Tiga jenis pengendalian keamanan informasi yang dibahas dalam dokumen ini adalah pengendalian teknis, formal, dan informal. Perusahaan harus menetapkan kombinasi pengendalian yang tepat berdasarkan biaya dan manfaatnya serta mempertimbangkan standar dan peraturan pemerintah agar tingkat keamanan informasi yang dicapai sesuai dengan target.
1. BAB 9
KEAMANAN INFORMASI
Nama : Ade Setiawan (0211-11-109)
Nama : Nuke Eka Mayasari (0211-11-112)
Dosen : Dr. Wonny Ahmad Ridwan,
SE.MM,CPHR.
Fakultas Ekonomi
Unpak
2. Tujuan Belajar
Memahami kebuhan organisasi akan keamanan
dan pengendalian
Memaham bahwa keamanan informasi berkaitan
dengan keamanan semua sumberdaya informasi
Memahami tiga tujuan utama keamanan informasi
Melihat hubungan yang logis antara ancaman,
resiko dan pengendalian
Memahami apa saja ancaman keamanan yang
utama
3. KEBUTUHAN ORGANISASI AKAN
KEAMANAN DAN PENGENDALIA
Dalam dunia masa kini, banyak organisasi
semakin dasar akan pentingnya menjaga seluruh
sumber daya mereka, baik yang bersifat virtual
maupun fisik, agar aman dari ancaman baik dalam
dan luar sistem komputer yang pertama hanya
memiliki sedikit perlindungan keamanan, namun
hal ini berubah pada saat perang Vietnam ketika
sejumlah instansi komputer di rusak oleh para
pemrotes.
4. KEAMANAN INFORMASI
Saat pemerintah dan kalangan industri mulai
menyadari kebutuhan untuk mengamankan
sumber daya informasi mereka, perhatian nyaris
terpukul secara eksklusif pada perlindungan
perantik keras dab data, maka istilah keamanan
sistem (Sistem security) pun di gunakan. Fokus
sempit ini kemudian di perluas sehingga
mencangkup bukan hanya perantik keras dan data,
namun juga peranti lunak, fasilitas komputer, dan
personel.
5. TUJUAN KEAMANAN INFORMASI
Kerahasian. Perusahaan berusaha untuk
melindungi data dan informasinya dari
pengungkapan kepada orang-orang yang tidak
berwenang.
Ketersediaan. Tujuannya dari infrastrukstur
informasi perusahaan adalah menyediakan data
dan informasi sedia bagi pihak-pihak yang
memiliki wewenang untuk menggunakannya.
Integritas. Semua sistem informasi harus
memberikan representasi akurat dan atas sistem
fisik yang direpresentasikannya.
6. MANAJEMEN KEAMANAN
INFORMASI
Seperti halnya cakupan keamanan informasi telah
meluas demikian juga pandangan akan tanggung
jawab manajemen tidak hanya di harapkan untuk
menjaga agar sumber daya informasi aman,
namun juga di harapkan untuk menjaga
perusahaan tersebut agar tetap berfungsi setelah
suatu bencana atau jebolnya sistem keamanan.
Aktivitas untuk menjaga agar sumber daya
informasi tetap aman disebut manajemen
keamanan informasi ( informatian security
management – ISM )
7. Strategi Manajemen Keamanan Informasi
Mengindentifikasi
ancaman Tolok ukur
Mengidentifikasi
resiko Menentukan
kebijakan
keamanan
Menentukan informasi
Kebijakan
keamanan
informasi
Menginflemen
tasikan
Menginpleme pengendalian
ntasikan
pengendalian
A. Manajemen Risiko B. Kepatuhan terhadap tolok ukur
8. PENGUNGKAPAN INFORMASI YANG
TIDAK TEROTORISASI DAN
PENCURIAN
Ketika suatu basis data dan perpustakaan peranti
lunak tersedia bagi orang-orang yang seharusnya
tidak berhak memilkiakses, hasinya dalah
hilangnya informasi atau atau uang . Sebagai
contoh, mata-mata industri dapat memperoleh
informasi mengenai kompetisi yang berharga, dan
kriminal komputer dapat menyeludupkan dana
perusahaan.
9. ANCAMAN INFORMASI
Ancaman informasi adalah (information security
tbreat) adalah orang organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk
membahayakan sumber daya informasi
perusahaan. Ketika kita membayangkan ancaman
keamanan informasi , adalah sesuatunyang di
alami jika kita membayangkan beberapa kelomok
atau beberapa orang di luar perusahaan tersebut
yang melakukan tindakan yang di sengaja.
10. PERSOALAN E-COMMERCE
E-comerce (perdagangan elektronik) telah
memperkenalkan suatu perusahaan keamanan
baru. Masalah ini bukanlah perlindungan data,
informasi, dan perangkat lunak, tapi perlindungan
dari pemalsuan kartu kredit. Menurut sebuah
survei yang dilakukan oleh Gartner Group,
pemalsuan kartu kredit 12 kali lebih sering terjadi
untuk para paritel e-commerce di bandingkan
dengan para pedagang yang berusan dengan
pelanggan mereka secara langsung. Untuk
mengatasi masalah ini,
11. KARTU KREDIT “SEKALI PAKAI”
Pada september 2000, america ekspres
mengumumkan sebuak kartu kredit “sekali pakai”
tindakan yang ditunjukan bagi 60 hingga 70
persen konsumen yang mengkhawatirkan
pemalsuan kartu kredit dari pengguanaa internet.
12. PRAKTIK KEAMANAN YANG
DIWAJIBKAN OLEH VISA
1. Memasang dan memelihara firewall.
2. Memperbaharui keamanan.
3. Melakukan ekskripsi pada data yang di simpan.
4. Melakukan ekskripsi pada data yang di
kirimkan.
5. Menggunakan dan memperbarui peranti lunak
antivirus
6. Membatasi akses data kepada orang-orang yang
ingin tahu.
13. MANAJEMEN RISIKO
1. Menganalisis kelemahan perusahaan tersebut.
2. Identifikasi aset-aset bisnis yang harus
dilindungi dari risiko.
3. Menentukan tingkatan dampak pada perusahaan
jika risiko benar-benar terjadi.
4. Menyadari risikonya.
14. Fase 1 Tim proyek
Inisiasi Penetapan
proyek
Komite pengawas proyek
keamanan
Fase 2 Pihak-pihak yang berminat dan
Penyusunan Konsultasi terpengaruh
Kebijakan
Fase 3
Konsultasi Manajemen
Konsultasi
dan
persetujuan
Fase 4
Pelatihan kesadaran dan Unit
Kesadaran edukuasi kebijakan organisasi
dan
pendidikan
Fase 5 Unit
Kebijakan keamanan
Penyebarluasan organisasi
dan kebijakan
15. PENGENDALIAN AKSES
1. Identifikasim pengguna. Para pengguna pertama
mengidentifikasi mereka dengan cara memberikan
sesuatu yang mereka ketahui, misalnya kata sandi
2. Otentifikasi pengguna. Setelah identifikasi awal
telah dilakukan, para pengguna memverifikasi hak
akses dengan cara memberikan sesuatu yang
mereka ketahui
3. Otorisasi pengguna. Setelah pemeriksaan
identifikasi dan autentikasidilalui, seseorang maka
dapat melakukan otorisasi untuk memasuki
tingkat/derajat penggunaan tertentu
16. FIREWALL
Sumber daya komputer selalu berada dalam
resiko jika terhubung ke jaringan. Salah satu
pendekatan keamanan adalah secara fisik
memisahkan situs Web perusahaan dengan
jaringan internal perusahaan yang berisikan data
sensitif dan sistem informasi.
Fungsi Firewallsebagai penyaring dan penghalang
yang membatasi aliran data ke dan dari
perusahaan tersebut dan interner
17. Lokasi firewall di jaringan
Firawall
penyaring
paket
internet router Jaringan komputer
internet
Firewall Fireewall
tingkat tingkat
sirkuit aplikasi
18. PENGENDALIAN KRIPTOGRAFIS
Data dan informasi yang tersimpan dan
ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan
kriptografi, yaitu penggunaan kode yang
menggunakan proses matematika. Data dan
informasi tersebut dapat dienkripsi dalam
penyimpanan dan juga di transmisikan ke dalam
jaringan
19. PENGENDALIAN FORMAL
Pengendalian formal mecangkup penemuan cara
berprilaku, dokumentasi produsen dan praktik
yang di harapkan. Pengawasan serta pencegahan
perilaku yang berbeda dari panduan yang berlaku.
Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk
menyusunnya. Dokumentasikan dalam bentuk
tulisan,
20. PENGENDALIAN INFORMAL
Pengendalian informal mencangkup program-
program pelatihan dan edukasi serta program
pembangunan dan manajemen. Pengendalian ini
di tujukan untuk menjaga agar para karyawan
perusahaan memahami serta mendukung program
keamanan tersebut
21. Pengendalian Kriptografis
informasi yang tersimpan dan ditranmisikan dapat dilindungi
dari pengungkapan yang tidak Terotorisasi dengan kriptografi.
Yaitu Penggunaan kode yang menggunakan proses- proses
matematika. Data dan informasi tersebut dapat dienkripsi
dalam penyimpanan dan juga ditranmisikan ke dalam
jaringan. Jika seseorang yang tidak memiliki Otorisasi
memperoleh akses, enkripsi tersebut akan membuat data dan
informasi yang dimaksud tidak berarti apa-apa dan mencegah
Kesalahan penggunaan.
22. PENGENDALIAN FISIK
Peringatan pertama terhadap gangguan yang tidak terotorisasi
adalah mengunci pintu ruangan komputer. Perkembangan
seterusnya menghasilkan kunci-kunci yang lebih canggih
yang dibuka dengan cetakan telapak tangan dan cetakan suara,
serta kamera pengintai dan alat penjaga keamanan.
Perusahaan dapat melaksanakan pengendaliian fisik hingga
Pada tahap tertinggi dengan cara menempatkan pusat
komputernya ditempat terpencil yang jauh darikota dan jauh
dari wilayah yang sensitif terhadap bencana alam seperti
gempa bumi, banjir, dan badai.
23. MELETAKAN PENGENDALIAN TEKNIS
PADA TEMPATNYA
Pengendalian teknis dikenal sebagai yang
terbaik untuk keamanan.perusahaan biasanya
memilih dari daftar ini dan menetapkan
kombinasi yang dianggap menawarkan
pengamanan yang paling realistis.
24. PENGENDALIAN FORMAL
Pengendalian formal mencangkup penentuan
cara berperilaku, dokumentasi prosedur dan
pratik yang diharapkan, dan pengawasan serta
pencegahan perilaku yang berbeda dari panduan
yang berlaku. Pengendalian ini bersifat formal
karena manajemen menghabiskan banyak waktu
untuk menyusunnya mendokumentasikannya
dalam bentuk tulisan, dan diharapkan untuk
berlaku dalam jangka panjang.
25. PENGENDALIAN INFORMAL
Pengendalian informal mencangkup
program- program pelatihan dan edukasi serta
program pembangunan manajemen.
Pengendalian ini ditunjukan untuk menjaga
agar para karyawan perusahaan pemahami
serta mendukung program keamanan
tersebut.
26. MENCAPAI TINGKAT PENGENDALIAN
YANG TEPAT
Ke tiga jenis pengendalian teknis, formal,dan
informal mengharuskan biaya. Karena
Bukanlah merupakan praktik bisnis yang baik
untuk menghabiskan lebih banyak uang pada
pengendalian dibandingkan biaya yang
diharapkan dari resiko yang akan terjadi,
maka pengendalian harus ditetapkan pada
tingkatan yang sesuai.
27. Dengan demikian, keputusan untuk
mengendalikan pada akhirnya di buat
berdasarkan biaya versus keuntungan, tapi
dalam beberapa industri terdapat pula
pertimbangan-pertimbangan lain
28. DUKUNGAN PEMERINTAH DAN INDUSTRI
Beberapa organisasi pemerintahan dan
internasional telah menentukan standar-
standar yang ditunjukan untuk menjadi
panduan bagi organisasi yang ingin
mendapatkan keamanan informasi. Beberapa
standar ini berbentuk tolok ukur, yang telah
diidentifikasikan sebelumnya sebagai
penyedia strategi
29. alternatif untuk manajemen resiko. Beberapa
pihak penentu standar menggunakan istilah
baseline(dasar) dan Bukannya benchmark
(tolok ukur).Organisasi tidak diwajibkan
mengikuti standar ini. Namun, standar ini
ditunjukan untuk memberikan bantuan
kepada perusahaan dalam menentukan
tingkat target keamanan.
30. Berikut ini adalah beberapa contohnya:
BS7799 milik inggris
BSI IT Baseline Protection Manual
Cobit
GASSP
ISF Standard Of Good Practice
31. PERATURAN PEMERINTAH
Pemerintah baik di amerika serikat maupun
inggris telah menentukan standar dan
menetapkan peraturan yang ditujukan untuk
menanggapi masalah pentinggnya keamanan
informasi yang makin meningkat,terutama
setelah peristiwa 9/11 dan semakin
memperluasnya internet serta peluang
terjadinya kejahatan komputer.
32. Beberapa diantaranya adalah:
Standar keamanan komputer pemerintah
amerika serikat
Undang- undang antiterorisme, kejahatan,
dan keamanan inggris (ATCSA)
33. STANDAR INDUSTRI
The center for internet security(CIS) adalah
organisasi nirlaba yang didedikasikan untuk
membantu para pengguna komputer guna
membuat sistem mereka lebih aman. Bantuan
diberikan melalui dua produk yaitu:
CIS Benchmarks dan CIS Scoring Tools.
34. SERTIFIKASI PROFESIONAL
Mulai tahun 1969-an, profesi IT mulai
menawarkan prorgam sertifikasi. Tiga contoh
berikut mengilustrasikan cakupan dari
program- program ini.
Asosiasi Audit Sistem dan Pengendalian
Konsorsium Sertifikasi Keamanan Sistem
Informasi Internasional
Institut SANS
35. MELETAKKAN MANAJEMEN
KEAMANAN INFORMASI PADA
TEMPATNYA
Perusahaan harus merancang kebijakan
manajemen keamanan informasi sebelum
menempatkan pengendalian. Kebijakan ini
dapat dibuat berdasarkanidentifikasi ancaman
atau resiko ataupun berdasarkan panduan
yang diberikan oleh pemerintah dan asosiasi
industri.
36. MANAJEMEN KEBERLANGSUNGAN
BISNIS
Aktivitas yang ditujukan untuk menentukan
operasional setelah terjadi gangguan sistem
informasi disebut dengan manajemen
keberlangsungan Bisnis ( business continuity
management-BCM). Pada tahun-tahun awal
penggunaan komputer, aktifitas ini disebut
perencanaan besar (disaster planning),
37. namun istilah yang lebih positif, perencanaan
kontinjensi(contingency plan), menjadi
populer. Elemen penting dalam perencanaan
kontinjensi adalah rencana kontinjensi
(contingency plan), yang merupakan
dokumen tertulis formal yang menyebutkan
secara detail tindakan-tindakan yang harus
dilakukan jika terjadi gangguan,atau ancaman
gangguan pada operasi komputasi perusahaan