Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...Lia Sapoean
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pemahaman serangan tipe tipe pengendalian prinsip - prinsip the five trust service untuk keandalan sistem, universitas mercubuana, 2018
KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLOGI INFORMASISitiAisyahMaudina
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan data. Manajemen keamananinformasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi (information security managemen) dan persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis (business continuity managemen).
Dua pendekatan dapat dilakukan untuk menysun strategi-strategi ISM: manajemen resiko dan tolok ukur. Perhatian akan ancaman dan risiko berhbungan dengan manajemen resiko.ancaman dapat bersifat internal atau eksternal, tidak disengaja atau disengaja. Risiko dapat mencakup insiden pengungkapan, penggunaan, dan modifikasi yang tidak diotorisasi serta pencurian, penghancuran, dan penolakan layanan. Ancaman yang paling ditakuti adalah virus computer. Ada tiga jenis pengendalian yang tersedia yaitu: pengendalian teknis, pengendalian formal, dan pengendalian informal.
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pem...Lia Sapoean
Si pi, nurul hidayati yuliani, hapzi ali, konsep dasar keamanan informasi pemahaman serangan tipe tipe pengendalian prinsip - prinsip the five trust service untuk keandalan sistem, universitas mercubuana, 2018
KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLOGI INFORMASISitiAisyahMaudina
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan data. Manajemen keamananinformasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi (information security managemen) dan persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis (business continuity managemen).
Dua pendekatan dapat dilakukan untuk menysun strategi-strategi ISM: manajemen resiko dan tolok ukur. Perhatian akan ancaman dan risiko berhbungan dengan manajemen resiko.ancaman dapat bersifat internal atau eksternal, tidak disengaja atau disengaja. Risiko dapat mencakup insiden pengungkapan, penggunaan, dan modifikasi yang tidak diotorisasi serta pencurian, penghancuran, dan penolakan layanan. Ancaman yang paling ditakuti adalah virus computer. Ada tiga jenis pengendalian yang tersedia yaitu: pengendalian teknis, pengendalian formal, dan pengendalian informal.
KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLOGI INFORMASI PADA PT TELKOM AKSES ...AyuEndahLestari
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan data. Manajemen keamanan informasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi (information security management) dan persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis (business continuity management).
Si & Pi, sasi ngatiningrum, hapzi ali, implementasi keamanan informasi dan pe...Sasi Ngatiningrum
LATAR BELAKANG PERLUNYA KEAMANAN SISTEM INFORMASI
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa masyarakat kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi, lembaga pemerintahan, maupun individual. Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi.
Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Masalah keamanan menjadi aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
Artikel keamanan informasi - pertemuan 10Ismania1912
Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga keamanan dari para kriminal komputer dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara untuk memerangi terorisme, isu-isu utama mengenai keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi.
KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLOGI INFORMASI PADA PT TELKOM AKSES ...AyuEndahLestari
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan data. Manajemen keamanan informasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi (information security management) dan persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis (business continuity management).
Si & Pi, sasi ngatiningrum, hapzi ali, implementasi keamanan informasi dan pe...Sasi Ngatiningrum
LATAR BELAKANG PERLUNYA KEAMANAN SISTEM INFORMASI
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa masyarakat kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi, lembaga pemerintahan, maupun individual. Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi.
Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Masalah keamanan menjadi aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
Artikel keamanan informasi - pertemuan 10Ismania1912
Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga keamanan dari para kriminal komputer dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara untuk memerangi terorisme, isu-isu utama mengenai keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi.
Tugas kelompok 2 tatap muka 8 sistem informasi manajemen.Apriani Suci
keamanan informasi adalah upaya untuk mengamankan aset informasi dari segala ancaman yang
mungkin terjadi untuk mengurangi resiko negatif yang diterima. Semakin banyak informasi yang
disimpan di sebuah organisasi maka semakin banyak juga juga resiko yang akan terjadi seperti kerusakan,
kehilangan atau juga informasi yang bersifat pribadi bisa tersebar ke pihak yang tidak bertanggung jawab.
Sistem Manajemen Keamanan Informasi (SMKI) adalah suatu bentuk susunan proses yang dibuat
berdasarkan pendekatan resiko bisnis untuk merencanakan (Plan), mengimplementasikan dan
mengoperasikan (Do), memonitoring dan meninjau (Check), serta memelihara dan meningkatkan atau
mengembangkan (Act) terhadap keamanan informasi perusahaan. Keamanan informasi ditujukan menjaga
aspek kerahasian (Confidential), keutuhan (Integrity), dan ketersediaan (Availibity) dari informasi. Dalam
menerapkan keamanan informasi aspek SMKI dan teknologi keamanan informasi tidak dapat dipisahkan.
Artinya sebaiknya suatu organisasi tidak hanya menerapkan teknologi keamanan informasi saja tanpa
menerapkan SMKI.
PT Telekomunikasi Indonesia Tbk (Telkom) berusaha meningkatkan sistem keamanan jaringan
yang mereka operasikan. Telkom membangun pusat operasi keamanan cyber atau CSOC (Cyber Security
Operation Center). Telkom mengklaim sistem keamanan ini bekerja tanpa henti selama 24 jam penuh.
Organisasi ini secara definitif kami dedikasikan untuk menjaga keamanan jaringan Telkom Group.
TUGAS SIM, implementasi manajemen keamanan informasi pada perusahaan untuk me...akbarnurhisyam1
TUGAS SIM, implementasi manajemen keamanan informasi pada perusahaan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan, Akbar Nurhisyam ,Yananto Mihadi P., S.E., M.Si., CMA. , 2018
Tugas sim, alfina rolitasari, yananto mihadi putra, blog dan database, 2018.AlfinaRltsr
Pengertian DataBase
Istilah database berawal dari ilmu komputer. Meskipun kemudian artinya semakin luas, memasukkan hal-hal di luar bidang elektronika. Catatan yang mirip dengan database sebenarnya sudah ada sebelum revolusi industri yaitu dalam bentuk buku besar, kuitansi dan kumpulan data yang berhubungan dengan bisnis.
Terdapat beberapa definisi database menurut para tokoh, antara lain:
Menurut Gordon C. Everest :
Database adalah koleksi atau kumpulan data yang mekanis, terbagi/shared, terdefinisi secara formal dan dikontrol terpusat pada organisasi.
Menurut C.J. Date :
Database adalah koleksi “data operasional” yang tersimpan dan dipakai oleh sistem aplikasi dari suatu organisasi.
• Data input adalah data yang masuk dari luar sistem
• Data output adalah data yang dihasilkan sistem
• Data operasional adalah data yang tersimpan pada sistem
Menurut Toni Fabbri :
Database adalah sebuah sistem file-file yang terintegrasi yang mempunyai minimal primary key untuk pengulangan data.
Menurut S. Attre :
Database adalah koleksi data-data yang saling berhubungan mengenai suatu organisasi / enterprise dengan macam-macam pemakaiannya.
Sedangkan sumber-sumber lain menjelaskan bahwa:
Database adalah kumpulan informasi yang disimpan di dalam komputer secara sistematik sehingga menggunakan suatu programkomputer untuk memperoleh informasi dari basis data tersebut.
Tugas sim, alfina rolitasari, yananto mihadi putra, implementasi sistem infor...AlfinaRltsr
Artikel yang menjelaskan tentang proses implementasi sistem informasi pada perusahaan untuk mendukung kelangsungan aktfitas bisnis perusahaan yang disertai dengan contoh kasusnya. Artikel tersebut mencantumkan bagaimana proses implementasi sistem informasi informasi pada perusahaan yang efektif dan efisien serta sebagai salah satu faktor penentu keberhasilan perusahaan, bagaimana dampak dari penerapan sistem informasi tersebut disetai dengan contoh realisasi pada penerapan dilapangan
Kewirausahaan,Alfina Rolitasari, Hapzi Ali, MSDM, Manajemen Operasi dan Produ...AlfinaRltsr
Manajemen sumber daya manusia adalah suatu proses menangani berbagai masalah pada ruang lingkup karyawan, pegawai, buruh, manajer dan tenaga kerja lainnya untuk dapat menunjang aktifitas organisasi atau perusahaan demi mencapai tujuan yang telah ditentukan.
Kewirausahaan,Alfina Rolitasari, Hapzi Ali, Komunikasi dan mengetahui model k...AlfinaRltsr
kepemimpinan adalah kegiatan untuk mempengaruhi perilaku orang lain atau seni mempengaruhi perilaku manusia baik perorangan maupun kelompok. Dan satu hal yang perlu diingat bahwa kepemimpinan tidak harus dibatasi oleh aturan-aturan atau tata karma birokrasi. Kepemimpinan bisa terjadi dimana saja, asalkan seseorang menunjukkan kemampuannya mempengaruhi perilaku orang lain kearah tercapainya suatu tujuan tertentu.
Kewirausahaan,Alfina Rolitasari, Hapzi Ali, Model Bisnis, Universitas Mercu B...AlfinaRltsr
Usaha konvensional adalah suatu jenis usaha dibidang jasa atau produksi barang yang dilakukan dengan media promosi konvensional. Media promosi konvensional dapat berupa spanduk, majalah, iklan koran, brosur, sales dari pintu ke pintu, televisi dan radio.
Kreativitas adalah :
1. Bukan semata-mata memecahkan masalah tetapi menciptakan sesuatu yang orisinil, lebih baik, dan pemecahan masalah yang kreatif.
2. Menggunakan cara yang berbeda dari orang lain lakukan.
3. Tanpa kreativitas, tidak ada penemuan
4. Kemampuan utama dan dasar menjadi wirausahawan yang sukses
Kewirausahaan,Alfina Rolitasari, Hapzi Ali, Pola Pikir, Universitas Mercu Bua...AlfinaRltsr
Pola Pikir adalah kepercayaan atau sekumpulan kepercayaan atau cara berpikir yg mempengaruhi prilaku dan sikap seseorang yang akhirnya menentukan level keberhasilan hidupnya. Setiap manusia pasti memiliki ide,pendapat,rencana serta cita – cita itu semua diolah oleh otak,akal,pikiran dan selalu dipengaruhi oleh sikap dan prilaku.
Kewirausahaan adalah mengembangkan suatu potensi yang dimiliki dari dalam diri untuk menghasilkan sesuatu yang dapat bermanfaat bagi diri sendiri maupun orang lain, serta memilki sifat bekerja keras dan mau menerima resiko dalam mengembangkan potensi yang dimiliki, menambah ide ide yang dapat membuat suatu usaha terus berkembang dan melihat segala kesempatan bisnis, mengumpulkan beberapa sumber daya yang diperlukan untuk mengambil keuntungan serta mengambil suatu tindakan yang tepat untuk bisa memastikan kesuksesan dalan berwirausaha.
ppt profesionalisasi pendidikan Pai 9.pdfNur afiyah
Pembelajaran landasan pendidikan yang membahas tentang profesionalisasi pendidikan. Semoga dengan adanya materi ini dapat memudahkan kita untuk memahami dengan baik serta menambah pengetahuan kita tentang profesionalisasi pendidikan.
2. Pentingnya Manajemen Kontrol Keamanan pada Sistem
Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan
hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik,
pos, dan audio visual. Oleh karena itu, manajemen informasi penting bagi
meningkatkan kesuksusesan yang kompetitif dalam semua sektor ekonomi.
Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan
ketersediaan informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus, dan
hackers sudah mengancam informasi bisnis manajemen oleh karena meningkatnya
keterbukaan informasi dan lebih sedikit kendali/control yang dilakukan melalui
teknologi informasi modern. Sebagai konsekuensinya , meningkatkan harapan dari para
manajer bisnis, mitra usaha, auditor,dan stakeholders lainnya menuntut adanya
manajemen informasi yang efektif untuk memastikan informasi yang menjamin
kesinambungan bisnis dan meminimise kerusakan bisnis dengan pencegahan dan
memimise dampak peristiwa keamanan.
Mengapa harus mengamankan informasi?
Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang
dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan informasi”
dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah ini
sebenarnya sangat terkait, namun mengacu pada dua hal yang sama sekali berbeda.
“Keamanan Teknologi Informasi” atau IT Security mengacu pada usaha-usaha
mengamankan infrastruktur teknologi informasi dari gangguan-gangguan berupa akses
terlarang serta utilisasi jaringan yang tidak diizinkan
Berbeda dengan “keamanan informasi” yang fokusnya justru pada data dan informasi
milik perusahaan Pada konsep ini, usaha-usaha yang dilakukan adalah merencanakan,
mengembangkan serta mengawasi semua kegiatan yang terkait dengan bagaimana data
dan informasi bisnis dapat digunakan serta diutilisasi sesuai dengan fungsinya serta
tidak disalahgunakan atau bahkan dibocorkan ke pihak-pihak yang tidak
berkepentingan.
3. Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek
berikut:
Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi,
memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan
menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin
fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta
metode prosesnya untuk menjamin aspek integrity ini.
Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat
dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan
perangkat terkait (aset yang berhubungan bilamana diperlukan).
Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol
yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-
prosedur, struktur-struktur organisasi dan piranti lunak.
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara
umum diartikan sebagai “quality or state of being secure-tobe free from danger” [1].
Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan
bisa dicapai dengan beberapa strategiyang biasa dilakukan secara simultan atau
digunakan dalam kombinasi satu dengan yang lainnya. Strategikeamanan informasi
memiliki fokus dan dibangun pada masing-masing ke-khusus-annya. Contoh dari
tinjauan keamanan informasi adalah:
Physical Security yang memfokuskan strategiuntuk mengamankan pekerja atau
anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya
kebakaran, akses tanpa otorisasi, dan bencana alam.
Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-
orang dalam organisasi.
Operation Security yang memfokuskan strategiuntuk mengamankan kemampuan
organisasi atau perusahaan untuk bekerja tanpa gangguan.
4. Communications Security yang bertujuan mengamankan media komunikasi, teknologi
komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai
tujuan organisasi.
Network Security yang memfokuskan pada pengamanan peralatan jaringan data
organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan
tersebut dalam memenuhi fungsi komunikasi data organisasi.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus,
maka ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen
keamanan informasi dikenal sebagai 6P yaitu:
Planning
Planning dalam manajemen keamanan informasi meliputi proses perancangan,
pembuatan, dan implementasi strategiuntuk mencapai tujuan. Ada tiga tahapannya
yaitu:
1) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk
periode yang lama, biasanya lima tahunan atau lebih,
2) tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode
yang lebih singkat, misalnya satu atau dua tahunan,
3) operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang
dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi
keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada
beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
5. v Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan
mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya
informasi dan aset organisasi, ketika insiden ini terdeteksibenar-benar terjadidan
mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman yang telah
terjadi dan menyerang aset informasi, dan mengancam confidentiality, integrity atau
availbility sumberdaya informasi. Insident Response Planning meliputi incident
detection, incident response, dan incident recovery.
v Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan
pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat
dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi
menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden itu.
Insiden dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu
mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang
ditimbulkan sangat besar sehingga memerlukan waktu yang lama untuk melakukan
pemulihan.
v Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa
berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya
pendukungnya merupakan tugas utama business continuity planning. Jika terjadi
bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif.
Faktor penting yang diperhitungkan dalam BCP adalah biaya.
6. Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
Enterprise Information Security Policy (EISP) menentukan kebijakan departemen
keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian
organisasi.
Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan
perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi
pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.
System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau
teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam
beberapa bagian. Salah satu contohnya adalah program security education training and
awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja
mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi
pekerja sehingga dicapai peningkatan keamanan informasi organisasi.
Protection
Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi
perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi,
teknologi proteksidan perangkat proteksi baik perangkat keras maupun perangkat
keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana
keamanan informasi.
People
7. Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali
mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan
informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam
organisasi.
Sandar apa yang digunakan?
ISO/IEC 27001 adalah standar information security yang diterbitkan pada October
2005 oleh International Organization for Standarization dan International
Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.
ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta,
lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan
syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa
dan memelihara seta mendokumentasikan Information Security Management System
dalam konteks resiko bisnis organisasi keseluruhan
ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem manajemen
keamanan informasi (ISMS). ISMS yang baik akan membantu memberikan
perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses
bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius
pada pengamanan sistem informasi, implementasi ISMS ini akan memberikan jaminan
pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang
tidak lama.
Contoh dampak positif dari suatu kejadian
Pendahuluan
Badan Pusat Statistik adalah Lembaga Pemerintah Non-Departemen yang bertanggung
jawab langsung kepada Presiden. Sementara secara berjenjang BPS Kabupaten
Kepulauan Aru bertanggung jawab langsung ke BPS Provinsi Maluku. Struktur
organisasi BPS Kabupaten Kepulauan Aru adalah sebagai berikut:
8. Struktur-BPS-Kab Tugas, fungsi dan kewenangan BPS telah ditetapkan berdasarkan
Peraturan Presiden Nomor 86 Tahun 2007 tentang Badan Pusat Statistik dan Peraturan
Kepala Badan Pusat Statistik Nomor 7 Tahun 2008 tentang Organisasi dan Tata Kerja
Badan Pusat Statistik. 1. Tugas: Melaksanakan tugas pemerintahan dibidang statistik
sesuai peraturan perundang-undangan. 2. Fungsi
1. Pengkajian, penyusunan dan perumusan kebijakan dibidang statistik;
2. Pengkoordinasian kegiatan statistik nasional dan regional;
3. Penetapan dan penyelenggaraan statistik dasar;
4. Penetapan sistem statistik nasional;
5. Pembinaan dan fasilitasi terhadap kegiatan instansi pemerintah dibidang
kegiatan statistik; dan
6. Penyelenggaraan pembinaan dan pelayanan administrasi umum dibidang
perencanaan umum, ketatausahaan, organisasi dan tatalaksana, kepegawaian,
keuangan, kearsipan, kehumasan, hukum, perlengkapan dan rumah tangga.
Kewenangan
1. Penyusunan rencana nasional secara makrodi bidangnya;
2. Perumusan kebijakan di bidangnya untuk mendukung pembangunan secara
makro;
3. Penetapan sistem informasi di bidangnya;
4. Penetapan dan penyelenggaraan statistik nasional;
5. Kewenangan lain sesuai dengan ketentuan peraturan perundang-undangan yang
berlaku, yaitu;
9. 6. Perumusan dan pelaksanaan kebijakan tertentu di bidang kegiatan statistik; ii.
Penyusun pedoman penyelenggaraan surveistatistik sektoral.
2. Penerapan SMKI berdasarkan ISO 27001:2013
ISO 27001:2013 adalah sebuah dokumen standar Sistem Manajemen Keamanan
Informasi (SMKI) atau Information Security Managemen System (ISMS) yang
memberikan gambaran secara umum mengenai apa saja yang harus dilakukan oleh
sebuah organisasi atau enterprise dalam rangka usaha mengimplementasikan konsep-
konsep keamanan informasi. Didalamnya tercakup 7 Klausa Utama dan 113 kontrol
yang dapat membantu sebuah organisasi dalam penerapan SMKI.
Berbeda dengan versisebelumnya (ISO27001:2005) pada ISO 27001:2013 telah
mencakup kemungkinan terjadinya dampak negatif dan positif dari suatu kejadian yang
ada. Hal ini tentu menjadi perubahan yang sangat besar mengingat sebuah enterprise
dalam penerapan standard ini diharuskan melihat kemungkinan positif dari suatu
kejadian. Dalam hal ini BPS Kabupaten Kepulauan Aru kedepan juga diharapkan selain
mengontrol dampak negatif yang mungkin terjadi juga dapat mengambil peluang
kesempatan positif yang ada. Untuk mempermudah penjelasan berikut contoh risk
register dan risk scenario di BPS Kabupaten Kepulauan Aru:
10. Contoh Risk Register di BPS Kabupaten Kepulauan AruRisk Register
Manajemen Risiko (Dalam perspektif positif dan negatif)
Berdasarkan definisi dari ISO Guide 73, risiko adalah dampak dari ketidakpastian
terhadap suatu objektif atau tujuan. Dampak tersebut merupakan deviasi dari keadaan
yang diinginkan, baik bernilai positif maupun negatif.
Hal yang perlu ditekankan disini adalah risiko tidak hanya hal-hal yang bernilai negatif
saja, melainkan risiko juga dapat berupa hal-hal yang positif (dapat pula disebut sebagai
suatu opportunity). Saat ini, terdapat kekeliruan pemahaman masyarakat yang
menganggap bahwa risiko merupakan hal yang bernilai negatif saja. Oleh karena itu,
perlu diluruskan bahwa selain memuat hal yang negatif, risiko juga memuat hal yang
positif. Artikel ini bertujuan untuk memberikan pemahaman baru terkait definisi risiko
yang sebenarnya.
Manajemen risiko diperlukan untuk mengelola risiko disuatu organisasi. manajemen
risiko pada dasarnya merupakan kegiatan untuk melakukan value enhancing
(penambahan nilai) atau value protecting (perlindungan nilai). Value enhancing pada
11. dasarnya berkaitan dengan risiko positif atau opportunity, sedangkan value protecting
berkaitan dengan risiko negatif.
Mengadopsi suatu manajemen risiko yang baik dapat memastikan bahwa organisasi
dapat melakukan berbagai kegiatan dengan knowledge bahwa:
Pengukuran yang cukup dan sesuai digunakan untuk memaksimalkan benefit atau
manfaat yang ada dalam organisasi
Pengukuran yang cukup dan sesuai digunakan untuk mengurangi dampak negatif
dari suatu risiko (atau opportunity) yang disajikan dalam rangka mencapai tujuan
organisasi
Klausul 6.1 ISO27001:2013
Klausul 6.1 berisi tindakan untuk mengarahkan risiko dan kesempatan. Ketika
melakukan perencanaan untuk sistem manajemen keamanan informasi (SMKI),
organisasi harus mempertimbangkan isu dan kebutuhan serta menentukan risiko dan
kesempatan yang bertujuan untuk:
memastikan bahwa sistem manajemen keamanan informasi dapat mencapai tujuan
yang diharapkan
mencegah atau mengurangi dampak yang tidak diinginkan
mencapai perbaikan secara berkelanjutan.
Berdasarkan tujuan tersebut, organisasi harus melakukan perencanaan sebagai berikut:
tindakan untuk mengarahkan risiko dan kesempatan
cara untuk mengintegrasikan dan mengimplementasikan tindakan kedalam proses
sistem manajemen keamanan informasi dan mengevaluasi keefektifan tindakan
tersebut.
Penilaian risiko keamanan informasi (Information Security Risk
Assessment)
Berdasarkan klausul 6.1.2, organisasi harus mendefinisikan dan menerapkan proses
penilaian risiko keamanan informasi yang:
12. a) membangun dan memelihara kriteria risiko keamanan informasi yang meliputi:
1. kriteria risk acceptance
2. kriteria untuk melakukan penilaian risiko keamanan informasi
b) memastikan bahwa penilaian risiko keamanan informasi yang dilakukan secara
berulang menghasilkan hasil yang konsisten, valid, dan dapat diperbandingkan
(comparable)
c) mengidentifikasi risiko keamanan informasi:
1. menerapkan proses penilaian risiko keamanan informasi untuk mengidentifikasi
risiko yang berkaitan dengan hilangnya aspek confidentiality, integrity,
dan availability untuk informasi di dalam ruang lingkup sistem manajemen
keamanan informasi
2. mengidentifikasi risk owner
d) menganalisis risiko keamanan informasi:
1. menilai potensi konsekuensi berdasarkan risiko yang telah teridentifikasi
2. menilai kemungkinan (likelihood) kejadian berdasarkan risiko yang telah
teridentifikasi
3. menentukan tingkatan risiko
e) mengevaluasi risiko keamanan informasi:
1. membandingkan hasil dari analisis risiko dengan kriteria yang telah dibuat
2. menentukan prioritas untuk melakukan risk treatment
Penanganan Risiko Keamanan Informasi (Information Security Risk
Treatment)
Berdasarkan klausul 6.1.3, organisasi harus mendefinisikan dan menerapkan proses
penanganan risiko untuk:
a) memilih opsi penanganan risiko yang sesuai
13. b) menentukan semua kendali yang mencukupi untuk mengimplementasikan pilihan
penanganan risiko keamanan informasi
c) membandingkan kendali yang telah ditentukan dengan Annex A dan melakukan
verifikasi untuk memastikan bahwa tidak ada kendali penting yang diabaikan
d) menghasilkan Statement of Applicability yang mengandung kendali yang dibutuhkan
serta justifikasi yang menentukan apakah kendali telah diimplementasikan atau tidak.
e) memformulasikan perencanaan penanganan risiko keamanan informasi
f) memperoleh persetujuan dari risk owner terkait perencanaan penanganan risiko
keamanan informasi dan persetujuan dari resiko residu keamanan informasi
Studi Kasus.
Pada tugas ini, saya akan memaparkan manajemen risiko yang dilakukan oleh Kota
Exeter. Kota Exeter adalah sebuah kota yang terletak di Inggris dengan penduduk
berjumlah sekitar 100.000 orang dan luas wilayah 47,6 km2 . Meskipun dapat dikatakan
bahwa kota ini merupakan kota yang sangat kecil, Kota Exeter sudah menjalankan
manajemen risiko dalam pemerintahannya.
Studi kasus pada manajemen risiko di Kota Exeter ini dilakukan berdasarkan klausul 6.1
pada ISO27001:2015. Berdasarkan klausul tersebut, hal yang pertama dilakukan adalah
penilaian risiko keamanan informasi.
Klausul 6.1.1 umum
Berdasarkan klausul 6.1.1, ketika melakukan perencanaan terhadap SMKI, Kota Exeter
harus mempertimbangkan isu dan kebutuhan serta menentukan risiko dan kesempatan.
Berikut ini adalah isu terkait SMKI yang terdapat di Kota Exeter.
kerugian atau kerusakan aset dan properti
kehilangan reputasi
kerugian finansial
pencemaran lingkungan
14. cedera personal atau terganggunya kesehatan personal
Klausul 6.1.2 Penilaian risiko keamanan informasi
a) Kriteria manajemen risiko keamanan informasi yang digunakan oleh Kota Exeter
adalah sebagai berikut:
1. Manajemen risiko harus dapat memelihara dan menjaga aset dewan kota, reputasi,
dan staf
2. Manajemen risiko harus mempromosikan tata kelola perusahaan dengan
mengintegrasikan manajemen risiko lama perusahaan dengan kontrol internal
3. meningkatkan dan melindungi lingkungan
4. meningkatkan performa bisnis
5. Mempromosikan budaya kesadaran terhadap risiko
b) Point (b) klausul 6.1.2 menyebutkan bahwa organisasi harus memastikan bahwa
penilaian risiko keamanan informasi yang dilakukan secara berulang menghasilkan
hasil yang konsisten, valid, dan dapat diperbandingkan (comparable). Pada Kota
Exeter, terdapat Risk Management Policy dan Risk Management Procedure untuk
memastikan bawa penilaian risiko dilakukan secara berulang, konsisten, dan valid.
Kedua dokumen ini dapat diunduh pada
tautan http://www.exeter.gov.uk/index.aspx?articleid=5613 .
c) Identifikasi risiko terlampir pada file excel. Sejumlah pendekatan yang diambil
untuk mengidentifikasi risiko yang dilakukan oleh council (anggota dewan) dan
memastikan bahwa risiko dapat dikelola dari tahap awal. Beberapa pendekatan yang
dilakukan oleh Kota Exeter untuk mengidentifikasi risiko adalah sebagai berikut:
Pemantauan berkala dari Forward Plan / Corporate Plan
Pemantauan berkala Laporan Komite
laporan pemantauan kinerja
pertemuan kuartal dengan Asisten stakeholder Kota Exeter
diskusi di SMT (Kinerja) untuk memastikan bahwa semua risiko telah ditangkap
pada register (Risk register)
15. Secara umum, identifikasi risiko dilakukan dengan mencari risiko dan opportunity pada
kategori tertentu dalam keamanan informasi. Pada manajemen risiko yang dilakukan
oleh Kota Exeter, terdapat 3 kategori utama dalam mengidentifikasi risiko, yaitu:
ICT Security
ICT Hardware and Software
IT Software License
Selain kategori lain diatas, terdapat kategori lain diluar kategori keamanan informasi
yang berdampak pada aspek keamanan informasi. Untuk lebih jelasnya, silakan lihat
pada file excel yang terlampir dalam blog ini
d) menganalisis risiko keamanan informasi. Terdapat beberapa hal yang dilakukan
dalam analisis risiko keamanan informasi, yaitu menilai potensi konsekuensi, menilai
kemungkinan, dan menentukan tingkatan risiko.
Berdasarkan dokumen Risk Management Procedure Exeter, berikut ini adalah dasar
paniaian dari potensi konsekuensi:
16. Dalam melakukan manajemen risiko, Kota Exeter pun mendefinisikan matriks
kemungkinan (likelihood) sebagai berikut:
17. e) mengevaluasi risiko keamanan informasi
Pada bagian ini dilakukan penentuan rating risiko. Rating ini diperoleh dengan cara
mengalikan nilai dampak (impact) dengan kemungkinan (likelihood) sehingga risiko
dapat dikelompokkan sebagai berikut:
12 hingga 9 : high
6 hingga 9 : medium
1 hingga 4 : low
RISK MATRIX
18. Klausul 6.1.3 Penanganan risiko keamanan informasi
Penanganan risiko keamanan informasi pada Kota Exeter termuat dalam file excel risk
register yang terlampir pada bagian akhir artikel ini. Tools excel risk register yang
dibuat terdiridari beberapa bagian. Berikut ini adalah header tabel yang menunjukkan
elemen yang terdapat pada tools file excel.
CONTOH TABEL RISK REGISTER
Berdasarkan gambar contoh tabel risk register diatas, terdapat beberapa elemen yang
digunakan dalam risk register, yaitu:
1. Kategori risiko
2. Risk event (kejadian risiko)
3. Cause (Penyebab Risiko)
4. Effect (Dampak Risiko)
5. Pilihan Jenis : Risk atau Opportunity
6. Inherent Risk yang terdiridari : Nilai Probabilitas dan Nilai dampak
atau impact. Berdasarkan nilai probabilitas dan dampak, dapat dibuat suatu risk
matriks yang menunjukan posisi risiko (low, medium, high)
7. Kendali risiko untuk inherent risk
8. Residual risk yang terdiridari nilai probabilitas, nilai dampak, serta risk matriks.
9. Kendali risiko untuk residual risk
Beberapa risiko keamanan informasi yang teridentifikasi di Kota Exeter adalah sebagai
berikut.
19. 1. Terjadinya kebocoran informasi (Risk)
2. Kerusakan fisik pada hardware, kegagalan sistem hardware dan software, hilagnya
peralatan ICT, dan gangguan listrik (Risk)
3. Adanya ketidapatuhan (non-compliance) terhadap lisensi software (Risk)
4. Dengan adanya ICT Security, Keamanan kota Exeter lebih terjamin / keamanan
dapat ditingkatkan dengan memanfaatkan teknologi (Opportunity)
5. Penggunaan teknologi dapat membuat aspek availability dari layanan kepada publik
selalu terjaga dengan baik (Opportunity)
6. Penggunaan software original aman dari malware dan virus sehingga aspek CIA
(Confidentiallity, Integrity, Availability) dapat lebih terjaga dan ditingkatkan
(Opportunity)
Contoh penjelasan risk register (Risk)
CONTOH TABEL RISK REGISTER
Pada bagian ini akan dijelaskan sebuah contoh yang terdapat pada risk register yang
terlampir pada file excel (nomor 1)
Kategori : ICT Security
Risk Event : Terjadinya kebocoran informasi
Cause : Adanya akses yang tidak sah terhadap informasi yang sensitif
Effect : Hilangnya kredibilitas dan reputasi dari Council (Dewan perwakilan)
Jenis : Threat
Manajemen risiko pada pada Kota Exeter membagirisiko menjadi dua, yaitu
inherent risk dan residual risk. inherent risk adalah risk level sebelum diterapkan
control dan residual risk adalah risk level setelah diterapkan control.
Dalam Inherent risk, berdasarkan tabel probabilitas dan tabel dampak (impact),
dapat diketahui bahwa risiko ini memiliki probalilitas bernilai 4 dan impact bernilai
4.
20. Berdasarkan risk matriks (Hasil pengalian probabilitas dan impact) yang bernilai 16,
risiko ini dapat dikategorikan sebagai risiko high.
INHERENT RISK
Untuk mengatasi risiko ini, Kota Exeter melakukan beberapa hal sebagai berikut
• Diadakan forum Keamanan
• Berusaha untuk comply dengan BS7799
• Analis Kualitas
• Firewall & virus perlindungan di tempat & diperbarui secara teratur
• Didirikan kontrol & kebijakan untuk mematuhi Government Connect Code of
Connection (CoCo)
Setelah diterapkan kontrol, masih terdapat risiko dengan tingkat probabilitas 3 dan
impact 3. Risiko residu ini memiliki kategori medium.
RESIDUAL RISK
21. Resiko residu ini pun perlu ditangani. Respon yang dilakukan terhadap risiko ini
adalah memastikan bahwa prosedur dan kualitas sistem telah berjalan dengan baik
Contoh penjelasan risk register (Opportunity)
Selain menampilkan risiko, risk register yang dimiliki oleh Kota Exeter juga
memiliki opportunity. Berikut ini adalah contoh opportunity yang terdapat di
dalam risk register Kota Exeter.
CONTOH OPPORTUNITY
Kategori : ICT hardware & software
Risk Event : Aspek availability dari layanan kepada publik selalu terjaga dengan baik
Cause : Penggunaan software dan hardware yang aman dan handal
Effect : Layanan kepada publik yang menggunakan hardware dan software selalu
tersedia
Jenis : Opportunity
Berdasarkan tabel probabilitas dan tabel dampak (impact), dapat diketahui bahwa
risiko ini memiliki probalilitas bernilai 3 dan impact bernilai 4.
Berdasarkan risk matriks (Hasil pengalian probabilitas dan impact) yang bernilai 12,
risiko ini dapat dikategorikan sebagai risiko high.
22. Pengelolaan TI yang baik pasti mengidentifikasikan segala bentuk risiko dari penerapan
TI dan penanganan dari risiko-risiko yang akan dihadapi. Ada beberapa dampak dan
risiko pengelolaan TI yang tidak optimal dengan kebutuhan organisasi seperti:
1. Overspent Budgets
Overspends terjadi bila risiko pengelolaan teknologi informasi tidak
diidentifikasi sama sekali. Sehingga, sering terjadi, tim proyek mengeluarkan
anggaran yang tidak terduga. Dengan terjadinyaoverspent budget, tim proyek
harus mencari uang dari suatu tempat untuk melakukan sesuatu sebelum proyek
tersebut mengalami kendala yang berarti.
2. Late-running Projects
Terkadang risiko yang tidak terduga dapat menyebabkan proyek melambat
karena memerlukan waktu untuk memahaminya, menganalisisnya dan
menyiapkan rencana pengelolaan, yang digunakan untuk memantau, melakukan
tindakan dan melacak risiko tersebut. Penundaan waktu dapat mengakibatkan
pengeluaran biaya yang lebih tinggi (overspent budget) dan penurunan kualitas
proyek.
3. Reputational Damage
Reputasi damage terjadi pada perusahaan apabila perusahaan membut klien
merasa tidak puas.Review dari klien lain terhadap tanggapan yang buruk dapat
memiliki implikasi luas untuk pekerjaan di masa yang akan datang.
Point-point yang terjadi diatas berdampak pada resiko pengelolaan TI, karena tata
kelola TI menciptakan nilai bagi organisasi. Oleh karena itu, IT Governance berkaitan
dengan identifikasi, pembentukan, dan penghubung mekanisme sistem TI untuk
mengelola risiko.
Daftar Pustaka
referensi modul kuliah mata kuliah SIM sbb: Putra, Yananto Mihadi. (2018).
Modul Kuliah Sistem Informasi Manajemen: Implementasi Sistem
Informasi. FEB - Universitas Mercu Buana: Jakarta.
https://jigokushoujoblog.wordpress.com/2010/11/20/pentingnya-manajemen-kontrol-
keamanan-pada-sistem/
https://blogs.itb.ac.id/23215097yogikristiawannel5007mkisem1t15d16mr/2015/11/29/
13/
https://blogs.itb.ac.id/23215139gilangramadhanel5216mrkisem1t15d16mr/2015/11/30/
manajemen-risiko-dalam-perspektif-positif-dan-negatif/
https://www.dictio.id/t/bagaimana-dampak-risiko-pengelolaan-ti-yang-tidak-optimal-
terhadap-keselarasan-antara-penerapan-ti-dengan-kebutuhan-organisasi/15795/4