1. SISTEM INFORMASI MANAJEMEN
BAB 9 KEAMANAN INFORMASI
Penulis : Raymond McLeod, Jr.
George P. Schell
Dosen : Dr. Wonny A. Ridwan, MM., SE.
Fakultas Ekonomi
Universitas Pakuan
3. Tujuan Belajar
Memahami kebutuhan organisasi akan keamanan dan
pengendalian.
Memahami bahwa keamanan informasi berkaitan
dengan keamanan semua sumberdaya informasi.
Memahami tiga tujuan utama keamanan informasi
Melihat hubungan yang logis antara ancaman, resiko
dan pengendalian.
Memahami apa saja ancaman keamanan yang utama.
Memahami apa saja risiko keamanan yang utama.
Mengenali berbagai kekhawatiran keamanan ecommerce dan bagaimana perusahaan-perusahaan
kartu kredit mengatasinya.
4. Tujuan Belajar
Mengenali cara formal melakukan manajemen risiko.
Mengetahui proses implementasi kebijakan keamanan
informasi.
Mengenali cara-cara pengendalian keamanan yang
populer.
Mengetahui tindakan-tindakan pemerintah dan kalangan
industri yang memengaruhi keamanan informasi.
Mengetahui cara mendapatkan srtifikasi profesional
keamanan dan pengrndalian.
Mengetahui jenis-jenis rencana yang termasuk dalam
perencanaan kontijensi.
5. KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN
PENGENDALIAN
• Dalam dunia masa kini, banyak organisasi semakin
dasar akan pentingnya menjaga seluruh sumber daya
mereka, baik yang bersifat virtual maupun fisik, agar
aman dari ancaman baik dalam dan luar sistem
komputer yang pertama hanya memiliki sedikit
perlindungan keamanan, namun hal ini berubah pada
saat perang Vietnam ketika sejumlah instansi komputer
di rusak oleh para pemrotes.
6. KEAMANAN INFORMASI
• Saat pemerintah dan kalangan industri mulai menyadari
kebutuhan untuk mengamankan sumber daya informasi
mereka, perhatian nyaris terpukul secara eksklusif pada
perlindungan perantik keras dab data, maka istilah
keamanan sistem (Sistem security) pun di gunakan.
Fokus sempit ini kemudian di perluas sehingga
mencangkup bukan hanya perantik keras dan data,
namun juga peranti lunak, fasilitas komputer, dan
personel.
7. Tujuan Keamanan Informasi
• Kerahasian. Perusahaan berusaha untuk melindungi
data dan informasinya dari pengungkapan kepada
orang-orang yang tidak berwenang.
• Ketersediaan. Tujuannya dari infrastrukstur informasi
perusahaan adalah menyediakan data dan informasi
sedia bagi pihak-pihak yang memiliki wewenang untuk
menggunakannya.
• Integritas. Semua sistem informasi harus memberikan
representasi akurat dan atas sistem fisik yang
direpresentasikannya.
8. Manajemen Keamanan Informasi
• Seperti halnya cakupan keamanan informasi telah
meluas demikian juga pandangan akan tanggung jawab
manajemen tidak hanya di harapkan untuk menjaga agar
sumber daya informasi aman, namun juga di harapkan
untuk menjaga perusahaan tersebut agar tetap berfungsi
setelah suatu bencana atau jebolnya sistem keamanan.
Aktivitas untuk menjaga agar sumber daya informasi
tetap aman disebut manajemen keamanan informasi (
informatian security management – ISM ).
9. Strategi Manajemen Keamanan Informasi
Mengidentifi
kasi ancaman
Mengidentifik
asi risiko
Tolok ukur
Menentukan
kebijakan
keamanan
informasi
Menentukan
kebijakan
keamanan
informasi
Mengimplemen
tasikan
pengendalian
Mengimplement
asikan informasi
Manajemen risiko
Kepatuhan terhadap tolok ukur
10. Ancaman
• Ancaman Keamanan informasi (information security
threat) adalah orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan.
11. Jenis Ancaman
• Virus adalah program komputer yang dapat mereplikasi
dirinya sendiri tanpa dapat diamati oleh si pengguna dan
menempelkan salinan dirinya pada program-program
dan boot sector lain.
• Selain virus ada terdapat pula worm, Trojan horse,
adware, dan spyware.
12. Risiko
• Risiko keamanan informasi (information security risk)
didefinisikan sebagai potensi output yang tidak
diharapkan dari pelanggaran keamanan informasi oleh
ancaman keamanan informasi.
13. Pengungkapan Informasi yang Terotorisasi dan Pencurian
• Ketika suatu basis data dan perpustakaan peranti lunak
tersedia bagi orang-orang yang seharusnya tidak berhak
memilki akses, hasilnya adalah hilangnya informasi atau
atau uang . Sebagai contoh, mata-mata industri dapat
memperoleh informasi mengenai kompetisi yang
berharga, dan kriminal komputer dapat menyeludupkan
dana perusahaan.
14. Persoalan E-Commerce
• E-comerce (perdagangan elektronik) telah
memperkenalkan suatu perusahaan keamanan baru.
Masalah ini bukanlah perlindungan data, informasi, dan
perangkat lunak, tapi perlindungan dari pemalsuan kartu
kredit. Menurut sebuah survei yang dilakukan oleh
Gartner Group, pemalsuan kartu kredit 12 kali lebih
sering terjadi untuk para paritel e-commerce di
bandingkan dengan para pedagang yang berurusan
dengan pelanggan mereka secara langsung.
15. Kartu Kredit “Sekali Pakai”
• Pada september 2000, america ekspres mengumumkan
sebuak kartu kredit “sekali pakai” tindakan yang
ditunjukan bagi 60 hingga 70 persen konsumen yang
mengkhawatirkan pemalsuan kartu kredit dari
pengguanaa internet.
16. Praktik Keamanan yang Diwajibkan oleh Visa
1.
2.
3.
4.
5.
6.
Memasang dan memelihara firewall.
Memperbaharui keamanan.
Melakukan ekskripsi pada data yang di simpan.
Melakukan ekskripsi pada data yang di kirimkan.
Menggunakan dan memperbarui peranti lunak antivirus
Membatasi akses data kepada orang-orang yang ingin
tahu.
7. Memberikan ID unik kepada setiap orang yang memiliki
kemudahan mengakses data.
8. Memantau akses data dengan ID unik.
9. Tidak menggunakan kata sandi default yang disediakan
oleh vendor.
10. Secara teratur menguji sistem keamanan.
17. Manajemen Risiko
1. Menganalisis kelemahan perusahaan tersebut.
2. Identifikasi aset-aset bisnis yang harus dilindungi dari
risiko.
3. Menentukan tingkatan dampak pada perusahaan jika
risiko benar-benar terjadi.
4. Menyadari risikonya.
18. Penyusunan Kebijakan Keamanan
Fase 1
Inisiasi proyek
Tiru proyek
Komite pengawas
proyek keamanan
Fase 2
Penyusunan
kebijakan
Pihak-pihak
berminat dan
terpengaruh
Fase 3
Konsultasi dan
persetujuan
Manajemen
Fase 4
Kesadaran dan
pendidikan
Unit organisasi
Fase 5
Penyebarlasan
kebijkan
Unit organisasi
19. Pengendalian
• Pengendalian (control) adalah mekanisme yang
diterapkan baik untuk melindungi perusahaan dari risiko
atau untuk meminimalkan damak risiko tersebut pada
perusahaan jika risiko tersebut terjadi.
20. Pengendalian Teknis
• Pengendalian teknis (technical control) adalah
pengendalian yan menjadi satu di dalam sistem dan
dibuat oleh para penyusun sistem selama masa siklus
penyusunan sistem.
21. Pengendalian Akses
1. Identifikasi pengguna. Para pengguna pertama
mengidentifikasi mereka dengan cara memberikan
sesuatu yang mereka ketahui, misalnya kata sandi.
2. Otentifikasi pengguna. Setelah identifikasi awal telah
dilakukan, para pengguna memverifikasi hak akses
dengan cara memberikan sesuatu yang mereka
ketahui.
3. Otorisasi pengguna. Setelah pemeriksaan identifikasi
dan autentikasidilalui, seseorang maka dapat
melakukan otorisasi untuk memasuki tingkat/derajat
penggunaan tertentu.
22. Firewall
• Sumber daya komputer selalu berada dalam resiko jika
terhubung ke jaringan. Salah satu pendekatan
keamanan adalah secara fisik memisahkan situs Web
perusahaan dengan jaringan internal perusahaan yang
berisikan data sensitif dan sistem informasi.
• Fungsi Firewall sebagai penyaring dan penghalang yang
membatasi aliran data ke dan dari perusahaan tersebut
dan internet.
23. Lokasi Fire Wall di Jaringan
Firewall
penyaring
paket
Internet
Jaringan
internal
Router
Firewall
tingakat
sirkuit
Komputer
Firewall
tingkat
aplikasi
24. Pengendalian Kriptografis
• Data dan informasi yang tersimpan dan ditransmisikan
dapat dilindungi dari pengungkapan yang tidak
terotorisasi dengan kriptografi, yaitu penggunaan kode
yang menggunakan proses matematika. Data dan
informasi tersebut dapat dienkripsi dalam penyimpanan
dan juga di transmisikan ke dalam jaringan. Jika
seseorang yang tidak memiliki otorisasi memperoleh
akses, enkripsi tersebut akan membuat data dan
informasi yang dimaksud tidak berarti apa-apa dan
mencegah Kesalahan penggunaan.
25. Pengendalian Fisik
• Peringatan pertama terhadap gangguan yang tidak
terotorisasi adalah mengunci pintu ruangan komputer.
Perkembangan seterusnya menghasilkan kunci-kunci
yang lebih canggih yang dibuka dengan cetakan telapak
tangan dan cetakan suara, serta kamera pengintai dan
alat penjaga keamanan. Perusahaan dapat
melaksanakan pengendaliian fisik hingga pada tahap
tertinggi dengan cara menempatkan pusat komputernya
ditempat terpencil yang jauh darikota dan jauh dari
wilayah yang sensitif terhadap bencana alam seperti
gempa bumi, banjir, dan badai.
26. Pengendalian Formal
• Pengendalian formal mecangkup penemuan cara
berprilaku, dokumentasi produsen dan praktik yang di
harapkan. Pengawasan serta pencegahan perilaku yang
berbeda dari panduan yang berlaku. Pengendalian ini
bersifat formal karena manajemen menghabiskan
banyak waktu untuk menyusunnya. Dokumentasikan
dalam bentuk tulisan, dan diharapkan untuk berlaku
dalam jangka panjang.
27. MELETAKAN PENGENDALIAN TEKNIS PADA
TEMPATNYA
• Pengendalian teknis dikenal sebagai yang terbaik untuk
keamanan.perusahaan biasanya memilih dari daftar ini
dan menetapkan kombinasi yang dianggap menawarkan
pengamanan yang paling realistis.
28. Pengendalian Informal
• Pengendalian informal mencangkup program-program
pelatihan dan edukasi serta program pembangunan dan
manajemen. Pengendalian ini di tujukan untuk menjaga
agar para karyawan perusahaan memahami serta
mendukung program keamanan tersebut.
29. Mencapai Tingkat Pengendalian Yang Tepat
• Ke tiga jenis pengendalian teknis, formal,dan informal
mengharuskan biaya. Karena bukanlah merupakan
praktik bisnis yang baik untuk menghabiskan lebih
banyak uang pada pengendalian dibandingkan biaya
yang diharapkan dari resiko yang akan terjadi, maka
pengendalian harus ditetapkan pada tingkatan yang
sesuai. Dengan demikian, keputusan pengendalian
harus ditetapkan pada tingkatan yang sesuai.
30. Dukungan Pemerintah dan Industri
• Beberapa organisasi pemerintahan dan internasional
telah menentukan standar-standar yang ditujukan untuk
menjadi panduan bagi organisasi yang ingin
mendapatkan keamanan informasi. Beberapa standar ini
berbentuk tolok ukur, yang telah diidentifikasi
sebelumnya sebagai penyedia strategi alternatif untuk
manajemen risiko.
31. Contoh tingkat target keamanan
•
•
•
•
•
BS7799 milik Inggris
BSI IT Baseline Protection Manual
COBIT
GASSP
ISF Standard of Good Practice
32. Peraturan Pemerintah
• Pemerintah baik di Amerika Serikat maupun Inggris telah
menentukan standar dan menetapkan peraturan yang
ditujukan untuk menanggapi masalah pentingnya
keamanan informasi yang makin meningkat, terutama
setelah peristiwa 9/11 dan semakin meluasnya internet
serta peluang terjadinya kejahatan komputer.
• Beberapa diantaranya:
1. Standar Keamanan Komputer Pemerintah
Amerika Serikat.
2. Undang-Undang Antiterorisme, kejahatan, dan
keamanan Inggris (ATSCA) 2001.
33. Standar Industri
• The Center for Internet Security (CIS) adalah organisasi
yang didedikasikan untuk membantu para pengguna
komputer guna membuat sistem mereka lebih aman.
Bantuan diberikan melalui dua produk yaitu: CIS
Benchmark dan CSI Scoring tools.
34. Sertifikasi Profesional
• Mulai tahun 1960-an, profesi TI mulai menawarkan
program sertifikasi. Tiga contoh berikut mengilustrasikan
cakupan dari program-program ini.
Asosiasi Audit Sistem dan Pengendalian.
Konsorsium Sertifikasi Keamanan Sistem Informasi
Internasional.
Institut SANS.
35. Meletakan Manajemen Keamanan Informasi Pada
Tempatnya
• Perusahaan harus mencanangkan kebijakan
manajemen keamanan informasi sebelum menempatkan
pengendalian. Kebijakan ini dapat dibuat berdasarkan
identifikasi ancaman dan risiko ataupun berdasarkan
panduan yang diberikan oleh pemerintah dan asosiasi
industri.
36. Manajemen Keberlangsungan Bisnis
• Aktivitas yang ditujukan untuk menentukan operasional
setelah terjadi gangguan sistem informasi disebut
dengan manajemen keberlangsungan Bisnis ( business
continuity management-BCM). Pada tahun-tahun awal
penggunaan komputer, aktifitas ini disebut perencanaan
besar (disaster planning), namun istilah yang lebih
positif, perencanaan kontinjensi (contingency plan),
menjadi populer.
• Elemen penting dalam perencanaan kontinjensi
adalah rencana kontinjensi (contingency plan), yang
merupakan dokumen tertulis formal yang
menyebutkan secara detail tindakan-tindakan yang
harus dilakukan jika terjadi gangguan,atau ancaman
gangguan pada operasi komputasi perusahaan.
37. • Subrencana manajemen kelangsungan bisnis yang
umum mencakup:
Rencana darurat: menyebutkan cara-cara yang akan
menjaga keamanan karyawan jika bencana terjadi.
Rencana cadangan: perusahaan mengatur agar
fasilitas komputer cadangan tersedia seandainya
fasilitas yang biasa hancur atau rusak sehingga tidak
dapat digunakan.
Rencana catatan penting: catatan penting
perusahaan adalah dokumen kertas dan media
penyimpanan yang penting untukmeneruskan bisnis
perusahaan tersebut.