohnya :
Teknologi informasi memiliki peranan penting bagi setiap organisasi baik lembaga
pemerintah maupun perusahaan yang memanfaatkan teknologi informasi pada kegiatan
bisnisnya, serta merupakan salah satu faktor dalam mencapai tujuan organisasi. Peran TI akan
optimal jika pengelolaan TI maksimal. Pengelolaan TI yang maksimal akan dilaksanakan
dengan baik dengan menilai keselarasan antara penerapan TI dengan kebutuhan organisasi
sendiri.
Semua kegiatan yang dilakukan pasti memiliki risiko, begitu juga dengan pengelolaan TI.
Pengelolaan TI yang baik pasti mengidentifikasikan segala bentuk risiko dari penerapan TI
dan penanganan dari risiko-risiko yang akan dihadapi. Untuk itu organisasi memerlukan
adanya suatu penerapan berupa Tata Kelola TI (IT Governance) (Herawan, 2012).
Pemanfaatan dan pengelolaan Teknologi Informasi (TI) sekarang ini sudah menjadi perhatian
di semua bidang dikarenakan nilai aset yang tinggi yang mempengaruhi secara langsung
kegiatan dan proses bisnis. Kinerja TI terhadap otomasi pada sebuah organisasi perlu selalu
diawasi dan dievaluasi secara berkala agar seluruh mekanisme manajemen TI berjalan sesuai
dengan perencanaan, tujuan, serta proses bisnis organisasi. Selain itu, kegiatan pengawasan
dan evaluasi tersebut juga diperlukan dalam upaya pengembangan yang berkelanjutan agar TI
bisa berkontribusi dengan maksimal di lingkungan kerja organisasi. COBIT (Control
Objectives for Information and Related Technology) adalah standar internasional untuk tata
kelola TIyang dikembangkan oleh ISACA (Information System and Control Association) dan
ITGI (IT Governance Institute) yang bisa dijadikan model pengelolaan TI mulai dari tahap
perencanaan hingga evaluasi.(Wibowo, 2008).
Jadi, jika penerapan manajemn keamanan informasi tidak berjalan maksimal, dampaknya
bagi perusahaan adalah harus melakukan review dan evaluasi terdapat pengembangan sistem
informasi yang dilakukan. Review dan evaluasi ini dilakukan oleh internal perusahaan
ataupun pihak eksternal yang berkompeten dan diminta oleh organisai. Kegiatan review dan
evaluasi ini biasanya dilakukan oleh Auditor Sistem Informasi. Selain wawasan, pengetahuan
dan ketrampilan diatas seorang spesialis audit sistem informasi juga dituntut memenuhi
syarat akreditasi pribadi terkait suatu sistem sertifikasi kualitas yang diakui secara
internasional. Salah satu sertifikasi profesional sebagai standar pencapaian prestasi dalam
24. bidang audit, kontrol, dan keamanan sistem informasi yang telah diterima secara
internasional adalah CISA® (Certified Information Systems Auditor) yang dikeluarkan oleh
ISACA (Information Systems Audit and Control Association). Audit sistem informasi
dilakukan untuk menjamin agar sistem informasi dapat melindungi aset milik perusahaan dan
terutama membantu pencapaian tujuan perusahaan secara efektif.
25. DAFTAR PUSTAKA
Wawan. 2014. http://cvrosadi.blogspot.com/2014/07/makalah-manajemen-keamanan-
informasi.html. Jakarta.
Poxsis. 2004https://www.proxsisgroup.com/articles/manajemen-keamanan-informasi-di-
perusahaan/. Jakarta.
Maggie. 2013. http://megyanggraini.blogspot.com/2013/07/sistem-informasi-manajemen-
keamanan.html. Jakarta.
Binus. 2015. https://sis.binus.ac.id/2015/07/01/resiko-dalam-penerapan-sistem-informasi-di-
perusahaan/. Jakarta.
Anonim. 2014. https://simkelompok7.wordpress.com/2014/10/24/manajemen-keamanan-
informasi-dan-manajemen-keberlangsungan-bisnis/ . Jakarta.
Putra, Yananto Mihadi. (2018). Modul Kuliah Sistem Informasi Manajemen: Implementasi
Sistem Informasi. FEB - Universitas Mercu Buana: Jakarta.)