Materi Kuliah ke 6

1. MATERI VI
KONSEP DASAR KEAMANAN INFRORMASI
A. LATAR BELAKANG PENTINGNYA KEAMANAN INFORMASI
Terdapat 2 faktor, mengapa keamanan sistem informasi sangat diperlukan, yaitu :
1. Tehnologi komunikasi modern (Internet) membawa beragam dinamika dari dunia
nyata ke dunia virtual dalam bentuk transaksi elektronis (misalnya e-banking) atau
komunikasi digital ( e-mail, messenger) . Hal tersebut membawa aspek positif
(kemudahan transkasi keuangan) maupun negatif (pencurian, pemalsuan,
penggelapan)
2. Informasi memiliki “nilai” (ekonomis, politis) atau obyek kepemilikan yang harus dijaga
a. Kartu kredit
b. Laporan keuangan perusahaan
c. Dokumen-dokumen rancangan produk baru
d. Dokumen-dokumen rahasia kantor/organisasi/ perusahaan
Beberapa hal yang menyebabkan Ssstem informasi rentan terhadap gangguan
keamanan yaitu :
1. Sistem yg dirancang untuk bersifat “terbuka” (mis: Internet)
a. Tidak ada batas fisik dan kontrol terpusat
b. Perkembangan jaringan (internetworking) yang amat cepat
2. Sikap dan pandangan pemakai
a. Aspek keamanan belum banyak dimengerti
b. Menempatkan keamanan sistem pada prioritas rendah
3. Keterampilan (skill) pengamanan kurang
Terdapat beberapa Jenis Serangan/Gangguan terhadap system informasi yaitu :
1. Serangan untuk mendapatkan akses (access attacks) ; berusaha mendapatkan
akses ke berbagai sumber daya komputer atau data/informasi
2. Serangan untuk melakukan modifikasi (modification attacks); didahului oleh usaha
untuk mendapatkan akses, kemudian mengubah data/informasi secara tidak sah

2. 3. Serangan untuk menghambat penyediaan layanan (denial of service attacks);
menghambat penyediaan layanan dengan cara mengganggu jaringan computer
B. TUJUAN KEAMANAN SISTEM INFORMASI
Keamanan system informasi dimaksudkan untuk mencapai tiga tujuan utama yaitu :
1. KErahasiaan; setiap organisasi berusaha untuk melindungi data dan informasi dari
pengungkapan pihak-pihak yang tidak berwenang. Sistem informasi yang perlu
mendapatkan prioritas tinggi adalah system informasi eksekutif, system informasi
kepegawaian, system informasi keuangan dan system informasi pemanfaatan
sumber daya alam.
2. Ketersediaan. Sistem dimaksudkan untuk selalu siap menyediakan data dan
informasi bagi mereka yang berwenang untuk menggunakannya. Tujuan ini penting
khususnya bagi sistem yang berorientasi informasi seperti SIM, DSS dan sistem pakar
(ES).
3. Integritas. Semua sistem dan subsistem yang dibangun harus mampu memberikan
gambaran yang lengkap dan akurat dari sistem fisik yang diwakilinya.
C. PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SISTEM
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari
pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena
mengamati setiap tahapan daam proses pengelolaan informasi.
Trust service Framework mengatur pengendalian kedalam lima prinsip yang mempunyai
saling berperan satu sama lain, yaitu :
1. Keamanan (security); akses dan kendali dibatasi terhadap pengguna yang sah.
2. Kerahasiaan (confidentiality); informasi organisasi yang bersifat sensitive dilindungi
dari pengungkapan yang tidah berijin.
3. Privasi (privacy); informasi pribadi pegawai, customer dan distributor dikelola dan
hanya digunakan sesuai dengan aturan dan dilindungi dari penyalahgunaan.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat,
lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.

3. 5. Ketersediaan (availability); system informasi tersedia untuk memenuhi setiap
kewajiban operasional.
D. DOMAIN KEAMANAN SISTEM INFORMASI
Terdapat 11 domain keamanan system informasisebagai tehnik pengamanan sitem
informasi. Domain tersebut adalah :
1. Pelaksanaan Pengelolaan Keamanan (Security management Practise)
Meliputi alur pertanggungjawaban , administrasi, model keamanan organisasi,
keperluan keamanan untuk bisnis, pengelolaan resiko, Analisa resiko , prosedur,
kebijakan lapisan keamanan, klasifikasi datadan sosialisasi aspek keamanan.
Contohnya adalah dengan melakukan klasifikasi terhadap hak akes pada suatu
berkas/file melalui pengaturan status berkas dengan mode R(Read), W(Write), X
(Execute)
2. Sistem dan metodologi pengendalian akses ( Access Control System and
Methodology)
Meliputi identifikasi, otentifikasi, otorisasi, model-model pengendalian akses,
administrasi pengendalian akses , administrasi pengendalian akses dan ancaman-
ancaman pengendalian akses. Contoh nya dengan identifikasi username, tanda
tangan, sidik jari, dan kartu anggota, kemudian melakukan otentifikasi dengan
menggunaakn password serta mengotorisasi hak akses.
3. Keamanan Telekomunikasi dan Jaringan (Telecommunications and Network
Security)
Meliputi pengamanan pada tujuah lapisan jaringan OSI layer, model rujukan protocol
TCP/IP, topologi LAN, MAN, WAN, VPN, perangkat jaringan kabel dan nirkabel serta
firewall
4. Kriptografi (Cryptography)
Merupakan metode untuk menyembunyikan informasi dengan cara melakukan
enkripsi atau pengacakan informasi agar tidak dapat dibaca oleh pengguna yang tidak
terotorisasi. Pengamaan dapat dilakukan dengan banyak metode kriptografi,
diantaranya kriptografi simetrik dan asimetrik. Implementasinya otorisasi dan
identifikasi dapat dilakukan dengan tanda tangan digital.

4. 5. Model dan Arsitektur Keamanan (Security Architecture & Models)
Melputi konsep, prinsip dan standar untuk merancang dan implementasi aplikasi,
sistem operasi dan sistem yang aman
6. Keamanan Pengoperasian (Operations Security)
Membahasa tentang cakupan pemisahan tugas dan wewenang, alur tanggung jawab
(akutabilitas), perekrutan sumber daya manusia, pengedalian keluaran/masukan,
pengedalian pengelolaan perubahan, penyerangan (Attack), penyusupan,
penanggulangan virus dan worm
7. Keamanan Aplikasi dan Pengembangan Sistem (Application and Systems
Development Security)
Meliputi Tingkatan Kerumitan Fungsi dan Aplikasi, Data, Pengelolaan Keamanan
Basis Data, SDLC( Systems Development Life Cycle) dari suatu aplikasi, metodology
pengembangan aplikasi dan pengendalian perubahan perangkat lunak.
8. Rencana Kesinambungan Usaha dan Pemulihan Bencana (Disaster Recovery
and Business Continuity Plan — DRP/BCP).
Meliputi Indentifikasi Sumber Daya Bisnis, Penentuan Nilai Bisnis, Analisa Kegagalan
(impact) Bisnis (BIA), Analisa Kerugian, Pengelolaan Prioritas dan Krisis, Rencana
Pengembangan, Rencana Implementasi dan Rencana Pemeliharaan
9. Hukum, Investigasi, dan Etika (Laws, Investigations and Ethics)
Membahas tentang Hukum, Aturan, dan Etika, Transaksi Elektronis perusahaan, Hak
Kekayaan Intelektual, Pembajakan, Undang-undang keamanan dan eksport,
Penyelidikan Kejahatan Komputer dan Privasi
10.Keamanan Fisik (Physical Security)
Mendefiniskan berbagai ancaman, resiko dan kontrol untuk pengamanan fasilitas
sistem informasi. Pengamanan serta kesiagaan dari adanya ancaman kerusakan fisik
akibat bencana atau kecelakaan teknis yang tidak terduga, seperti kebakaran,
sabotase hardware dll.
11.Audit (Auditing).
Konsep dasar auditing sistem informasi terkait dengan masalah keamanan sistem
informasi. Dengan dilakukan audit terhadap teknologi, kinerja serta kemajuan

5. penerapan sistem informasi. Akan didapatkan informasi-informasi teknis
pengamanan yang dapat membantu dalam meningkatkan keamanan suatu sistem
informasi.
Setelah mengetahui 11 domain teknis pengamanan sistem informasi, diharapkan
mampu diterapkan untuk meningkatkan keamanan pada suatu sistem informasi di
perusahaan.
E. IMPLEMENTASI PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK
KEANDALAN SISTEM PADA KSPPS SiraA
1. Keamanan (security); akses dan kendali dibatasi pada level Manajer dan
Pengurus
2. Kerahasiaan (confidentiality); segala informasi penting yang berkaitan dengan
organisasi koperasi hanya dapat diungkapkan seijin Pengurus
3. Privasi (privacy); informasi pribadi pegawai, data anggota, data debitur, dan data
nasabah koperasi hanya digunakan sesuai dengan peruntukan sesuai
kepentingannya dan diatur dalam SOP masing -masing bagian, serta dilindungi
dari penyalahgunaan.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat,
lengkap, tepat waktu dan hanya dengan otorisasi Manajer yang berwenang
dengan persetujuan Pengurus untuk proses eksekusi.
5. Ketersediaan (availability); system informasi dapat tersedia setiap waktu sesuai
dengan kepentingan Pengurus, Pengawas dan Anggota.
Referensi :
1. Pemaparan Kepala Subbidang Pengendalian Informasi, Pusat Sistem Informasi
dan Teknologi Keuangan (Pusintek), Bapak M. Taufik Hidayat,
http://www.bppk.kemenkeu.go.id/id/berita-ku/22960-pentingnya-keamanan-
sistem-informasi.

6. 2. https://novitanophe.wordpress.com/2012/10/10/tujuan-utama-adanya-keamanan-
sistem-informasi
3. http://andgaa.com/2013/10/11-domain-keamanan-sistem-informasi/
4. http://rms46.vlsm.org/2/130.pdf
5. http://adhismith.blogspot.com/2008/05/cara-mengamankan-sistem-informasi.html
6. http://mugi.or.id/blogs/oke/archive/2008/12/16/keamanan-sistem-informasi-apa-
dan-bagaimana.aspx
7. http://hadiwibowo.wordpress.com/2009/02/03/standar-sistem-manajemen-
keamanan-informasi-iso-17799/