Dokumen ini membahas pentingnya keamanan sistem informasi dalam berbagai organisasi dan tantangan yang dihadapi, termasuk rendahnya kesadaran akan keamanan. Ancaman terhadap sistem dan kelemahan dalam desain menjadi faktor utama yang meningkatkan risiko serangan, seperti virus dan hacking. Untuk mengatasi masalah ini, diusulkan berbagai kontrol keamanan dan metode pengendalian yang perlu diterapkan dalam sistem informasi.

1. Keamanan Sistem InformasiSistem Informasi ManajemenProgram Studi AkunansiMANAGEMENT INFORMATION SYSTEMS

2. PendahuluanInformasisaatinisudahmenjadisebuahkomoditi yang sangatpenting. Bahkanada yang mengatakanbahwakitasudahberadadisebuah “information-based society”. Kemampuanuntukmengaksesdan menyediakan informasi secara cepat dan akurat menjadi sangat esensialbagisebuahorganisasi, baik yang berupaorganisasikomersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi).

3. Survey Information Week (USA), 1271 system or network manager, hanya 22% yang menganggap keamanan sistem informasi sebagai komponen penting.Kesadaran akan masalah keamanan masih rendah!Pendahuluan

4. PendahuluanTahun 16-17 April 2004, seorang konsultan IT, Dani menyerang sistem pertahanan website KPU. Begitu ’sukses’ menembus website KPU, hacker muda itu meng-update table nama partai dan mengacak jumlah perolehan suaranya (dikalikan 10). Nama-nama peserta pemilu langsung diganti. Yang jelas, nama-nama baru parpol yang diduga karya iseng Dani itu menyebabkan negeri ini geger.Tahun 2009, Situs resmi Kabupaten Ngajuk berhasil dikerjai hacker. situs tersebut disusupi dengan konten video porno.

5. PendahuluanTahun 2009, situs Departemen Komunikasi dan Informatika (Depkominfo). Salah satu sub domain milik depkominfo, yang beralamat di www.ecom.depkominfo.go.id diketahui memiliki sistem keamanan web yang lemah. Jika masuk ke situs tersebut akan muncul pesan:“Dengan ini kami beritahukan bahwa security web ini masih sangat lemah. Mohon untuk diperiksa kembali,” tulis hacker dalam jejak yang ditinggalkannya di situs Depkominfo.

6. PendahuluanJumlahkejahatankomputer (computer crime), terutama yang berhubungandengansisteminformasi, akanterusmeningkatdikarenakan beberapa hal, antara lain:Aplikasibisnis yang menggunakan (berbasis) teknologiinformasidanjaringankomputersemakinmeningkat.Desentralisasi server sehinggalebihbanyaksistem yang harusditanganidanmembutuhkanlebihbanyak operator danadministrator yang handal. Padahalmencarioperator dan administrator yang handaladalahsangatsulit.

7. PendahuluanTransisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan masalah interoperability antar vendor yang lebihsulitditangani.Meningkatnyakemampuanpemakaidibidangkomputersehinggamulaibanyakpemakai yang mencoba-cobabermainataumembongkarsistem yang digunakannya.Kesulitandaripenegakhukumuntukmengejarkemajuanduniakomputerdantelekomunikasi yang sangatcepat.

8. PendahuluanSemakin kompleksnya sistem yang digunakan, seperti semakin besarnya program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang keamanan.Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan komputer yang global seperti Internet. Potensi sistem informasi yang dapat dijebol menjadi lebih besar.

9. PendahuluanMungkinkahAman?Sangat sulit mencapai 100% amanAdatimbalbalikantarakeamanan vs. kenyamanan (security vs convenience)

10. PendahuluanDefinisi computer security:Garfinkel& SpaffordA computer is secure if you can depend on it and its software to behave as you expectG. J. Simons Keamanan informasi adalah bagaimana kita dapatmencegahpenipuan (cheating) atau, paling tidak, mendeteksiadanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinyasendiritidakmemilikiartifisik.

11. Jika kita berbicara tentang keamanan sistem informasi, selalu kata kunci yang dirujuk adalah pencegahan dari kemungkinan adanya virus, hacker, cracker dan lain-lain. Padahal berbicara masalah keamanan sistem informasi maka kita akan berbicara kepada kemungkinan adanya resiko yang muncul atas sistem tersebut. Pendahuluan

12. Sehinggapembicaraantentangkeamanansistemtersebutmakakitaakanberbicara 2 masalahutamayaitu :Threats (Ancaman) atassistemdanVulnerability (Kelemahan) atassistemPendahuluan

13. PendahuluanMasalahtersebutpadagilirannyaberdampakkepada 6 hal yang utamadalamsisteminformasiyaitu :Efektifitas

14. Efisiensi

15. Kerahasiaan

16. Integritas

17. Keberadaan (availability)

18. Kepatuhan (compliance)

19. Keandalan (reliability)PendahuluanAdapunkriteriayagperludiperhatikandalammasalahkeamanansisteminformasimembutuhkan 10 domain keamanan yang perludiperhatikanyaitu :Akseskontrolsistem yang digunakanTelekomunikasi danjaringan yang dipakaiManajemenpraktis yang dipakaiPengembangansistemaplikasi yang digunakanCryptographs yang diterapkanArsitekturdarisisteminformasi yang diterapkanPengoperasian yang adaBusineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)KebutuhanHukum, bentukinvestigasidankodeetik yang diterapkanTata letakfisikdarisistem yang ada

20. ANCAMAN (Threats)Ancamanadalahaksi yang terjadibaikdaridalamsistemmaupundariluarsistem yang dapatmengganggukeseimbangansisteminformasi. Ancaman yang mungkintimbuldarikegiatanpengolahaninformasiberasaldari 3 halutama, yaitu :AncamanAlamAncamanManusiaAncamanLingkungan

21. ANCAMAN (Threats)Ancaman Alam Yang termasuk dalam kategori ancaman alam terdiri atas : Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai, pencairan salju Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletusAncaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut

22. ANCAMAN (Threats)Ancaman ManusiaYang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah : Malicious code Virus, Logic bombs, Trojan horse, Worm, active contents, CountermeasuresSocial engineeringHacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoorKriminalPencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakanTerorisPeledakan, Surat kaleng, perang informasi, perusakan

23. ANCAMAN (Threats)Ancaman LingkunganYang dapat dikategorikan sebagai ancaman lingkungan seperti : Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu yang cukup lamaPolusiEfek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dllKebocoran seperti A/C, atap bocor saat hujan

24. KELEMAHAN (Vurnerability)Adalahcacatataukelemahandarisuatusistem yang mungkintimbulpadasaatmendesain, menetapkanprosedur, mengimplementasikanmaupunkelemahanatassistemkontrol yang adasehinggamemicutindakanpelanggaranolehpelaku yang mencobamenyusupterhadapsistemtersebut.

25. KELEMAHAN (Vurnerability)Cacatsistembisaterjadipadaprosedur, peralatan, maupunperangkatlunak yang dimiliki, contoh yang mungkinterjadiseperti: Seting firewall yang membuka telnet sehinggadapatdiaksesdariluar, atauSeting VPN yang tidakdiikutiolehpenerapankerberosatau NAT.

26. KELEMAHAN (Vurnerability)Suatupendekatankeamanansisteminformasi minimal menggunakan 3 pendekatan, yaitu : 1. PendekatanPreventifyang bersifatmencegahdarikemungkinanterjadikanancamandankelemahan2. PendekatanDetectiveyang bersifatmendeteksidariadanyapenyusupandanproses yang mengubahsistemdarikeadaan normal menjadikeadaanabnormal3. PendekatanCorrective yang bersifatmengkoreksikeadaansistem yang sudahtidakseimbanguntukdikembalikandalamkeadaan normal

27. PENGENDALIAN KEAMANAN SISTEM INFORMASIBerkaitandengankeamanan system informasi, diperlukantindakanberupapengendalianterhadapsisteminformasi. Kontrol-kontroluntukpengamanansisteminformasiantara lain:KontrolAdministratifKontrolPengembangandanPemeliharaanSistemKontrolOperasiProteksiFisikterhadapPusat Data

28. PENGENDALIAN KEAMANAN SISTEM INFORMASIKontrolPerangkatKerasKontrolAksesterhadapSistem computerKontrolterhadapAksesInformasiKontrolterhadapBencanaKontrolTerhadapPerlidunganTerakhirKontrolAplikasi

29. KontrolAdministratifKontroladministratifdimaksudkanuntukmenjaminbahwaseluruhkerangkakontroldilaksanakansepenuhnyadalamorganisasiberdasarkanprosedur-prosedur yang jelas. Kontrolinimencakuphal-halberikut:Mempublikasikankebijakankontrolyang membuatsemuapengendaliansisteminformasidapatdilaksanakandenganjelasdanseriusolehsemuapihakdalamorganisasi.KontrolAdministratifProsedur yang bersifat formal danstandarpengoperasiandisosialisasikandandilaksanakandengantegas. Termasukhaliniadalahprosespengembangansistem, proseduruntukbackup, pemulihan data, danmanajemenpengarsipan data.

30. Perekrutanpegawaisecaraberhati-hati yang diikutidenganorientasipembinaan, danpelatihan yang diperlukan.KontrolAdministratifSupervisiterhadapparapegawai. Termasuk pula caramelakukan control kalaupegawaimelakukanpenyimpanganterhadap yang diharapkan.

31. Pemisahantugas-tugasdalampekerjaandengantujuan agar takseorangpun yang dapatmenguasaisuatuproses yang lengkap. Sebagaicontoh, seorangpemrogramharusdiusahakantidakmempunyaiaksesterhadap data produksi (operasional) agar tidakmemberikankesempatanuntukmelakukankecurangan.KontrolPengembangandanPemeliharaanSistemUntukmelindungikontrolini, peran auditor sisteminformasisangatlahpenting. Auditor sisteminformasiharusdilibatkandarimasapengembanganhinggapemeliharaan system, untukmemastikanbahwa system benar-benarterkendali, termasukdalamhalotorisasipemakaisistem. Aplikasidilengkapidenganaudit trailsehinggakronologitransaksimudahuntukditelusuri

32. KontrolOperasiKontroloperasidimaksudkan agar system beroperasisesuaidengan yang diharapkan. Termasukdalamkontrolini:Pembatasanakanaksesterhadap data

33. Kontrolterhadappersonelpengoperasi

34. Kontrolterhadapperalatan

35. Kontrolterhadappenyimpananarsip

36. Pengendalianterhadap virusUntukmengurangiterjangkitnya virus, administrator sistemharusmelakukantigakontrolberupapreventif, detektif, dankorektif.

38. ProteksiFisikterhadapPusat DataUntuk menjaga hal-hal yang tidak diinginkan terhadap pusat data.

39. Faktor lingkungan yang menyangkut suhu, kebersihan, kelembaban udara, bahaya banjir, dan keamanan fisik ruangan perlu diperhatikan dengan benar. KontrolPerangkatKerasUntuk mengatisipasi kegagalan sistem komputer, terkadang organisasi menerapkan sistem komputer yang berbasis fault-tolerant (toleran terhadap kegagalan).

40. Pada sistem ini, jika komponen dalam sistem mengalami kegagalan maka komponen cadangan atau kembarannya segera mengambil alih peran komponen yang rusakKontrolPerangkatKerasSistemfault-tolerant dapatditerapkanpada lima level, yaitupadakomunikasijaringan, toleransikegagalanterhadapjaringandilakukandenganmenduplikasijalurkomunikasidanprosesorkomunikasi.

41. prosesor, redundasiprosesordilakukanantaralaindenganteknikwatchdog processor, yang akanmengambilalihprosesor yang bermasalah. KontrolPerangkatKeraspenyimpan eksternal,terhadap kegagalan pada penyimpan eksternal antara lain dilakukan melalui disk memoring atau disk shadowing, yang menggunakan teknik dengan menulis seluruh data ke dua disk secara pararel. Jika salah satu disk mengalami kegagalan, program aplikasi tetap bisa berjalan dengan menggunakan disk yang masih baik.KontrolPerangkatKerascatudaya, toleransikegagalanpadacatudayadiatasimelalui UPS.

42. transaksi, toleransikegagalanpada level transaksiditanganimelaluimekanisme basis data yang disebutrollback, yang akanmengembalikankekeadaansemulayaitukeadaansepertisebelumtransaksidimulaisekiranyadipertengahanpemrosesantransaksiterjadikegagalan.KontrolAksesterhadapSistemKomputeruntuk melakukan pembatasan akses terhadap sistem, setiap pemakai sistem diberi otorisasi yang berbeda-beda. Setiap pemakai dilengkapi dengan nama pemakai dan password.

43. sistem-sistem yang lebih maju mengombinasikan dengan teknologi lain. Misalnya, mesin ATM menggunakan kartu magnetic atau bahkan kartu cerdas sebagai langkah awal untuk mengakses sistem dan kemudian baru diikuti dengan pemasukan PIN (personal identification number). KontrolAksesterhadapSistemKomputerTeknologi yang lebihcanggihmenggunakansifat-sifatbiologismanusia yang bersifatunik, sepertisidikjaridan retina mata, sebagaikunciuntukmengaksessistem

44. Padasistem yang terhubungke Internet, akses Intranet daripemakailuar (via Internet) dapatdicegahdenganmenggunakanfirewall. Firewall dapatberupa program ataupunperangkatkeras yang memblokiraksesdariluar intranet.KontrolterhadapAksesInformasiAda kemungkinan bahwa seseorang yang tak berhak terhadap suatu informasi berhasil membaca informasi tersebut melalui jaringan (dengan menggunakan teknik sniffer). Untuk mengantisipasi keadaan seperti ini, alangkah lebih baik sekiranya informasi tersebut dikodekan dalam bentuk yang hanya bisa dibaca oleh yang berhak

45. Studitentangcaramengubahsuatuinformasikedalambentuk yang takdapatdibacaolehorang lain dikenaldenganistilahkriptografi. Adapunsistemnyadisebutsistemkripto. Secaralebihkhusus, prosesuntukmengubahteksasli (cleartextatauplaintext) menjaditeks yang telahdilacak (cliphertext) dinamakanenskripsi, sedangkanproseskebalikannya, darichiphertextmenjadicleratext, disebutdekripsi.KontrolterhadapAksesInformasi

46. KontrolterhadapAksesInformasiDua teknik yang popular untuk melakukan enskripsi yaitu DES dan public-key encryptionDES merupakan teknik untuk melakukan enskripsi dan deskripsi yang dikembangkan oleh IBM pada tahun 1970-an. Kunci yang digunakan berupa kunci privat yang bentuknya sama. Panjang kunci yang digunakan sebesar 64 bit. Algoritma yang digunakan mengonversi satu blok berukuran 64 bit (8karakter) menjadi blok data berukuran 64 bit.

47. Sistem DES yang menggunakan kunci privat memiliki kelemahan yang terletak pada keharusan untuk mendistribusikan kunci ini. Pendistribusian inilah yang menjadi titik rawan untuk diketahui oleh pihak penyadap.KontrolterhadapAksesInformasi

48. KontrolterhadapAksesInformasiUntuk mengatasi kelemahan sistem kripto simetrik, diperkenalkan teknik yang disebut kriptografi kunci publik. Sistem ini merupakan model sistem kripto asimetrik, yang menggunakan kunci enkripsi dan dekripsi yang berbeda. Caranya adalah dengan menggunakan kunci privat dan kunci publik. Sebagai gambaran, bila pengirim S mengirimkan pesan ke penerima R, ia menggunakan kunci publik R dan kemudian R melakukan dekripsi dengan menggunakan kunci privat R.

49. KontrolTerhadapBencanaZwass (1998) membagirencanapemulihanterhadapbencanakedalam 4 komponen:Rencanadarurat (emergency plan)menentukantidakan-tindakan yang harusdilakukanolehparapegawaimanakalabencanaterjadi.Rencanacadangan (backup plan) menentukanbagaimanapemrosesaninformasiakandilaksanakanselamamasadarurat.

50. KontrolTerhadapBencanaRencana pemulihan (recovery plan) menentukan bagaimana pemrosesan akan dikembalikan ke keadaan seperti aslinya secara lengkap, termasu mencakup tanggung jawab masing-masing personil.Rencana pengujian (test plan) menentukan bagaimana komponen-komponen dalam rencana pemulihan akan diuji atau disimulasikan

51. KontrolTerhadapPerlidunganTerakhirKontrolterhadapperlindunganterakhirdapatberupa:Rencanapemulihanterhadapbencana.Asuransi.Asuransi merupakan upaya untuk mengurangi kerugian sekiranya terjadi bencana. Itulah sebabnya, biasanya organisasi mengansurasikan gedung atau asset-aset tertentu dengan tujuan kalau bencana terjadi, klaim asuransi dapat digunakan untuk meringankan beban organisasi

52. Kontrol TelekomunikasiKontrolAplikasiKontrolaplikasiadalahkontrol yang diwujudkansecarasesifikdalamsuatuaplikasisisteminformasi. Wilayah yang dicakupolehkontrolinimeliputi: KontrolMasukan

53. KontrolPemrosesan

54. KontrolKeluaran

55. Kontrol Basis Data

56. Kontrol TelekomunikasiKeamanan sistem informasi tidak dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan sistem itu sendiri.Kesimpulan

57. Budi Rahardjo, KeamananSistemInformasiBerbasis Internet, ismailzone.com/download/cryptography/Rahard-sec-handbook.pdf , Juli 2009Kentaro, KeamananSistemInformasiApadanBagaimana, http://www.sisteminformasi.com/2009/04/keamanan-sistem-informasi-apa-dan.html, Juli 2009Daftar Pustaka