10. hapzi ali, sim, keamanan sistem informasi

Modul ke:
Fakultas
Program Studi
SISTEM INFORMASI
MANAJEMEN (SIM)
Keamanan Sistem Informasi
Prof. Dr. Ir. H. Hapzi Ali, MM, CMA
10

Management Information System, hapzi.ali@mercubuana.ac.id
Keamanan Sistem Informasi
1. Keamanan Informasi
2. Ancaman (threats)
3. Risiko (risks)
4. Ancaman virus
5. Manajemen risiko
6. Kebijakan keamanan informasi
7. Kontrol formal & Informal
8. Menempatkan manajemen keamanan dalam persfektifnya

1
Keamanan Informasi
Sistem Informasi Manajemen

Keamanan Informasi
• Keamanan informasi menggambarkan upaya untuk melindungi
komputer dan non peralatan komputer, fasilitas, data, dan
informasi dari penyalahgunaan oleh pihak yang tidak berhak
• Definisi ini mencakup mesin fotokopi, mesin fax, dan semua
jenis media, termasuk dokumen kertas
• Keamanan informasi ditujukan untuk mencapai tiga tujuan utama:
1. Kerahasiaan: melindungi data dan informasi perusahaan dari
pengungkapan kepada orang-orang yang tidak sah
2. Ketersediaan: memastikan bahwa data dan informasi perusahaan
hanya tersedia bagi mereka yang berwenang untuk menggunakannya
3. Integritas: sistem informasi harus memberikan representasi akurat
dari sistem fisik yang mereka wakili

Manajemen Keamanan Informasi
• corporate information systems security officer
(CISSO) telah digunakan untuk orang dalam
organisasi yang bertanggung jawab untuk
sistem keamanan informasi perusahaan.
• Sekarang ada langkah untuk menunjuk
corporate information assurance officer
(CIAO) yang melapor kepada CEO dan
mengelola unit jaminan informasi

KEAMANAN INFORMASI MANAJEMEN (ISM)
• ISM terdiri dari empat langkah:
1. Mengidentifikasi ancaman yang dapat menyerang sumber
daya informasi perusahaan
2. Mendefinisikan risiko bahwa ancaman bisa memaksakan
3. Menetapkan kebijakan keamanan informasi
4. Menerapkan kontrol yang menangani risiko
Gambar 9.1 mengilustrasikan pendekatan manajemen risiko
• Benchmark juga digunakan untuk memastikan integritas
sistem manajemen risiko

Manajemen Keamanan Informasi

2
Ancaman (threats)

ANCAMAN
• Ancaman keamanan informasi berasal dari orang,
organisasi, mekanisme, atau peristiwa yang
berpotensi dapat membahayakan sumber daya
informasi perusahaan
• Ancaman dapat berupa internal atau eksternal,
kebetulan atau sengaja
• Gambar 9.2 menunjukkan tujuan keamanan informasi
dan bagaimana mereka mengalami empat jenis risiko:
1. Ancaman Internal dan Eksternal
2. Kecelakaan dan disengaja

Ancaman Internal dan Eksternal

3
Risiko (Risks)

RISIKO
• Tindakan yang tidak sah bahwa risiko ini dapat
dikategorikan menjadi empat jenis:
1. Pengungkapan tidak sah
2. Pencurian
3. Penolakan pelayanan
4. Modifikasi secara tidak sah dan Denial of Service

4
Ancaman Virus

ANCAMAN-yang paling terkenal "VIRUS"
• Virus adalah program komputer yang dapat
mereplikasi sendiri tanpa sepengetahuan pengguna
• Sebuah worm tidak dapat mereplikasi dirinya sendiri
dalam sebuah sistem, tetapi dapat mengirimkan
salinan dirinya melalui e-mail
• Sebuah Trojan horse tidak dapat mereplikasi atau
mendistribusikan sendiri. Distribusi ini dilakukan oleh
pengguna yang mendistribusikannya sebagai utilitas
yang bila digunakan menghasilkan perubahan yang
tidak diinginkan dalam fungsi sistem

PERTIMBANGAN E-COMMERCE
• E-commerce telah memperkenalkan resiko keamanan baru:
penipuan kartu kredit. Kedua American Express dan Visa telah
menerapkan program khusus ditujukan e-commerce
• American Express telah mengumumkan "sekali pakai" nomor
kartu kredit. Angka-angka ini, bukan nomor kartu kredit
pelanggan, disediakan untuk pengecer e-commerce, yang
menyerahkan ke American Express untuk pembayaran
• Visa telah mengumumkan sepuluh yang berhubungan dengan
keamanan praktek yang mereka harapkan pengecer mereka
untuk mengikuti ditambah tiga praktik umum bahwa pengecer
harus mengikuti (slide berikutnya)

Kewaspadaan Keamanan Visa
• Pengecer harus:
1. Menginstal dan memelihara firewall
2. Jauhkan patch keamanan up to date
3. Mengenkripsi data yang tersimpan dan data yang dikirimkan
4. Gunakan dan memperbarui perangkat lunak antivirus
5. Membatasi akses data bagi mereka dengan kebutuhan untuk
mengetahui
6. Menetapkan ID yang unik untuk orang-orang dengan hak
akses data
7. Akses data track dengan ID unik
8. Tidak menggunakan default password yang dari vendor
9. Secara teratur menguji sistem keamanan

Kewaspadaan Keamanan Visa
• Visa mengidentifikasi tiga praktik umum yang
harus diikuti oleh pengecer untuk
mendapatkan keamanan informasi dalam
semua aktivitas, 3 hal tersebut adalah
1. Menyaring karyawan yang memiliki akses ke data
2. Tidak meninggalkan data (disket, kertas, dan
sebagainya) atau komputer yang tidak aman
3. Menghancurkan data ketika tidak lagi diperlukan

5
Manajemen resiko

MANAJEMEN RISIKO
Empat sub langkah untuk mendefinisikan risiko informasi adalah:
1. Mengidentifikasi aset bisnis yang harus dilindungi dari
risiko
2. Kenali risiko
3. Menentukan tingkat dampak pada perusahaan jika risiko
terwujud
4. Menganalisis kerentanan perusahaan
Pendekatan sistematis dapat diambil untuk sub langkah 3 dan
4 dengan menentukan dampak dan menganalisis kerentanan

• Tabel 9.1 menggambarkan pilihan.

Laporan Analisis Risiko
• Temuan analisis risiko harus didokumentasikan dalam sebuah
laporan yang berisi informasi rinci seperti berikut untuk setiap
resiko:
1. Penjelasan risiko
2. Sumber risiko
3. Keparahan dari risiko
4. Kontrol yang sedang diterapkan untuk risiko
5. Pemilik (s) dari risiko
6. Tindakan yang direkomendasikan untuk mengatasi risiko
7. Kerangka waktu yang direkomendasikan untuk mengatasi
risiko
8. Apa yang dilakukan untuk mengurangi risiko

6
Kebijakan Keamanan
Informasi

KEBIJAKAN KEAMANAN INFORMASI
• Sebuah kebijakan keamanan dapat
diimplementasikan dengan menggunakan
berikut lima pendekatan fase (Gambar 9.3.):
1. Tahap 1: Proyek Inisiasi
2. Tahap 2: Pengembangan Kebijakan
3. Tahap 3: Konsultasi dan Persetujuan
4. Tahap 4: Kesadaran dan Pendidikan
5. Tahap 5: Diseminasi Kebijakan

Developmen of Security Policy

Kebijakan terpisah dikembangkan untuk:
• Sistem informasi keamanan
• Sistem kontrol akses
• personil keamanan
• Keamanan fisik dan lingkungan
• keamanan telekomunikasi
• klasifikasi informasi
• Perencanaan kelangsungan bisnis
• akuntabilitas manajemen
Kebijakan ini didistribusikan kepada karyawan, sebaiknya secara
tertulis dan dalam program pendidikan dan pelatihan. Dengan
kebijakan yang ditetapkan, kontrol dapat diimplementasikan

7
Kontrol

KONTROL
Kontrol adalah mekanisme yang diterapkan untuk melindungi
perusahaan dari risiko atau meminimalkan dampak dari risiko
pada perusahaan harus mereka terjadi:
1. Kontrol teknis yang dibangun ke dalam sistem oleh
pengembang sistem selama siklus hidup pengembangan
sistem
2. Kontrol akses merupakan dasar untuk keamanan terhadap
ancaman oleh orang yang tidak berhak
3. Sistem deteksi intrusi mencoba untuk mengenali upaya
pelanggaran keamanan sebelum memiliki kesempatan untuk
menimbulkan kerusakan

Access Control Function

Access Control
1. User identification. Pengguna pertama mengidentifikasi diri
mereka dengan memberikan sesuatu yang mereka tahu,
seperti password
2. User authentication. Setelah identifikasi awal telah dicapai,
pengguna memverifikasi hak mereka untuk mengakses
dengan memberikan sesuatu yang mereka miliki, seperti
kartu pintar atau token, atau chip identifikasi
3. User authorization . Dengan identifikasi dan otentikasi cek
berlalu, seseorang kemudian dapat disahkan tingkat atau
derajat penggunaan tertentu. Misalnya, salah satu pengguna
mungkin berwenang hanya untuk membaca dari sebuah file,
sedangkan yang lain mungkin diberi wewenang untuk
melakukan perubahan

Firewalls
• irewall bertindak sebagai filter dan penghalang yang
membatasi mengalir di antara jaringan perusahaan dan
internet data
• Ada tiga jenis firewall:
• Packet-Filter - router dilengkapi dengan tabel data alamat IP
yang mencerminkan kebijakan penyaringan diposisikan antara
internet dan jaringan internal, dapat berfungsi sebagai firewall
• Circuit-Level Firewall - terpasang antara internet dan jaringan
perusahaan tapi lebih dekat ke media komunikasi
• Aplikasi-Level Firewall - terletak antara router dan komputer
yang menjalankan aplikasi tersebut

8
Kontrol Formal & Informal

KONTROL FORMAL
• Kontrol formal meliputi pembentukan:
1. Kode etik
2. Dokumentasi prosedur dan praktik yang diharapkan
3. Pemantauan dan mencegah perilaku yang berbeda dari
panduan yang ditetapkan
• Kontrol yang formal dalam manajemen:
1. Mencurahkan waktu untuk menyusunnya
2. Mereka didokumentasikan secara tertulis
3. Mereka diharapkan akan berlaku untuk jangka panjang

INFORMAL CONTROLS
Kontrol informal mencakup kegiatan seperti:
• Menanamkan keyakinan etis perusahaan dalam
karyawannya;
• Memastikan pemahaman tentang misi dan tujuan
perusahaan;
• Program pendidikan dan pelatihan; dan
• Program pengembangan manajemen
Kontrol ini dimaksudkan untuk memastikan bahwa
karyawan perusahaan baik memahami dan mendukung
program keamanan

Bantuan Pemerintah dan Industri
• Beberapa pemerintah dan organisasi
internasional telah menetapkan standar (slide
berikutnya) dimaksudkan untuk menjadi
pedoman bagi organisasi yang ingin mencapai
keamanan informasi
• Beberapa berupa benchmark, kadang-kadang
disebut sebagai baseline

• Standar BS7799 Inggris Britania Raya menetapkan
satu set kontrol dasar. Australia dan Selandia Baru
telah menerapkan kontrol berdasarkan BS 7799
• BSI IT Baseline Protection Manual Pendekatan dasar
juga diikuti oleh Jerman Bundesamt bulu Sicherheit in
der Informationstechnik (BSI). Baseline dimaksudkan
untuk memberikan keamanan yang wajar ketika
persyaratan perlindungan normal dimaksudkan.
Baseline juga dapat berfungsi sebagai dasar untuk
tingkat perlindungan yang lebih tinggi ketika mereka
yang diinginkan

• COBIT COBIT, dari Sistem Informasi Audit dan Kontrol
Asosiasi & Foundation (ISACA), berfokus pada proses
yang perusahaan dapat mengikuti mengembangkan
standar, memberikan perhatian khusus pada
penulisan dan memelihara dokumen
• GASSP Umumnya Diterima Prinsip Keamanan Sistem
(GASSP) adalah produk dari US National Research
Council. Penekanan pada pemikiran untuk
membangun kebijakan keamanan

• GMITS Pedoman Pengelolaan IT Security (GMITS)
adalah produk dari Organisasi Standar Internasional
(ISO) Joint Technical Committee dan menyediakan
daftar topik kebijakan keamanan informasi yang
harus disertakan dalam standar organisasi
• ISF Standar Praktek yang Baik Informasi Keamanan
Forum Standar Praktek yang baik mengambil
pendekatan awal, mencurahkan perhatian pada
perilaku pengguna yang diharapkan jika program ini
adalah untuk menjadi sukses

Ketetapan Pemerintah
Pemerintah di Amerika Serikat dan Inggris telah
menetapkan standar dan mengeluarkan undang-
undang yang bertujuan mengatasi semakin
pentingnya keamanan informasi:
• Standar Keamanan Komputer Pemerintah AS
• Inggris Anti-terorisme, Kejahatan dan Security
Act (ATCSA) 2001
• AS Pemerintah Internet Crime Legislasi

STANDAR INDUSTRI
• Pusat Internet Security (CIS) adalah sebuah
organisasi non profit yang didedikasikan untuk
membantu pengguna komputer untuk
membuat sistem mereka lebih aman
• CIS Benchmarks telah dibentuk dan
terintegrasi dalam paket perangkat lunak yang
menghitung "keamanan" skor pada skala 10-
point

SERTIFIKASI PROFESIONAL
Dimulai pada tahun 1960-an profesi TI mulai
menawarkan program sertifikasi:
• Sistem Informasi Audit dan Control Association
(ISACA)
• Sistem Informasi Keamanan Internasional
Sertifikasi Consortium (ISC)
• SANS (sysadmin, Audit, Network, Security)
Institute

MENEMPATKAN MANAJEMEN KEAMANAN
INFORMASI DALAM PERSPEKTIF
• Perusahaan harus menempatkan kebijakan manajemen
keamanan informasi sebelum meletakkan kontrol di tempat
• Kebijakan tersebut dapat didasarkan pada identifikasi
ancaman dan risiko atau pedoman yang diberikan oleh
pemerintah dan asosiasi industri
• Perusahaan menerapkan kombinasi kontrol teknis, formal, dan
informal diharapkan untuk menawarkan tingkat yang
diinginkan keamanan dalam parameter biaya dan sesuai
dengan pertimbangan lain yang memungkinkan perusahaan
dan sistem untuk berfungsi secara efektif

Business Continuity Management (BCM)
• Elemen kunci dalam BCM adalah rencana kontingensi, secara
resmi merinci tindakan yang akan diambil dalam hal ada
gangguan, atau ancaman gangguan, dalam setiap bagian dari
operasi komputasi perusahaan
• Sebaliknya menggunakan, rencana kontingensi tunggal yang
besar, pendekatan yang terbaik perusahaan adalah untuk
mengembangkan beberapa sub-rencana yang membahas
kontinjensi tertentu. Seperti:
1. Rencana darurat
2. Sebuah rencana cadangan
3. Sebuah catatan rencana penting

9
Menempatkan manajemen
Keberlangsungan Bisnis Dalam
Persfektifnya

MENEMPATKAN MANAJEMEN KONTINUITAS
USAHA DALAM PERSPEKTIF
• Banyak upaya telah dilakukan untuk perencanaan kontingensi
dan banyak informasi dan bantuan tersedia
• Beberapa perusahaan menggunakan rencana dikemas mereka
dapat beradaptasi dengan kebutuhan mereka
• Sistem Komputer memadatkan memasarkan Sistem Disaster
Recovery (DRS) yang mencakup sistem manajemen database,
petunjuk dan alat-alat yang dapat digunakan dalam menyusun
rencana pemulihan
• Ada juga pedoman dan menguraikan bahwa perusahaan dapat
menggunakan sebagai titik awal atau tolok ukur untuk
mencapai

Kepustakaan
1. McLeoad, Jr., Raymond & Gearge P. Schell. Management Infromation System.
(terjemahan), Jakarta : PT. INDEKS, 2007. Edisi 10, 2008
2. Kenneth C. Laudon, Jane P. Laudon, Sistem Informasi Manajemen, Mengelola
Perusahaan Global, Jakarta, Salemba Emappt, Edisi 12, 2008
3. HM. Jogiyanto. Analisis & Disain Sistem Infromasi : Pendekatan Terstruktur, Teori dan
Praktek Aplikasi Bisnis, Jogyakarta : Penerbit ANDI, 2002
Anjuran :
1. Hapzi Ali & Tonny Wangdra, Sistem Informasi Bisnis “SI-Bis” Dalam Prospektif
Keunggulan Kompetitif, Baduose Media, 2010
2. Hapzi Ali & Tonny Wangdra, Techopreneurship, Dalam Perspektif Bisnis Online,
Baduose Media, 2010
3. Hapzi Ali, Sistem Informasi Manajemen, Berbasis Teknologi Informasi, Hasta Cipta
Mandiri, Jogyakarta, 2009
4. Hapzi Ali, Pengenalan Komputer, Tuntunan Praktis untuk Pemula, Hasta Cipta
Mandiri, Jogjakarta, 2008
5. James A. Brain, Introduction to Information System, Perspektif Bisnis dan Managerial
(terjemahah), Salemba Empat, 2005

Wassalamu ‘alaikum, wr, wb
46
email : hapzi.ali@gmail.com

Kepustakaan
1. Ali, Hapzi, & Tonny Wangdra, 2010. Techopreneurship, Dalam Perspektif Bisnis
Online, Baduose Media Jakarta
2. Ali, Hapzi, Tonny Wangdra , 2010. Sistem Informasi Bisnis “SI-Bis” Dalam
Prospektif Keunggulan Kompetitif, Baduose Media Jakarta.
3. Ali, Hapzi, 2010. Membangun Citra Perbankan Melalui IT & CRM untuk
Meningkatkan Loyalitas Nasabah, Hasta Cipta Mandiri Yogyakarta
4. Ali, Hapzi Ali, 2009. Sistem Informasi Manajemen, Berbasis Teknologi Informasi,
Hasta Cipta Mandiri Yogyakarta
5. Ali, Hapzi Ali, 2008. Pengenalan Komputer, Tuntunan Praktis untuk Pemula, Hasta
Cipta Mandiri Yogyakarta
6. Debby Ratna Daniel, 2005. Wiwik Supratiwi, Sistem Informasi Manajemen,
Universitas Terbuka JakartaMcLeoad, Jr., Raymond & Gearge P. Schell.
Management Infromation System. (terjemahan), Jakarta : PT. INDEKS, 2007. Edisi
10, 2008
7. Kenneth C. Laudon, Jane P. Laudon, Sistem Informasi Manajemen, Mengelola
Perusahaan Global, Jakarta, Salemba Emappt, Edisi 12, 2008

10. hapzi ali, sim, keamanan sistem informasi

Recommended

Recommended

More Related Content

What's hot

What's hot (17)

Viewers also liked

Viewers also liked (20)

Similar to 10. hapzi ali, sim, keamanan sistem informasi

Similar to 10. hapzi ali, sim, keamanan sistem informasi (20)

More from Hapzi Ali

More from Hapzi Ali (20)

10. hapzi ali, sim, keamanan sistem informasi