1. KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERANGAN, TIPE-TIPE
PENGENDALIAN PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK
KEANDALAN SYSTEM
Oleh: Martina Melissa L. (55517120041)
Dosen: Prof. Dr. Hapzi Ali, CMA
Perkembangan teknologi informasi pada abad ke 21 ini telah memberikan
kepraktisan bagi masyarakat modern untuk melakukan berbagai kegiatan komunikasi
secara elektronik salah satunya dalam bidang seperti perdagangan pendidikan dan
perbankan. Kegiatan berbisnis secara elektronik ini dikenal dengan nama e-commerce.
Dengan teknologi informasi khususnya dengan jaringan computer yang luas seperti
internet. Barang dan jasa dapat dipromosikan secara luas dalam skala global.
Kepada calon konsumen pun diberikan kemudahan-kemudahan yang
memungkinkan mereka mengakses dan membeli produk dan jasa yang dimaksud secara
praktis. Misalnya pelayanan kartu kredit. Perkembangan ini rupanya membawa serta
dampak negative dalam hal keamanan. Praktek-praktek kejahatan dalam jaringan
computer kerap terjadi dan meresahkan masyarakat, misalnya pencurian sandi lewat
dan nomor rahasia kartu kredit. Akibat dari hal seperti ini aspek keamanan dan
penggunaan jaringan computer menjadi hal yang krusial.
Terdapat teknik serangan yang mendasarkan pada bunyi yang dihasilkan dari
peralatan seperti keyboard PC. Yaitu dengan membedakan bunyi yang dikeluarkan.
Sehingga metode ini dapat mengetahui tombol-tombol yang ditekan. Dalam
pengaplikasian lebih lanjut dapat diterapkan pada mesin computer, notebook, telepon,
sampai mesin ATM. Serangan menggunakan metode ini murah dan tidak langsung.
Murah karena selain tambahan computer, yang dibutuhkan hanyalah sebuah
microphone parabolic. Disebut tidak langsung karena tidak membutuhkan adanya
serangan fisik langsung ke system bunyi dapat direkam menggunakan peralatan
tamabahan.
A. KONSEP DASAR KEAMANAN INFORMASI DAN PEMAHAMAN SERANGANNYA
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat
mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti
fisik. Selain itu keamanan sistem informasi bisa diartikan sebagai kebijakan, prosedur,
dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah,
perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi.
Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan
2. menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan
perangkat keras dan lunak komputer, jaringan komunikasi, dan data.
Keamanan jaringan internet adalah manajemen pengelolaan keamanan yang
bertujuan mencegah, mengatasi, dan melindungi berbagai sistem informasi dari resiko
terjadinya tindakan ilegal seperti penggunaan tanpa izin, penyusupan, dan perusakan
terhadap berbagai informasi yang di miliki. Resiko terhadap keamanan sistem informasi
mencakup dua hal utama yaitu ancaman terhadap keamanan system informasi dan
kelemahan keamanan system informasi.
Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem
informasi yaitu :
• Efektifitas
• Efisiensi
• Kerahaasiaan
• Integritas
• Keberadaan (availability)
• Kepatuhan (compliance)
• Keandalan (reliability)
Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat
terkriteriakan dengan baik. Adapun kriteria yang perlu di perhatikan dalam masalah
keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di
perhatikan yaitu :
1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang di pakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada
Dari domain tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan
berdasarkan ancaman dan kelemahan sistem yang dimiliki.
Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam
sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem
informasi. Ancaman terhadap keamanan informasi berasal dari individu, organisasi,
mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada
sumber-sumber informasi. Pada kenyataannya ancaman dapat bersifat internal, yaitu
3. berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan.
Ancaman juga dapat terjadi secara sengaja ataupun tidak sengaja. Ancaman selama ini
hanya banyak di bahas dikalangan akademis saja. Tidak banyak masyarakat yang
mengerti tentang ancaman bagi keamanan sistem informasi mereka. Masyarakat hanya
mengenal kejahatan teknologi dan dunia maya hanya apabila sudah terjadi “serangan“
atau “attack”. Sebuah hal yang perlu disosialisasikan dalam pembahasan tentang
keamanan sistem terhadap masyarakat adalah mengenalkan “ancaman” kemudian baru
mengenalkan ‘serangan’ kepada masyarakat. Perlu di ketahui bahwa serangan dimulai
dengan ancaman, dan tidak akan ada serangan sebelum adanya ancaman. Serangan
dapat diminimalisir apabila ancaman sudah diprediksi dan dipersiapkan antisipasi
sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui metode-metode
penilaian resiko dari sebuah ancaman.
Ada beberapa metode yang digunakan dalam mengklasifikasikan ancaman, salah
satunya adalah Stride Method (metode stride). STRIDE merupakan singkatan dari:
1. Spoofing yaitu menggunakan hak akses/mengakses sistem dengan menggunakan
identitas orang lain.
2. Tampering yaitu tanpa mempunyai hak akses namun dapat mengubah data yang ada
didalam database.
3. Repudiation yaitu membuat sebuah sistem atau database dengan sengaja salah, atau
sengaja menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi
sehingga dapat digunakan untuk mengakses sistem pada suatu saat.
4. Information disclosure yaitu membuka atau membaca sebuah informasi tanpa
memiliki hak akses atau membaca sesuatu tanpa mempunyai hak otorisasi.
5. Denial of service yaitu membuat sebuah sistem tidak bekerja atau tidak dapat
digunakan oleh orang lain.
6. Elevation of priviledge yaitu menyalahgunakan wewenang yang dimiliki untuk
mengakses sebuah system untuk kepentingan pribadi.
Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila seseorang
diketahui membawa senjata tajam kemanapun dia pergi maka dapat dikatakan orang
tersebut dapat merupakan ancaman bagi orang lain. Hal lain didunia nyata adalah pada
saat diketahui seseorang membawa kunci T di sakunya maka dapat disimpulkan orang
tersebut adalah merupakan ancaman bagi orang lain yang membawa kendaraan
bermotor. Didalam dunia keamanan sistem atau dunia teknologi informasi seseorang
dapat dikatakan berpotensi sebagai ancaman apabila memiliki hal sebagai berikut:
a. Kewenangan tinggi untuk login kedalam sebuah sistem.
b. Memiliki hak akses (password) seseorang yang dia ketahui dari berbagai sumber.
c. Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian
dibidang itu.
d. Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem
tersebut.
4. Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi
yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk
mencapai tiga sasaran utama yaitu:
1. Kerahasiaan
Melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang
tidak berhak. Inti utama dari aspek kerahasiaan adalah usaha untuk menjaga informasi
dari orang-orang yang tidak berhak mengakses.Privacy lebih kearah data-data yang
sifatnya privat.Serangan terhadap aspek privacy misalnya usaha untuk melakukan
penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan privacy adalah
dengan menggunakan teknologi kriptografi.Kriptografi adalah ilmu yang mempelajari
teknik-teknik matematika yang berhubungan dengan aspek keamanan informasi seperti
keabsahan, integritas data, serta autentikasi data.
2. Ketersediaan
Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi
benar-benar asli, atau orang yang mengakses atau memberikan informasi adalah betul-
betul orang yang dimaksud. Masalah pertama untuk membuktikan keaslian dokumen
dapat dilakukan dengan teknologi watermarking dan digital signature.Watermarking
juga dapat digunakan untuk menjaga intelektual property, yaitu dengan
menandatangani dokumen atau hasil karya pembuat. Masalah kedua biasanya
berhubungan dengan akses control, yaitu berkaitan dengan pembatasan orang-orang
yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bahwa
memang dia adalah pengguna yang sah atau yang berhak menggunakannya.
3. Integritas
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik
informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi
tanpa izin. Sistem informasi perlu menyediakan representasi yang akurat dari sistem
fisik yang direpresentasikan.
Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus.
Virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri tanpa
pengetahuan pengguna. Ancaman dalam sistem informasi merupakan serangan yang
dapat muncul pada sistem yang digunakan. Serangan dapat diartikan sebagai “tindakan
yang dilakukan dengan menggunakan metode dan teknik tertentu dengan berbagai
tools yang diperlukan sesuai dengan kebutuhan yang disesuaikan dengan objek
serangan tertentu baik menggunakan serangan terarah maupun acak“. Serangan yang
terjadi terhadap sebuah sistem jaringan dikalangan praktisi lazim sering disebut dengan
penetration. Dalam materi keamanan sistem dikenal sangat banyak dan beragam teknik
serangan terhadap sebuah sistem sesuai dengan sifat dan karakteristiknya. Teknik
5. serangan semakin lama semakin canggih dan sangat sulit di prediksi dan dideteksi.
Beberapa contoh serangan yang dapat mengancam sebuah sistem adalah sebagai
berikut:
1. Virus
Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun 1980-
an, virus berkembang pesat seiring dengan pesatnya perkembangan teknologi
komputer. Virus selalu menemukan dan menyesuaikan diri untuk menyebarkan dirinya
dengan berbagai macam cara. Pada dasarnya, virus merupakan program komputer yang
bersifat “malicious” (memiliki tujuan merugikan maupun bersifat mengganggu
pengguna sistem) yang dapat menginfeksi satu atau lebih sistem komputer melalui
berbagai cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user” sebagai
pengguna komputer. Kerusakan yang dapat ditimbulkan pun bermacam-macam mulai
dari yang mengesalkan sampai kepada jenis kerusakan yang bersifat merugikan dalam
hal finansial.
Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah
disebabkan oleh campur tangan pengguna. Campur tangan yang dimaksud misalnya
dilakukan melalui penekanan tombol pada keyboard, penekanan tombol pada mouse,
penggunaan USB pada komputer, pengiriman file via email, dan lain sebagainya.
2. Worms
Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah
“virus” merupakan program malicious yang dirancang terutama untuk menginfeksi
komputer yang berada dalam sebuah sistem jaringan. Walaupun sama-sama sebagai
sebuah penggalan program, perbedaan prinsip yang membedakan worms dengan virus
adalah bahwa penyebaran worm tidak tergantung pada campur tangan manusia atau
pengguna. Worms merupakan program yang dibangun dengan algoritma tertentu
sehingga mampu untuk mereplikasikan dirinya sendiri pada sebuah jaringan komputer
tanpa melalui bantuan maupun keterlibatan pengguna. Pada mulanya worms diciptakan
dengan tujuan untuk mematikan sebuah sistem atau jaringan komputer. Namun
belakangan ini telah tercipta worms yang mampu menimbulkan kerusakan luar biasa
pada sebuah sistem maupun jaringan komputer, seperti merusak file-file penting dalam
sistem operasi, menghapus data pada hard disk, menghentikan aktivitas komputer , dan
hal-hal destruktif lainnya. Karena karakteristiknya yang tidak melibatkan manusia,
maka jika sudah menyebar sangat sulit untuk mengontrol atau mengendalikannya.
Usaha penanganan yang salah justru akan membuat pergerakan worms menjadi
semakin liar tak terkendali untuk itulah dipergunakan penanganan khusus dalam
menghadapinya.
6. 3. Trojan Horse
Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang
digunakan untuk merebut kota Troy yang dikelilingi benteng yang kuat. Pihak
penyerang membuat sebuah patung kuda raksasa yang di dalamnya memuat beberapa
prajurit yang nantinya ketika sudah berada di dalam wilayah benteng akan keluar untuk
melakukan peretasan dari dalam. Ide ini mengilhami sejumlah hacker dan cracker
dalam membuat virus atau worms yang cara kerjanya mirip dengan fenomena taktik
perang ini, mengingat banyaknya antivirus yang bermunculan maka mereka
menciptakan sesuatu yang tidak dapat terdeteksi oleh antivirus.
Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis Trojan Horse,
antara lain:
a. Remote Access Trojan-kerugian yang ditimbulkan adalah komputer korban dapat
diakses menggunakan remote program.
b. Password Sending Trojan-kerugian yang ditimbulkan adalah password yang diketik
oleh komputer korban akan dikirimkan melalui email tanpa sepengetahuan dari
korban serangan.
c. Keylogger-kerugian yang ditimbulkan adalah ketikan atau input melalui keyboard
akan dicatat dan dikirimkan via email kepada hacker yang memasang keylogger.
d. Destructive Trojan–kerugian yang ditimbulkan adalah file-file yang terhapus atau
hard disk yang diformat oleh Trojan jenis ini.
e. FTP Trojan–kerugian yang terjadi adalah dibukanya port 21 dalam sistem komputer
tempat dilakukannya download dan upload file.
f. Software Detection Killer–kerugiannya dapat mencium adanya program-program
keamanan seperti zone alarm, anti-virus, dan aplikasi keamanan lainnya.
g. Proxy Trojan–kerugian yang ditimbulkan adalah di-“settingnya” komputer korban
menjadi “proxy server” agar digunakan untuk melakukan “anonymous telnet”,
sehingga dimungkinkan dilakukan aktivitas belanja online dengan kartu kredit curian
dimana yang terlacak nantinya adalah komputer korban, bukan komputer pelaku
kejahatan.
Pada umumnya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan
(preventif) dan pengobatan (recovery). Usaha pencegahan dilakukan agar sistem
informasi tidak memiliki lubang keamanan, sementara usaha-usaha pengobatan
dilakukan apabila lubang keamanan sudah dieksploitasi. Pengamanan sistem informasi
dapat dilakukan melalui beberapa layer yang berbeda. Misalnya di layer “transport”,
dapat digunakan“Secure Socket Layer” (SSL). Metoda ini misalnya umum digunakan
untuk Web Site. Secara fisik, sistem anda dapat juga diamankan dengan menggunakan
“firewall” yang memisahkan sistem anda dengan Internet. Penggunaan teknik enkripsi
dapat dilakukan ditingkat aplikasi sehingga data-data anda atau e-mail anda tidak dapat
dibaca oleh orang yang tidak berhak.
7. 1. Mengatur akses (Access Control)
Salah satu cara yang umum digunakan untuk mengamankan informasi adalah
dengan mengatur akses ke informasi melalui mekanisme “access control”. Implementasi
dari mekanisme ini antara lain dengan menggunakan “password”. Di sistem UNIX, untuk
menggunakan sebuah sistem atau komputer, pemakai diharuskan melalui proses
authentication dengan menuliskan “userid” dan “password”. Informasi yang diberikan
ini dibandingkan dengan userid dan password yang berada di sistem. Apabila keduanya
valid, pemakai yang bersangkutan diperbolehkan menggunakan sistem. Apabila ada
yang salah, pemakai tidak dapat menggunakan sistem. Informasi tentang kesalahan ini
biasanya dicatat dalam berkas log. Besarnya informasi yang dicatat bergantung kepada
konfigurasi dari sistem setempat. Misalnya, ada yang menuliskan informasi apabila
pemakai memasukkan userid dan password yang salah sebanyak tiga kali. Ada juga yang
langsung menuliskan informasi ke dalam berkas log meskipun baru satu kali salah.
Informasi tentang waktu kejadian juga dicatat. Selain itu asal hubungan (connection)
juga dicatat sehingga administrator dapat memeriksa keabsahan hubungan.
2. Memilih password
Dengan adanya kemungkinan password ditebak, misalnya dengan menggunakan
program password cracker, maka memilih password memerlukan perhatian khusus.
3. Memasang proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksi dapat
ditambahkan. Proteksi ini dapat berupa filter (secara umum) dan yang lebih spesifik
adalah firewall. Filter dapat digunakanuntuk memfilter e-mail, informasi, akses, atau
bahkan dalam level packet.
4. Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan
jaringan internal. Informasi yang keluar atau masuk harus melalui firewall ini. Tujuan
utama dari firewall adalah untuk menjaga (prevent) agar akses (ke dalam maupun ke
luar) dari orang yang tidak berwenang (unauthorized access) tidak dapat dilakukan.
Konfigurasi dari firewall bergantung kepada kebijaksanaan (policy) dari organisasi yang
bersangkutan.
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang
melewatinya. Berdasarkan konfigurasi dari firewall makaakses dapat diatur
berdasarkan IP address, port, dan arah informasi.Detail dari konfigurasi bergantung
kepada masing-masing firewall.Firewall dapat berupa sebuah perangkat keras yang
sudahdilengkapi dengan perangkat lunak tertentu, sehingga pemakai(administrator)
tinggal melakukan konfigurasi dari firewall tersebut.
8. 5. Pemantau adanya serangan
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya
tamu tak diundang (intruder) atau adanya serangan (attack). Nama lain dari sistem ini
adalah “intruder detection system” (IDS). Sistem ini dapat memberitahu administrator
melalui e-mail maupun melalui mekanisme lain seperti melalui pager. Ada berbagai cara
untuk memantau adanya intruder. Ada yang sifatnya aktif dan pasif. IDS cara yang pasif
misalnya dengan memonitor logfile. Contoh software IDS antara lain: Autobuse,
mendeteksi probing dengan memonitor logfile, Courtney, mendeteksi probing dengan
memonitor packet yang lalu lalang dan Shadow dari SANS.
Aspek keamanan sistem informasi:
• Authentication: agar penerima informasi dapat memastikan keaslian pesan tersebut
datang dari orang yang dimintai informasi.
• Integrity: keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan
bahwa informasi yang dikirim tidak dimodifikasi oleh orang yang tidak berhak dalam
perjalanan informasi tersebut.
• Authority: Informasi yang berada pada sistem jaringan tidak dapat dimodifikasi oleh
pihak yang tidak berhak atas akses tersebut.
• Confidentiality: merupakan usaha untuk menjaga informasi dari orang yang tidak
berhak mengakses.
• Privacy: merupakan lebih ke arah data-data yang sifatnya privat (pribadi).
Aspek ancaman keamanan komputer atau keamanan sistem informasi
• Interruption: informasi dan data yang ada dalam sistem komputer dirusak dan
dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.
• Interception: Informasi yang ada disadap atau orang yang tidak berhak mendapatkan
akses ke komputer dimana informasi tersebut disimpan.
• Modifikasi: orang yang tidak berhak berhasil menyadap lalu lintas informasi yang
sedang dikirim dan diubah sesuai keinginan orang tersebut.
• Fabrication: orang yang tidak berhak berhasil meniru suatu informasi yang ada
sehingga orang yang menerima informasi tersebut menyangka informasi tersebut
berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.
Metodologi Keamanan Sistem Informasi:
• Keamanan level 0: keamanan fisik, merupakan keamanan tahap awal dari komputer
security. Jika keamanan fisik tidak terjaga dengan baik, maka data-data bahkan
hardware komputer sendiri tidak dapat diamankan.
9. • Keamanan level 1: terdiri dari database, data security, keamanan dari PC itu sendiri,
device, dan application. Contohnya: jika kita ingin database aman, maka kita harus
memperhatikan dahulu apakah application yang dipakai untuk membuat desain
database tersebut merupakan application yang sudah diakui keamanannya seperti
oracle. Selain itu kita harus memperhatikan sisi lain yaitu data security. Data security
adalah cara mendesain database tersebut. Device security adalah alat-alat apa yang
dipakai supaya keamanan dari komputer terjaga. Computer security adalah
keamanan fisik dari orang-orang yang tidak berhak mengakses komputer tempat
datadase tersebut disimpan.
• Keamanan level 2: adalah network security. Komputer yang terhubung dengan
jaringan sangat rawan dalam masalah keamanan, oleh karena itu keamanan level 2
harus dirancang supaya tidak terjadi kebocoran jaringan, akses ilegal yang dapat
merusak keamanan data tersebut.
• Keamanan level 3: adalah information security. Keamanan informasi yang kadang
kala tidak begitu dipedulikan oleh administrator seperti memberikan password ke
teman, atau menuliskannya dikertas, maka bisa menjadi sesuatu yang fatal jika
informasi tersebut diketahui oleh orang yang tidak bertanggung jawab.
• Keamanan level 4: merupakan keamanan secara keseluruhan dari komputer. Jika
level 1-3 sudah dapat dikerjakan dengan baik maka otomatis keamanan untuk level 4
sud
Cara Mendeteksi Suatu Serangan Atau Kebocoran Sistem:
Terdiri dari 4 faktor yang merupakan cara untuk mencegah terjadinya serangan atau
kebocoran sistem :
• Desain sistem: desain sistem yang baik tidak meninggalkan celah-celah yang
memungkinkan terjadinya penyusupan setelah sistem tersebut siap dijalankan.
• Aplikasi yang Dipakai: aplikasi yang dipakai sudah diperiksa dengan seksama untuk
mengetahui apakah program yang akan dipakai dalam sistem tersebut dapat diakses
tanpa harus melalui prosedur yang seharusnya dan apakah aplikasi sudah
mendapatkan kepercayaan dari banyak orang.
• Manajemen : pada dasarnya untuk membuat suatu sistem yang aman/terjamin tidak
lepas dari bagaimana mengelola suatu sistem dengan baik. Dengan demikian
persyaratan good practice standard seperti Standard Operating Procedure (SOP)
haruslah diterapkan di samping memikirkan hal teknologinya.
• Manusia (Administrator): manusia adalah salah satu fakor yang sangat penting, tetapi
sering kali dilupakan dalam pengembangan teknologi informasi dan dan sistem
keamanan. Sebagai contoh, penggunaan password yang sulit menyebabkan pengguna
malah menuliskannya pada kertas yang ditempelkan di dekat komputer. Oleh karena
itu, penyusunan kebijakan keamanan faktor manusia dan budaya setempat haruslah
sangat diperhatikan.
10. Langkah keamanan sistem informasi:
• Aset: Perlindungan aset merupakan hal yang penting dan merupakan langkah awal
dari berbagai implementasi keamanan komputer. Contohnya: ketika mendesain
sebuah website e-commerce yang perlu dipikirkan adalah keamanan konsumen.
Konsumen merupakan aset yang penting, seperti pengamanan nama, alamat, ataupun
nomor kartu kredit.
• Analisis Resiko: adalah tentang identifikasi akan resiko yang mungkin terjadi, sebuah
even yang potensial yang bisa mengakibatkan suatu sistem dirugikan.
• Perlindungan : Kita dapat melindungi jaringan internet dengan pengaturan Internet
Firewall yaitu suatu akses yang mengendalikan jaringan internet dan menempatkan
web dan FTP server pada suatu server yang sudah dilindungi oleh firewall.
• Alat: alat atau tool yang digunakan pada suatu komputer merupakan peran penting
dalam hal keamanan karena tool yang digunakan harus benar-benar aman.
• Prioritas: Jika keamanan jaringan merupakan suatu prioritas, maka suatu organisasi
harus membayar harga baik dari segi material maupun non material. Suatu jaringan
komputer pada tahap awal harus diamankan dengan firewall atau lainnya yang
mendukung suatu sistem keamanan.
Strategi dan taktik keamanan sistem informasi:
• Keamanan fisik: lapisan yang sangat mendasar pada keamanan sistem informasi
adalah keamanan fisik pada komputer. Siapa saja memiliki hak akses ke sistem. Jika
hal itu tidak diperhatikan, akan terjadi hal-hal yang tidak dikehendaki.
• Kunci Komputer: banyak case PC modern menyertakan atribut penguncian. Biasanya
berupa soket pada bagian depan case yang memungkinkan kita memutar kunci yang
disertakan ke posisi terkunsi atau tidak.
• Keamanan BIOS: BIOS adalah software tingkat terendah yang mengonfigurasi atau
memanipulasi hardware. Kita bisa menggunakan BIOS untuk mencegah orang lain
me-reboot ulang komputer kita dan memanipulasi sisten komputer kita.
• Mendeteksi Gangguan Keamanan Fisik: hal pertama yang harus diperhatikan adalah
pada saat komputer akan di-reboot. Oleh karena Sistem Operasi yang kuat dan stabil,
saat yang tepat bagi komputer untuk reboot adalah ketika kita meng-upgrade SO,
menukar hardware dan sejenisnya.
11. B. TIPE-TIPE PENGENDALIAN
Pengendalian sistem informasi merupakan bagian yang tak dapat dipisahkan dari
pengelolaan sistem informasi, bahkan melaksanakan fungsi yang sangat penting karena
mengamati setiap tahapan dalam proses pengelolaan informasi. Pengendalian sistem
informasi adalah keseluruhan kegiatan dalam bentuk mengamati, membina, dan
mengawasi pelaksanaan mekanisme. Organisasi pada saat ini bergantung pada
teknologi informasi (TI), seperti memindahkan sebagaian dari sistem informasinya ke
cloud.
1. Pengendalian Preventif
Yaitu pengendalian yang mencegah masalah sebelum timbul. Pengendalian
preventif yang digunakan organisasi secara umum digunakan untuk membatasi akses
terhadap sumber daya informasi. COBIT 5 mengidentifikasi kemampuan dan
kompetensi pegawai sebagai sebuah fasilitator kritis lainnya untuk keamanan informasi
yang eefektif. Oleh karena itu, pelatihan adalah sebuah pengendalian preventif yang
kritis. Seluruh pegawai harus diajarkan tentang pentingnya ukuran-ukuran keamanan
bagi kebertahanan jangka panjang organisasi. Selain itu, pegawai juga dilatih untuk
mengikuti praktik-praktik komputasi yang aman. Investasi organisasi dalam pelatihan
keamanan akan menjadi efektif hanya jika manajemen mendemontrasikan dengan jelas
bahwa mereka mendukung para pegawai yang mengikuti kebijakan keamanan. Penting
memahami bahwa “orang luar” bukan satu-satunya sumber ancaman. Oleh karena itu,
organisasi menerapkan satu set pengendalian untuk melindungi aset informasi.
Praktik manajemen COBIT 5 DSS05.04 menetapkan dua pengendalian atas ancaman
terhadap aset informasi:
a. Pengendalian autentifikasi, memverifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem. Pengendalian ini membatasi siapa saja yang dapat
mengakses sistem informasi organisasi.
b. Pengendalian otorisasi, proses memperketat akses pengguna terotorisasi atas bagian
spesifik sistem dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk
dilakukan.
2. Pengendalian Detektif
Yaitu pengendalian yang didesain untuk menemukan masalah pengendalian yang
tidak terelakan. Sebagaian besar sistem muncul dengan kemampuan ekstensif untuk
mencatat (logging) siapa yang mengakses sistem. Sejumlah log yang dibuat menciptakan
sebuah jejak audit pada akses sistem. Analisis log adalah proses pemeriksaan log untuk
mengidentifikasi bukti kemungkinan serangan. Sedangkan, sistem deteksi gangguan
(intrusion detection system) merupakan sebuah sistem yang menghasilkan sejumlah log
dari seluruh lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian
12. menganalisis log-log tersebut sebagai tanda atas gangguan yang diupayakan atau
berhasil dilakukan.
Organisasi perlu untuk secara periodik menguji efektivitas proses bisnis dan
pengendalian internal. Sebuah uji penetrasi adalah sebuah upaya terotorisasi untuk
menerobos ke dalam sistem informasi organisasi. Oleh karena itu, Praktik manajemen
COBIT 5 menekankan pentingnya pengawasan berkelanjutan dan kepatuhan pegawai
terhadap kebijakan keamanan informasi organisasi serta kinerja keseluruhan proses
bisnis.
3. Pengendalian Korektif
Yaitu pengendalian yang mengidentifikasi dan memperbaiki masalah serta
memperbaiki dan memulihkan dari kesalahan yang dihasilkan. Terdapat tiga
pengendalian korektif yang penting:
a. Pembentukan sebuah tim perespon insiden komputer (computer incident response
team–CIRT). Merupakan sebuah tim yang bertanggung jawab untuk mengatasi
insiden keamanan utama. Sebuah CIRT harus mengarahkan proses respon insiden
organisasi melalui empat tahap: 1). Pemberitahuan(recognition) adanya sebuah
masalah; 2). Penahanan (containment) masalah; 3). Pemulihan (recovery); dan 4).
Tindak lanjut (foloow up).
b. Pendesainan individu khusus (Chief Informastion Security Officer – CISO). Penting
agar organisasi menentukan pertanggungjawaban atas keamanan informasi kepada
seseorang di level manajemen senior yang tepat. satu cara untuk memenuhi sasaran
adalah menciptakan posisi CISO, yang harus independen dari fungsi-fungsi sistem
informasi lainnya serta harus melapor baik ke chief operating officer (COO) maupun
chief executive officer (CEO). Oleh karena itu, CISO harus memiliki tanggung jawab
untuk memastikan bahwa penilaian kerentanan dan risiko dilakukan secara teratur
serta audit keamanan dilakukan secara periodik.
c. Penetapan serta penerapan sistem manajemen path yang didesain dengan baik.
Patch adalah kode yang dirilis oleh pengembang perangkat lunak untuk
memperbaiki kerentanan tertentu. Manajemen patch adalah proses untuk secara
teratur menerapkan patch dan memperbarui seluruh perangkat lunak yang
digunakan oleh organisasi. Oleh karena sejumlah patch merepresentasikan
modifikasi perangkat lunak yang sungguh rumit, maka organisasi perlu menguji
dengan cermat efek dari patch sebelum menyebarkannya.
13. PENGENDALIAN UMUM DAN APLIKASI
1. PENGENDALIAN UMUM
Yaitu pengendalian yang didesain untuk memastikan sistem informasi organisasi serta
pengendalian lingkungan stabil dan dikelola dengan baik. Pengendalian umum
digolongkan menjadi beberapa, diantaranya:
a. Pengendalian organisasi dan otorisasi adalah secara umum terdapat pemisahan tugas
dan jabatan antara pengguna sistem (operasi) dan administrator sistem (operasi).
Dan juga dapat dilihat bahwa pengguna hanya dapat mengakses sistem apabila
memang telah diotorisasi oleh administrator.
b. Pengendalian operasi. Operasi sistem informasi dalam perusahaan juga perlu
pengendalian untuk memastikan sistem informasi tersebut dapat beroperasi dengan
baik selayaknya sesuai yang diharapkan.
c. Pengendalian perubahan. Perubahan-perubahan yang dilakukan terhadap sistem
informasi harus dikendalikan, termasuk pengendalian versi dari sistem informasi
tersebut, catatan perubahan versi, serta manajemen perubahan atas
diimplementasikannya sebuah sistem informasi.
d. Pengendalian akses fisikal dan logikal. Pengendalian akses fisikal berkaitan dengan
akses secara fisik terhadap fasilitas-fasilitas sistem informasi suatu perusahaan,
sedangkan akses logikal berkaitan dengan pengelolaan akses terhadap sistem operasi
sistem tersebut (misal: windows).
2. PENGENDALIAN APLIKASI
Yaitu pengendalian yang mencegah, mendeteksi, dan mengoreksi kesalahan transaksi
dan penipuan dalam program aplikasi. Terdapat beberapa macam aplikasi berwujud
perangkat lunak, yang dapat dibagi menjadi dua tipe dalam perusahaan:
a. Perangkat lunak berdiri sendiri. Terdapat pada organisasi yang belum menerapkan
SIA dan sistem ERP, sehingga masih banyak aplikasi yang berdiri sendiri pada
masing-masing unitnya. Contoh: aplikasi (software) MYOB pada fungsi akuntansi dan
keuangan.
b. Perangkat lunak di server. Tedapat pada organisasi yang telah menerapkan SIA dan
sistem ERP. Aplikasi terinstall pada server sehingga tipe struktur sistemnya memakai
sistem client-server . Client hanya dipakai sebagai antar-muka (interface) untuk
mengakses aplikasi pada server.
Selain macam-macam aplikasi dalam pengendalian, terdapat juga bentuk pengendalian
dari aplikasi tersebut, diantaranya:
a. Pengendalian Organisasi dan Akses Aplikasi. Pada pengendalian organisasi, hampir
sama dengan pengendalian umum organisasi, namun lebih terfokus pada aplikasi
14. yang diterapkan perusahaan. Siapa pemilik aplikasi, tugas administrator, pengguna,
hingga pengembangan aplikasi tersebut. Untuk pengendalian akses, terpusat hanya
pada pengendalian logika saja untuk menghindari akses tidak terotorisasi. Selain itu
juga terdapat pengendalian role based menu dibalik pengendalian akses logika,
dimana hanya pengguna tertentu saja yang mampu mengakses menu yang telah
ditunjuk oleh administrator. Hal ini berkaitan erat dengan kebijakan TI dan prosedur
perusahaan berkaitan dengan nama pengguna dan sandi nya.
b. Pengendalian Input. Pengendalian input memastikan data-data yang dimasukkan ke
dalam sistem telah tervalidasi, akurat, dan terverifikasi.
c. Pengendalian Proses. Pengendalian proses biasanya terbagi menjadi dua tahapan,
yaitu (1) tahapan transaksi, dimana proses terjadi pada berkas-berkas transaksi baik
yang sementara maupun yang permanen dan (2) tahapan database, proses yang
dilakukan pada berkas-berkas master.
d. Pengendalian Output. Pada pengendalian ini dilakukan beberapa pengecekan baik
secara otomatis maupun manual (kasat mata) jika output yang dihasilkan juga kasat
mata.
e. Pengendalian Berkas Master. Pada pengendalian ini harus terjadi integritas
referensial pada data, sehingga tidak akan diketemukan anomali-anomali, seperti
anomaly penambahan, anomaly penghapusan dan anomaly
pemuktahiran/pembaruan.
C. PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SYSTEM
Untuk mengatasi permasalahan pengendalian tersebut, AICPA dan CICA
mengembangkan Trust Service Framework untuk menyediakan panduan penilaian
keandalan sistem informasi. Trust Service Framework mengatur pengendalian TI ke
dalam lima prinsip yang berkontribusi secara bersamaan terhadap keandalan sistem:
1. Keamanan (security), dimana akses (baik fisik maupun logis) terhadap sistem dan
data di dalamnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiality), dimana informasi keorganisasian yang sensitive
(seperti rencana pemasaran, rahasia dagang) terlindungi dari pengungkapan tanpa
ijin.
3. Privasi (privacy), dimana informasi pribadi tentang pelanggan, pegawai, pemasok,
atau rekan kerja hanya dikumpulkan, digunakan, diungkapkan, dikelola sesuai
dengan kepatuhan terhadap kebijakan internal dan persyaratan peraturan eksternal
serta terlindungi dari pengungkapan tanpa ijin.
4. Integritas Pemrosesan (processing integrity), dimana data diproses secara akurat,
lengkap, tepat waktu dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (availability), dimana sistem dan informasinya tersedia untuk
memenuhi kewajiban operasional dan kontraktual.
15. KERAHASIAAN DAN PRIVASI
1. Kerahasiaan
Aspek ini berhubungan dengan kerahasiaan data-data penting yang tersimpan
pada sistem organisasi yang tidak boleh diakses atau digunakan oleh orang-orang yang
tidak berhak. Aspek ini dapat tidak terpenuhi jika ada pengguna (internal) yang
memiliki izin tetapi menyalah gunakan izin tersebut lalu pengguna tersebut menyebar
luaskan data-data organisasi yang bersifat rahasia tersebut kepada orang lain atau
pesaing yang membuat organisasi merasa dirugikan atau juga pengguna tersebut
menggunakan secara pribadi rahasia tersebut untuk menyaingi perusahaan. Terdapat
empat tindakan dasar yang harus dilakukan untuk menjaga kerahasiaan atas informasi
sensitif:
a. Mengidentifikasi dan mengklasifikasi informasi untuk dilindungi. Langkah pertama
untuk melindungi kerahasiaan kekayaan intelektual dan informasi bisnis sensitive
lainnya adalah mengidentifikasi letak informasi tersebut disimpan dan orang yang
mengaksesnya. Setelah informasi yang perlu untuk dilindungi telah diidentifikasi,
langkah selanjutnya adalah mengklasifikasikan informasi untuk organisasi
berdasarkan nilainya. Praktik manajemen COBIT 5 menunjukkan bahwa klasifikasi
merupakan tanggung jawab pemilik informasi, bukan professional keamanan
informasi karena hanya pemilik informasilah yang memahami bagaimana informasi
digunakan.
b. Mengenkripsi informasi. Enkripsi adalah alat yang penting dan efektif untuk
melindungi kerahasiaan. Enkripsi adalah satu-satunya cara untuk melindungi
informasi dalam lalu lintas internet dan cloud publik.
c. Mengendalikan akses atas informasi. Pengendalian autentikasi dan otorisasi
tidaklah cukup untuk melindungi kerahasiaan karena hanya mengendalikan akses
awal terhadap informasi yang disimpan secara digital. Perangkat lunak information
rights management (IRM) memberikan tambahan lapisan perlindungan terhadap
informasi yang disimpan dengan format digital, menawarkan kemampuan tidak
hanya untuk membatasi akses terhadap file tetapi juga memerinci tindakan-
tindakan yang dapat dilakukan individuyang diberi akses terhadap sumber daya
tersebut. Saat ini organisasi secara konstan mempertukarkan informasi dengan
rekan bisnis dan pelanggan, perangkat lunak data loss prevention bekerja seperti
antivirus secara terbalik mengeblok pesan-pesan keluar yang mengandung kata-
kata atau frasa-frasa kunci yang terkait dengan kekayaan intelektual atau data
sensitif lain yang ingin dilindungi.
d. Melatih para pegawai untuk menangani informasi secara tepat. Pelatihan adalah
pengendalian yang penting untuk melindungi kerahasiaan. Para pegawai perlu
mengetahui jenis informasi yang dapat mereka bagikan dan jenis informasi yang
dilindungi. Dengan pelatihan yang memadai, para pegawai dapat memainkan peran
16. penting untuk melindungi kerahasiaan informasi organisasi dan meningkatkan
efektivitas pengendalian terkait.
2. Privasi
Prinsip privasi Trust Services Framework erat kaitannya dengan prinsip
kerahasiaan, perbedaan utamanya, yaitu lebih berfokus pada perlindungan informasi
pribadi mengenai pelanggan, pegawai, pemasok, atau rekan bisnis dari pada data
keorganisasian. Langkah pertama untuk melindungi privasi yaitu mengidentifikasi jenis
informasi yang dimiliki organisasi, letak ia simpan, dan orang yang memiliki akses
terhadapnya. Demi melindungi privasi, organisasi harus menjalankan program data
masking yaitu program yang menggantikan informasi pribadi semacam itu dengan nilai-
nilai palsu sebelum mengirimkan data tersebut kepada pengembang program dan
sistem pengujian. Terdapat dua permasalahan utama terkait privasi:
a. Spam adalah e-mail tak diinginkan yang mengandung baik periklanan maupun
konten serangan. Spam merupakan permasalahan yang terkait privasi karena
penerima sering kali menjadi target tujuan atas akses tak terotorisasi terhadap daftar
dan databasee-mail yang berisi informasi pribadi.
b. Pencuri identitas (identity theft), yaitu penggunaan tidak sah atas informasi pribadi
seseorang demi keuntungan pelaku. Organisasi harus memiliki kewajiban etis dan
moral untuk menerapkan pengendalian demi melindungi informasi pribadi yang
organisasi kumpulkan.
Permasalahan mengenai spam, pencurian identitas, dan perlindungan privasi
individu telah menghasilkan berbagai regulasi pemerintah. Untuk membantu organisasi
agar hemat biaya dalam mematuhi banyaknya persyaratan ini, American Institute of
Certified Public Accountant (AICPA) dan Canadian Institute of Chartered Accountants
(CICA) bersama-sama mengembangkan sebuah kerangka yang disebut prinsip-prinsip
yang diterima umum (Generally Accepted Privacy Principles – GAAP). Kerangka
tersebut mengidentifikasi dan mendefinisikan pelaksanaan 10 praktik terbaik untuk
melindungi privasi informasi pribadi para pelanggan yang terdiri dari: 1). Manajemen;
2). Pemberitahuan; 3). Pilihan dan persetujuan; 4). Pengumpulan; 5). Penggunaan dan
Retensi; 6). Akses; 7). Pengungkapan kepada pihak ketiga; 8). Keamanan; 9). Kualitas;
10). Pengawasan dan penegakan.
17. INTEGRITAS DAN KETERSEDIAAN PEMROSESAN
1. Integritas Pemrosesan
Prinsip Integritas Pemrosesan dari Trust Service Framework menyatakan bahwa
sebuah sistem yang dapat diandalkan adalah sistem yang menghasilkan informasi
akurat, lengkap, tepat waktu, dan valid. Aplikasi pengendalian untuk integritas
pemrosesan terdiri atas:
a. Pengendalian Input. Jika data yang dimasukkan ke dalam sistem tidak akurat, tidak
lengkap, atau tidak valid maka bentuk pengendalian input yang dilakukan adalah
bentuk desain, pembatalan dan penyimpanan dokumen, otorisasi dan pemisahan
tugas pengendalian, pemindaian visual, dan pengendalian entri data.
b. Pengendalian pemrosesan. Jika terjadi kesalahan dalam output dan data yang
tersimpan dalam pemrosesan maka bentuk pengendalian yang dilakukan adalah
pencocokan data, label file, total batch, pengujian saldo cross-footing dan saldo nol,
mekanisme menulis perlindungan (write-protection), pemrosesan database, dan
pengendalian integritas.
c. Pengendalian Output. Jika terjadi penggunaan laporan yang tidak akurat atau tidak
lengkap, pengungkapan yang tidak diotorisasi informasi sensitive, dan kehilangan,
perubahan, atau pengungkapan informasi dalam transit maka bentuk pengendalian
yang dilakukan adalah pemeriksaan dan rekonsiliasi, enkripsi dan pengendalian
akses, pengecekan berimbang dan tenik pengakuan pesan.
2. Ketersediaan Pemrosesan
Tujuan utamanya adalah untuk meminimalkan risiko penghentian sistem. Oleh karena
itu, organisasi perlu memiliki pengendalian yang didesain untuk memungkinkan
pelanjutan cepat dari operasi normal. Berdasarkan kedua tujuan tersebut maka bentuk
pengendaliannya:
a. Tujuan meminimalkan risiko penghentian sistem dapat dilakukan melalui
pengendalian pemeliharaan preventif, toleransi kesalahan, lokasi dan desain pusat
data, pelatihan, dan manajemen patch dan perangkat lunak antivirus.
b. Tujuan pemulihan yang cepat dan lengkap serta pelanjutan operasi normal dapat
dilakukan melalui pengendalian prosedur backup, disaster recovery plan, dan
business continuity plan.
18. KEAMANAN INFORMASI PADA BANK DANAMON
Sebagaimana teknologi lainnya, selain memiliki kelebihan berupa kemudahan
dan manfaat luas yang meningkatkan kualitas kehidupan manusia, maka layanan
perbankan elektronik juga memiliki banyak kelemahan yang patut diwaspadai dan
diantisipasi. Sehingga, teknologi tersebut tetap dapat dipakai, manfaatnya terus
dinikmati oleh umat manusia namun juga harus ada tanggung jawab, pengawasan dan
upaya untuk memperbaiki kelemahan, menanggulangi permasalahan yang mungkin
timbul serta yang paling penting adalah meningkatkan kesadaran dan menanamkan
pemahaman tentang resiko dari pemanfaatan teknologi yang digunakan oleh layanan
perbankan itu terutama kepada masyarakat luas, pengguna/nasabah,
pemerintah/regulator, aparat penegak hukum dan penyelenggara layanan itu sendiri
(bank, merchant, operator layanan pihak ketiga dlsb.). Karena masalah keamanan
adalah tanggung jawab bersama, semua pihak harus turut serta berperan aktif dalam
upaya pengamanan.
Kerjasama semua pihak yang terkait pemanfaatan teknologi ini sangat
diperlukan. Ada sebuah jargon dalam dunia information security yaitu: “your security is
my security”, artinya semua pihak pasti memiliki titik kerawanan dan karenanya
masing-masing memiliki potensi resiko yang mungkin dapat dieksploitasi oleh pihak
lain yang berniat tidak baik. Maka apabila terjadi insiden terkait kerawanan itu, seluruh
komponen yang saling terkait harus turut bertanggung jawab untuk menanggulangi dan
meningkatkan upaya meminimalisir resiko serta mencegah kejadian serupa di masa
depan.
Misalnya, bank tidak mungkin melakukan pengamanan apabila nasabah tidak
memiliki pemahaman mengenai kemungkinan resiko kerawanan dan kelemahan pada
sistem elektronik yang digunakan. Sebaliknya, nasabah yang telah berhati-hati
sekalipun akan dapat menjadi korban apabila bank lalai atau gagal di dalam
pengawasan dan upaya peningkatan pengamanan sistem secara terus-menerus.
Demikian juga apabila aturan dari pemerintah lemah dan penegak hukum tidak
memiliki kemampuan yang memadai untuk terus mengikuti perkembangan sistem dan
teknologi maka ketika terjadi insiden akan sulit untuk melakukan penindakan terhadap
semua pihak yang seharusnya bertanggung jawab.
Sehingga semuanya saling terkait, tidak berdiri sendiri. Pihak yang berniat jahat
akan selalu memilih celah kerawanan yang paling lemah sebagai pintu masuk. Sehingga
semua pihak turut bertanggung jawab dan harus saling membantu (bekerjasama) untuk
mengawasi, memperbaiki dan menutup celah tersebut tanpa saling menyalahkan
karena justru akan berakibat melemahkan peran dan potensi setiap pihak dalam upaya
pengamanan bersama. Setiap pihak adalah satu simpul rangkaian rantai pengamanan
dan semua saling bergantung satu sama lain, karenanya semua sama pentingnya.
19. IDENTIFIKASI METODE PENGAMANAN DATA DI BANK DANAMON
Perbankan mulai melakukan langkah pengetatan pengamanan data nasabah setelah
sejumlah kasus pembobolan rekening nasabah terungkap. Bocornya dana nasabah bisa
berdampak pada berkurangnya tingkat kepercayaan masyarakat pada sistem
pengelolaan dana di perbankan. Oleh sebab itu, Bank Danamon memperketat sistem
keamanannya dengan penambahan sistem keamanan baik di jaringan, sistem informasi
teknologi dan bahkan di perangkat keras (hardware).
Menjamin Ketersediaan Data
Ketersediaan data bagi dunia perbankan sangat penting. Bank danamon memberikan
kemudahan bagi nasabahnya untuk dapat mengakses data secara online baik untuk
setiap jenis tabungan. Danamon Online Banking adalah jasa layanan perbankan melalui
internet banking yang memberikan kemudahan bagi Nasabah Bank Danamon untuk
mengakses rekening dan melakukan transaksi Perbankan non-tunai melalui jaringan
Internet kapan saja selama 24 jam sehari, 7 hari dalam satu minggu, dengan aman dan
mudah. Data nasabah dilindungi dengan berbagai proteksi sistem keamanan salah
satunya adalah dengan Extended Validation (EV) SSL 3.0 dengan enskripsi 128-bit.
Mencegah kerusakan dan korupsi data
Proses Implementasi dilakukan oleh Bank Danamon untuk menyempurnakan program
atau software baik yang berkaitan dengan kegiatan transaksional maupun non
transaksional. Sebagai tindakan preventif terhadap kerusakan dan korupsi data, Bank
Danamon menempatkan server di pusat dan di cabang. Hal itu bertujuan agar ketika
terjadi implementasi program dapat dilakukan secara integratif dan mencegah
terjadinya baik kerusakan data maupun korupsi data.
Mencegah pengunaan data oleh yang tidak berhak
Danamon Online Banking menggunakan halaman Web yang dilindungi dengan Extended
Validation (EV) SSL 3.0 dengan enskripsi 128-bit, standard tertinggi dari industri
keamanan internet untuk otentikasi identitas suatu situs web, sehingga informasi
pribadi dan keuangan Nasabah tidak dapat terbaca oleh pihak yang tidak
berkepentingan ketika melalui jaringan internet. Nasabah juga akan diberikan User ID &
Password yang unik, sehingga tidak ada duplikasi dan hanya Nasabah yang
mengetahuinya. Setiap kali Login, Nasabah hanya diperkenankan mengulang Password
yang salah sebanyak tiga kali sebelum akses tersebut diblokir untuk mencegah
penyalahgunaan oleh pihak yang tidak bertanggung jawab. Setiap transaksi finansial
harus menggunakan alat pengaman tambahan yang disebut Token dan setiap transaksi
20. yang diinstruksikan tidak akan diproses tanpa konfirmasi dan persetujuan Nasabah. Jika
tidak terdapat aktivitas selama sepuluh menit, sistem secara otomatis akan mengakhiri
(logout) akses Nasabah untuk mencegah penyalahgunaan oleh pihak yang tidak
berwenang.
Menjamin update dan validitas data
Transaksi online banking dapat dilakukan melalui telepon selular ataupun layanan
internet. Semua jenis rekening dapat diakses melalui layanan Danamon Online Banking
(DOB). Sebelum menggunakan layanan ini nasabah harus melakukan registrasi lalu
masuk ke https://www.danamonline.com. Bila diperhatikan HTTPS adalah singkatan
dari HyperText Transport Protocol Secure,memiliki pengertian sama dengan HTTP
tetapi dengan alasan keamanan (security), HTTPS memberi tambahan Secure Socket
Layer (SSL). Bisa dilihat tambahan kata secure pada singkatan https.
Nasabah akan diminta untuk memasukkan data-data pribadi, lalu Setelah data
tervalidasi, User ID Sementara akan dikirimkan melalui e-mail address yang telah
dimasukkan pada saat Registrasi dan Password Sementara akan dikirimkan melalui
SMS.
Jika Nasabah tidak mengganti User ID dan Password Sementara melalui situs Danamon
Online Banking dalam waktu empat belas (14) hari setelah Registrasi, maka User ID dan
Password Semetara tersebut akan menjadi tidak belaku. Oleh karena itu, Nasabah harus
melalukan Registrasi ulang secara online melalui situs Danamon Online Banking atau
melalukan registrasi ulang melalui ATM Danamon untuk mendapatkan User ID dan
Password Sementara yang baru.
Jika Nasabah belum melakukan Login ke situs Danamon Online Banking dan mengganti
User ID dan Password Sementara, Nasabah dapat melakukan Registrasi ulang secara
online melalui situs Danamon Online Banking atau registrasi ulang melalui ATM
Danamon atau menghubungi Danamon Access Center untuk mendapatkan informasi
mengenai User ID.
Nasabah bank danamon juga mendapatkan token. Token adalah piranti keamanan yang
dapat menghasilkan Kode Rahasia dengan algoritma tertentu agar Nasabah dapat
melakukan transaksi finansial dan non-finansial lainnya seperti reset Password,
penggantian data pribadi, dan sebagainya melalui Danamon Online Banking. Bank
Danamon memberi Anda keleluasaan untuk memilih Token sebagai piranti keamanan
yang Anda inginkan, yaitu Danamon (hardware) Token atau SMS Token.
Danamon Token adalah perangkat yang dapat menghasilkan Kode Rahasia Token yang
dapat berupa Challenge Response maupun One Time Password (OTP) sesuai dengan
instruksi yang dimasukkan pada Danamon Token. Dengan memilih jenis Token ini, Anda
21. harus selalu membawa Danamon Token setiap melakukan transaksi melalui Danamon
Online Banking.
SMS Token adalah Kode Rahasia berupa One Time Password (OTP) yang akan
dihasilkan pada saat Anda menekan tombol Lanjut pada halaman transaksi di situs
Danamon Online Banking. Kode ini akan dikirimkan melalui SMS ke nomor ponsel yang
telah terdaftar. Dengan SMS Token, Anda dapat melakukan transaksi Danamon Online
Banking tanpa harus membawa piranti Token.
DAFTAR PUSTAKA:
________ Information Security Management System; www.scribd.com,12/06/2009/
Information-Security-Management-System / 25 Juli 2011 pukul 20.00 wib.
________ Data base & Data Security; http://mtaufik.wordpress.com/14/06/2011/ 27 Juli
2011 pukul 21.00 wib.
Yuriaiuary, 2017, http://yuriaiuary.blogspot.co.id/2017/05/sistem-informasi-dan-
pengendalian.html, (12 Mei 2017)
Fairuzelsaid, 2011, https://fairuzelsaid.wordpress.com/2011/03/19/keamanan-
sistem-informasi-konsep-keamanan-sistem-informasi/, (19 Maret 2011)
Dewi Fatma, 2013, https://www.academia.edu/9760290/keamanan_sistem_informasi