Tugas sim, siti aisyah, yananto mihadi putra, s.e, m.si. sistem informasi ma...asyaaisyah
Pada era pertumbuhan sistem informasi yang sangat cepat saat ini keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan, karena jika sebuah informasi dapat di akses oleh orang yang tidak berhak atau tidak bertanggung jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi sebuah informasi yang menyesatkan.
Pada dasarnya suatu sistem yang aman akan melindungi data didalamnya seperti identifikasi pemakai (user identification), pembuktian keaslian pemakai (user authentication), otorisasi pemakai (user authorization). Beberapakemungkinan serangan (Hacking) yang dapat
dilakukan, seperti Intrusion , denial of services. joyrider,
vandal, hijacking, sniffing, spoofing dan lain-lain. Ancaman terhadap sistem informasi banyak macamnya, antara lain : pencurian data, penggunaan sistem secara ilegal, penghancuran data secara ilegal, modifikasi data secara
ilegal, kegagalan pada sistem, kesalahan manusia (SDM-sumber daya manusia), bencana alam. Tujuan dari keamanan sistem informasi yaitu mencegah ancaman terhadap sistem serta mendeteksi dan memperbaiki kerusakan yang terjadi pada sistem.
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERA...Ryan Julian
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN, PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SISTEM, 2019
Tugas sim, siti aisyah, yananto mihadi putra, s.e, m.si. sistem informasi ma...asyaaisyah
Pada era pertumbuhan sistem informasi yang sangat cepat saat ini keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan, karena jika sebuah informasi dapat di akses oleh orang yang tidak berhak atau tidak bertanggung jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi sebuah informasi yang menyesatkan.
Pada dasarnya suatu sistem yang aman akan melindungi data didalamnya seperti identifikasi pemakai (user identification), pembuktian keaslian pemakai (user authentication), otorisasi pemakai (user authorization). Beberapakemungkinan serangan (Hacking) yang dapat
dilakukan, seperti Intrusion , denial of services. joyrider,
vandal, hijacking, sniffing, spoofing dan lain-lain. Ancaman terhadap sistem informasi banyak macamnya, antara lain : pencurian data, penggunaan sistem secara ilegal, penghancuran data secara ilegal, modifikasi data secara
ilegal, kegagalan pada sistem, kesalahan manusia (SDM-sumber daya manusia), bencana alam. Tujuan dari keamanan sistem informasi yaitu mencegah ancaman terhadap sistem serta mendeteksi dan memperbaiki kerusakan yang terjadi pada sistem.
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERA...Ryan Julian
SI&PI, RYAN JULIAN, HAPZI ALI, KONSEP DASAR KEAMANAN INFORMASI PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN, PRINSIP-PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SISTEM, 2019
6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...Anggriafriani
SI&PI. Anggri Afriani. Prof. Dr. Ir. Hapzi Ali, MM, CMA. Universitas Mercu Buana, 2018. Konsep dasar Keamanan Informasi Pemahaman Serangan , Tipe-Tipe pengendalian Prinsip-prinsip The Five Trust Service untu keandalan system
10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...Yasmin Al-Hakim
Pengamanan Keamanan Sistem Informasi
Ada banyak cara mengamankan data atau informasi pada sebauh sistem. Pada umumnya pengamanan data dapat dikategorikan menjadi dua jenis, yaitu : penecegahan (presentif) dan pengobatan (recovery)
Pengendalian akses : Pengendalian akses dapat dicapai dengan tiga langkah, yaitu
Identifikasi pemakai (user identification) : Mula-mula pemakai mengidentifikasikan dirinya sendiri dengan menyediakan sesuatu yang diketahuinya, seperti kata sandi atau password. Identifikasi tersebut dapat mencakup lokasi pemakai, seperti titik masuk jaringan dan hak akses telepon
Pembuktian keaslian pemakai (user authentication) : Setelah melewati identifikasi pertama, pemakai dapat membuktikan hak akses dengan menyediakan sesuatu yang ia punya, seperti kartu id (smart card, token dan identification chip), tanda tangan, suara atau pola ucapan
Otorisasi pemakai (user authorization) : Setelah melewati pemeriksaan identifikasi dan pembuktian keaslian, maka orang tersebut dapat diberi hak
wewenang untuk mengakses dan melakukan perubahan dari suatu file atau data.
Memantau adanya serangan pada sistem
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya penyusup yang masuk kedalam sistem (intruder) atau adanya serangan (attack) dari hacker. sistem ini biasa disebut “intruder detection system” (IDS). Sistem ini dapat memberitahu admin melalui e-mail atau melalui mekanisme lain. Terdapat berbagai cara untuk memantau adanya penyusup. Ada yang bersifat aktif dan pasif. IDS cara
yang pasif misalnya dengan melakukan pemantauan pada logfile.
Berbagai macam software IDS antara lain, yaitu:
Autobuse yaitu mendeteksi port scanning dengan melakukan pemantauan pada logfile
Port blocker yaitu memblok port tertentu terhadap serangan. Biasanya untuk melakukan port blok memerlukan software tertentu, seperti NinX atau sejenisnya
Courtney dan portsentry yaitu mendeteksi port scanning dengan melakukan pemantauan paket data yang sedang lewat
Snort yaitu mendeteksi pola pada paket data yang lewat dan mengirimkan instruksi siaga jika pola tersebut terdeteksi. Pola disimpan dalam berkas yang disebut library yang dapat dikonfigurasi sesuai dengan kebutuhan
SI PI, Wawan Dwi Hadisaputro, Hapzi Ali, Konsep dasar keamanan sistem informa...Wawan Dwi Hadisaputro
KONSEP DASAR KEAMANAN SISTEM INFORMASI, PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN DAN PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SISTEM SERTA IMPLEMENTASINYA DI SMA NEGERI 3 BEKASI
Si & Pi, sasi ngatiningrum, hapzi ali, implementasi keamanan informasi dan pe...Sasi Ngatiningrum
LATAR BELAKANG PERLUNYA KEAMANAN SISTEM INFORMASI
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa masyarakat kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi, lembaga pemerintahan, maupun individual. Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi.
Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Masalah keamanan menjadi aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
Sim,widyaningish,43116120030,hapzi ali,keamanan sistem informasi,mercu buana,...WidyaNingsih24
Sim,widyaningish,43116120030,hapzi ali,pengunaan sistem informasi,mercu buana,jakarta,2018
TUGAS SIM yang di peruntuhkan untuk memenuhi syarat nilai ujian akhir semester dengan dosan pengampu bapak Hapzi ali dengan saya memberikan terbaik untuk tygas akhir semester tersebut
Artikel ini buat guna memenuhi salah satu tugas mata kuliah Sistem Informasi Manajemen yang diampu oleh Bapak Yananto Mihadi Putra, SE.,M.Si
Universitas Mercu Buana Jakarta, 2019
Materi yang membahas mengenai pengantar dan konsep sistem informasi dalam bentuk powerpoint (PPT) yang mana untuk memenuhi tugas mata kuliah keamanan teknologi informasi.
6. si & pi. anggri afriani, prof. dr, ir hapzi ali, mm, cma konsep dasar ...Anggriafriani
SI&PI. Anggri Afriani. Prof. Dr. Ir. Hapzi Ali, MM, CMA. Universitas Mercu Buana, 2018. Konsep dasar Keamanan Informasi Pemahaman Serangan , Tipe-Tipe pengendalian Prinsip-prinsip The Five Trust Service untu keandalan system
10. SIM, Yasmin Al-Hakim, Hapzi Ali, Keamanan Sistem Informasi, Universitas M...Yasmin Al-Hakim
Pengamanan Keamanan Sistem Informasi
Ada banyak cara mengamankan data atau informasi pada sebauh sistem. Pada umumnya pengamanan data dapat dikategorikan menjadi dua jenis, yaitu : penecegahan (presentif) dan pengobatan (recovery)
Pengendalian akses : Pengendalian akses dapat dicapai dengan tiga langkah, yaitu
Identifikasi pemakai (user identification) : Mula-mula pemakai mengidentifikasikan dirinya sendiri dengan menyediakan sesuatu yang diketahuinya, seperti kata sandi atau password. Identifikasi tersebut dapat mencakup lokasi pemakai, seperti titik masuk jaringan dan hak akses telepon
Pembuktian keaslian pemakai (user authentication) : Setelah melewati identifikasi pertama, pemakai dapat membuktikan hak akses dengan menyediakan sesuatu yang ia punya, seperti kartu id (smart card, token dan identification chip), tanda tangan, suara atau pola ucapan
Otorisasi pemakai (user authorization) : Setelah melewati pemeriksaan identifikasi dan pembuktian keaslian, maka orang tersebut dapat diberi hak
wewenang untuk mengakses dan melakukan perubahan dari suatu file atau data.
Memantau adanya serangan pada sistem
Sistem pemantau (monitoring system) digunakan untuk mengetahui adanya penyusup yang masuk kedalam sistem (intruder) atau adanya serangan (attack) dari hacker. sistem ini biasa disebut “intruder detection system” (IDS). Sistem ini dapat memberitahu admin melalui e-mail atau melalui mekanisme lain. Terdapat berbagai cara untuk memantau adanya penyusup. Ada yang bersifat aktif dan pasif. IDS cara
yang pasif misalnya dengan melakukan pemantauan pada logfile.
Berbagai macam software IDS antara lain, yaitu:
Autobuse yaitu mendeteksi port scanning dengan melakukan pemantauan pada logfile
Port blocker yaitu memblok port tertentu terhadap serangan. Biasanya untuk melakukan port blok memerlukan software tertentu, seperti NinX atau sejenisnya
Courtney dan portsentry yaitu mendeteksi port scanning dengan melakukan pemantauan paket data yang sedang lewat
Snort yaitu mendeteksi pola pada paket data yang lewat dan mengirimkan instruksi siaga jika pola tersebut terdeteksi. Pola disimpan dalam berkas yang disebut library yang dapat dikonfigurasi sesuai dengan kebutuhan
SI PI, Wawan Dwi Hadisaputro, Hapzi Ali, Konsep dasar keamanan sistem informa...Wawan Dwi Hadisaputro
KONSEP DASAR KEAMANAN SISTEM INFORMASI, PEMAHAMAN SERANGAN, TIPE-TIPE PENGENDALIAN DAN PRINSIP THE FIVE TRUST SERVICE UNTUK KEANDALAN SISTEM SERTA IMPLEMENTASINYA DI SMA NEGERI 3 BEKASI
Si & Pi, sasi ngatiningrum, hapzi ali, implementasi keamanan informasi dan pe...Sasi Ngatiningrum
LATAR BELAKANG PERLUNYA KEAMANAN SISTEM INFORMASI
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa masyarakat kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi, lembaga pemerintahan, maupun individual. Begitu pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi.
Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Masalah keamanan menjadi aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan.
Sim,widyaningish,43116120030,hapzi ali,keamanan sistem informasi,mercu buana,...WidyaNingsih24
Sim,widyaningish,43116120030,hapzi ali,pengunaan sistem informasi,mercu buana,jakarta,2018
TUGAS SIM yang di peruntuhkan untuk memenuhi syarat nilai ujian akhir semester dengan dosan pengampu bapak Hapzi ali dengan saya memberikan terbaik untuk tygas akhir semester tersebut
Artikel ini buat guna memenuhi salah satu tugas mata kuliah Sistem Informasi Manajemen yang diampu oleh Bapak Yananto Mihadi Putra, SE.,M.Si
Universitas Mercu Buana Jakarta, 2019
Materi yang membahas mengenai pengantar dan konsep sistem informasi dalam bentuk powerpoint (PPT) yang mana untuk memenuhi tugas mata kuliah keamanan teknologi informasi.
Cara mencegah dan menanggulangi apabila Sistem Informasi atau komputer mengalami gangguan Hacker, virus atau lainnnya baik yang bersifat mengganggu aktivitas sistem secara langsung atau merusah data/file pada komputer/sistem informasi.
KEAMANAN INFORMASI DALAM PEMANFATAN TEKNOLOGI INFORMASI PADA PT TELKOM AKSES ...AyuEndahLestari
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan bukan hanya peranti keras dan data. Manajemen keamanan informasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi (information security management) dan persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis (business continuity management).
Tugas sim, dian anggraeni, yananto mihadi putra, se, m.si, manajemen keamanan informasi, 2018
1. SISTEM INFORMASI MANAJEMEN
Pertemuan ke 10
Disusun untuk memenuhi tugas mata kuliah SIM
Dosen Pengampu: Yananto Mihadi Putra, SE, M.Si
Disusun oleh :
Nama : Dian Anggraeni
NIM : 43217110258
FAKULTAS EKONOMI DAN BISNIS – PROGRAM STUDI AKUNTASI
UNIVERSITAS MERCU BUANA
2018
2. Manajemen Keamanan Informasi
Informasi adalah salah suatu asset penting dan sangat berharga bagi
kelangsungan hidup bisnis dan disajikan dalam berbagai format berupa : catatan,
lisan, elektronik, pos, dan audio visual. Oleh karena itu, manajemen informasi
penting bagi meningkatkan kesuksusesan yang kompetitif dalam semua sektor
ekonomi.
Keamanan informasi dimaksudkan untuk mencapai kerahasiaan,
ketersediaan, dan integritas di dalam sumber daya informasi perusahaan.
Manajemen keamanan informasi terdiri dari:
• Perlindungan Sehari-hari disebut Manajemen Keamanan Informasi
(information security management/ ISM)
• Persiapan untuk menghadapi operasi setelah bencana disebut Manajemen
Kesinambungan Bisnis (business continuity management /BCM)
Definisi Kemanan Teknologi Informasi
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita
dapat mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya
penipuan disebuah sistem yang berbasis informasi, dimana informasinya
sendiri tidak memiliki arti fisik.
Raymond MC.Load (2007) mengistilahkan keamanan informasi
digunakan untuk mendeskripasikan perlindungan baik peralatan komputer dan
nonkomputer, fasilitas, datadan informasi dari penyalahgunaan pihak-pihak yang
tidak berwenang
Aspek Keamanan Teknologi Informasi
Didalam keamanan sistem informasi melingkupi empat aspek, yaitu
privacy,integrity, authentication, dan availability. Selain keempat hal di
atas, masih ada dua aspek lain yang juga sering dibahas dalam kaitannya
dengan electronic commerce,yaitu access control dan non-repudiation
3. 1. Privacy / Confidentiality
I n t i u t a m a a s p e k p r i v a c y a t a u c o n f i d e n t i a l i t y a d a l a h
u s a h a u n t u k m e n j a g a informasi dari orang yang tidak berhak mengakses.
Privacy lebih ke arah data-data yang sifatnya privat sedangkan confidentiality
biasanya berhubungan dengan data yang diberikan ke pihak lain untuk
keperluan tertentu (misalnya sebagai bagian dari pendaftaran sebuah servis)
dan hanya diperbolehkan untuk keperluan tertentu tersebut.
Contoh hal yang berhubungan dengan privacy adalah e-mail
seorang pemakai (user) tidak boleh dibaca oleh administrator. contoh confidential
information adalah data-data yang sifatnya pribadi (seperti nama, tempat
tanggal lahir, social security number, agama, stat us perkawinan,
penyakit yang pernahdi derita, nomor kartu kredit, dan sebagainya) merupakan
data-data yang ingin diproteksi penggunaan dan penyebarannya. contoh lain
dari confidentiality adalah daftar pelanggan dari sebuah internet service provider
(ISP).
2 . I n t e g r i t y
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa
seijin pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang
mengubah informasi tanpa ijin merupakan contoh masalah yang harus dihadapi.
Sebuah e-mail dapat saja “ditangkap” ('intercept) di tengah jalan,
diubah isinya (altered, tampered, modified), kemudian diteruskan ke
alamat yang dituju.
Dengan kata lain, integritas dari informasi sudah tidak terjaga.
Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi
masalah ini. S a l a h s a t u c o n t o h k a s u s t r o j a n h o r s e a d a l a h
d i s t r i b u s i p a k e t p r o g r a m T C P Wrapper (yaitu program populer yang
dapat digunakan untuk mengatur dan membatasi akses TCP/IP) yang dimodifikasi
oleh orang yang tidak bertanggungjawab. Jika anda memasang program yang
4. berisi trojan horse tersebut, maka ketika anda merakit (compile) program
tersebut, dia akan mengirimkan eMail kepada orang tertentu yang kemudian
memperbolehkan dia masuk ke sistem anda.
3 . A u t h e n t i c a t i o n
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi
betul- betul asli, orang yang mengakses atau memberikan informasi adalah betul-
betul orang yang dimaksud, atau server yang kita hubungi adalah betul-
betul server yang asli.
Masalah pertama, membuktikan keaslian dokumen, dapat
dilakukan dengan teknologi watermarking dan digital signature.
Watermarking juga dapat digunakan untuk menjaga “intelectual property”,
yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan”
pembuat. Masalah kedua biasanya berhubungan dengan access control, yaitu
berkaitan dengan pembatasan orangyang dapat mengakses informasi. Dalam hal ini
pengguna harus menunjukkan bukti bahwa memang dia adalah pengguna yang sah,
misalnya denganmenggunakan password,biometric (ciri-ciri khas orang),
dan sejenisnya. Penggunaan teknologi smart card, saat ini kelihatannya dapat
meningkatkan keamanan aspek ini. Secara umum, proteksi authentication
dapat menggunakan digital certificates. Authentication biasanya diarahkan
kepada pengguna, namun tidak pernah ditujukan kepada server atau mesin.
4 . A v a i l a b i l i t y
Aspek availability atau ketersediaan berhubungan dengan
ketersediaan informasi ketika dibutuhkan. Sistem informasi yang
diserang atau dijebol dapat menghambat atau meniadakan akses ke
informasi. Contoh hambatan adalah serangan yang sering disebut dengan
“denial of service attac” (DoS attack), dimana server dikirimi permintaan
(biasanya palsu) yang bertubi- tubi atau permintaan yang diluar perkiraan sehingga
tidak dapat melayani permintaan lain atau bahkan sampai down, hang, crash.
5. Contoh lain adalah adanya mailbomb, dimana seorang pemakai
dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang
besar sehingga sang pemakai tidak dapat membuka e-mailnya atau
kesulitan mengakses e-mailnya (apalagi jika akses dilakukan
melalui saluran telepon).Bayangkan apabila anda dikirimi 5000
email dan anda harus mengambil ( download) email tersebut melalui telepon
dari rumah.
5 . A c c e s s C o n t r o l
Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal
ini biasanya berhubungan dengan klasifikasi data (public, private, confidential, top
secret) & user (guest, admin, top manager, dsb), mekanisme
authentication dan juga privacy. Access control seringkali dilakukan
dengan menggunakan kombinasi userid/password atau dengan menggunakan
mekanisme lain (seperti kartu, biometrics).
6 . N o n - R e p u d i a t i o n
Aspek ini menjaga agar seseorang tidak dapat menyangkal
telah melakukan sebuah transaksi. Sebagai contoh, seseorang yang
mengirimkan email untuk memesan barang tidak dapat menyangkal bahwa dia telah
mengirimkan email tersebut.
Aspek ini sangat penting dalam hal electronic commerce.
Penggunaan digital signature, certifiates, dan teknologi kriptografi secara umum
dapat menjaga aspek ini. Akan tetapi hal ini masih harus didukung oleh hukum
sehingga status dari digital signature itu jelas legal. Hal ini akan dibahas lebih rinci
pada bagian tersendiri.
Manajemen Keamanan Informasi
Manajemen keamanan informasi menjadi penting diterapkan agar informasi
yang beredar di perusahaan dapat dikelola dengan benar sehingga perusahaan
6. dapat mengambil keputusan berdasarkan informasi yang ada dengan benar pula
dalam rangka memberikan layanan yang terbaik kepada pelanggan. ISM terdiri dari
empat langkah:
• Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi
perusahaan
• Mendefinisikan resiko dari ancaman yang dapat memaksakan
• Penetapan kebijakan keamanan informasi
• Menerapkan controls yang tertuju pada resiko
Tujuan Keamanan Informasi
Keamanan informasi dimaksudkan untuk mencapai tiga sasaran utama, yaitu:
• Kerahasiaan: melindungi data dan informasi perusahaan dari penyingkapan
orang –orang yang tidak berhak
• Ketersediaan: meyakinkan bahwa data dan informasi perusahaan hanya
dapat digunakan oleh orang yang berhak menggunakannya.
• Integritas: sistem informasi perlu menyediakan representasi yang akurat dari
sistem fisik yang direpresentasikan
Ancaman
• Ancaman keamanan informasi adalah seseorang, organisasi, mekanisme,
atau peristiwa yang dapat berpotensi menimbulkan kejahatan pada sumber
daya informasi perusahaan
• Ancaman dapat berupa internal atau external, disengaja atau tidak disengaja
Jenis- Jenis Ancaman:
• Malicious software, atau malware terdiri atas program-program lengkap atau
segmen-segmen kode yang dapat menyerang suatu system dan melakukan
fungsi-fungsi yang tidak diharapkan oleh pemilik system.
7. Peranti Lunak yang berbahaya (Malicious Software-Malware)
1. Virus
Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat
diamati oleh si pengguna dan menempelkan salinan dirinya pada program-
program dan boot sector lain
2. Worm
Program yang tidak dapat mereplikasikan dirinya sendiri di dalam sistem, tetapi
dapat menyebarkan salinannya melalui e-mail
3. Trojan Horse
Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri,
namun disebarkan sebagai perangkat
4. Adware
Program yang memunculkan pesan-pesan yang mengganggu
5. Spyware
Program yang mengumpulkan data dari mesin pengguna
Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal dari 3 hal
utama, yaitu :
1. Ancaman Alam
Yang termasuk dalam kategori ancaman alam terdiri atas :
Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi,
badai, pencairan salju
Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
2. Ancaman Manusia
Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :
Malicious code
Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures
Social engineering
8. Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS,
backdoor
Kriminal
Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
Teroris
Peledakan, Surat kaleng, perang informasi, perusakan
3. Ancaman Lingkungan
Yang dapat dikategorikan sebagai ancaman lingkungan seperti :
Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan
dalam jangka waktu yang cukup lama
Polusi
Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan
anti api, dll
Kebocoran seperti A/C, atap bocor saat hujan
Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau
belum teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara matriks
ancaman sehingga kemungkinan yang timbul dari ancaman tersebut dapat di
minimalisir dengan pasti. Setiap ancaman tersebut memiliki probabilitas serangan
yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan seperti
terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami mall
function.
Kebijakan Keamanan Informasi
Sebuah kebijakan keamanan infomasi bisa diimplementasikan menggunakan
5 pendekatan dibawah ini:
• Tahap 1: Pengenalan project.
• Tahap 2 Pengembangan kebijakan
• Tahap 3: Konsultasi dan penyetujuan
9. • Tahap 4: Kesadaran dan pendidikan
• Tahap 5: Penyebaran kebijakan
Kebijakan Keamanan yang Terpisah
• Keamanan Sistem Informasi
• Pengendalian Akses Sistem
• Keamanan Personel
• Keamanan Lingkungan Fisik
• Keamanan Komunikasi data
• Klasifikasi Informasi
• Perencanaan Kelangsungan Usaha
• Akuntabilitas Manajemen
kebijakan terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk
tulisan, dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan,
pengendalian dapat diimplementasikan.
Pengendalian Dalam menejeman Keamanan Informasi
- Kontrol
Kontrol adalah mekanisme yang diimplementasikan untuk melindungi
perusahaan dari resiko-resiko dan meminimalisir dampak dari resiko yang
terjadi:
• Technical control teknis dibangun didalam sistem oleh sistem
pengembang sementara proses pengembangan berjalan.
• Access control adalah dasar keamanan melawan ancaman oleh orang-
orang yan tidak berkepentingan langsung/terkait.
• Intrusion detection systems akan mencoba mencari tahu satu percobaan
yang dilakukan ntuk menerobos keamanan sebelum menimbulkan
kerusakan
10. - Pengendalian Teknis
Adalah pengendalian yang menjadi satu di dalam system dan dibuat olehpara
penyususn system selama masa siklus penyusunan system.Dilakukan melalui
tiga tahap:
1. Identifikasi Pengguna.
Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor
telepon.nomor telepon.
2. Otentikasi Pengguna
Pengguna memverivikasi hak akses dengan cara memberikan sesuatu
yang mereka miliki, seperti chip identifikasi atau tanda tertentu.
3. Otorisasi Pengguna
Pengguna dapat mendapatkan wewenang untuk memasuki tingkat
penggunaan tertentu.
Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat
menggunakan sumber daya informasi yang terdapat di dalam batasan file
akses.
- Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah mengenali upaya
pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan
perusakan.
Contoh:
Peranti lunak proteksi virus (virus protection software).Peranti lunak yang
didesain untuk mencegah rusaknya keamanan sebelum terjadi.
- Firewall
11. Suatu Filter yang membatasi aliran data antara titik-titik pada suatu jaringan-
biasanya antara jaringan internal perusahaan dan Internet.
Berfungsi sebagai:
1. Penyaring aliran data
2. Penghalang yang membatasi aliran data ke dan dari perusahaan tersebut
dan internet.
Jenis:
Firewall Paket
Firewall Tingkat Sirkuit
Firewall Tingkat Aplikasi
- Pengendalian Kriptografis
Merupakan penggunaan kode yang menggunakan proses-proses
matematika.Meningkatkan keamanan data dengan cara menyamarkan data
dalam bentuk yang tidak dapat dibaca. Berfungsi untuk melindungi data dan
informasi yang tersimpan dan ditransmisikan, dari pengungkapan yang tidak
terotorisasi.
• Enkripsi: merubah data asli menjadi data tersamar.
• Deksipsi: merubah data tersamar menjadi data asli.
Kriptografi terbagi menjadi:
Kriptografi Simetris
Dalam kriptografi ini, kunci enkripsi sama dengan kunci dekripsi.
Kriptografi Asimetris
Dalam kriptografi ini, kunci enkripsi tidak sama dengan kunci dekripsi.
Contoh:
Enkripsià kunci public
Dekripsià Kunci Privat
Kriptografi Hybrid
12. Menggabungkan antara kriptografi simetris dan Asimetris, sehingga
mendapatkan kelebihan dari dua metode tersebut.
Contoh:
SET (Secure Electronic Transactions) pada E-Commerce
- Pengendalian Fisik
Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah
mengunci pintu ruangan computer.Perkembangan seterusnya menghasilkan
kunci-kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan
dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan.
- Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi
prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan
perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat
formal karena manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku
dalam jangka panjang.
- Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi
serta program pembangunan manajemen.Pengendalian ini ditunjukan untuk
menjaga agar para karyawan perusahaan memahami serta mendukung
program keamanan tersebut.
Resiko
Tindakan tidak sah yang menyebabkan resiko dapat digolongkan ke dalam empat
jenis :
• Pencurian dan Penyingkapan tidak sah
13. • Penggunaan Tidak Sah
• Pembinasaan dan Pengingkaran Layanan yang tidak sah
• Modifikasi yang tidak sah
Manajemen Risiko (Management Risk)
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai
keamanan informasi. Risiko dapat dikelola dengan cara mengendalikan atau
menghilangkan risiko atau mengurangi dampaknya.
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
1. dampak yang parah (severe impact) yang membuat perusahaan bangkrut
atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
2. dampak signifikan (significant impact) yang menyebabkan kerusakan dan
biaya yang signifikan, tetapi perusahaan tersebut tetap selamat
3. dampak minor (minor impact) yang menyebabkan kerusakan yang mirip
dengan yang terjadi dalam operasional sehari-hari.
Tabel Tingkat Dampak dan Kelemahan
Dampak Parah Dampak Signifikan Dampak
Minor
Kelemahan
Tingkat
Tinggi
Melaksanakan analisis
kelemahan. Harus
meningkatkan
pengendalian
Melaksanakan analisis
kelemahan.
Harus meningkatkan
pengendalian
Analisis
kelemahan
tidak
dibutuhkan
Kelemahan
Tingkat
Menengah
Melaksanakan analisis
kelemahan. Sebaiknya
meningkatkan
pengendalian.
Melaksanakan analisis
kelemahan. Sebaiknya
meningkatkan
pengendalian.
Analisis
kelemahan
tidak
dibutuhkan
14. Kelemahan
Tingkat
Rendah
Melaksanakan analisis
kelemahan. Menjaga
Pengendalian tetap ketat.
Melaksanakan analisis
kelemahan. Menjaga
Pengendalian tetap
ketat.
Analisis
kelemahan
tidak
dibutuhkan
Kelemahan keamanan sistem informasi
Adalah cacat atau kelemahan dari suatu sistem yang mungkin timbul pada
saat mendesain, menetapkan prosedur, mengimplementasikan maupun kelemahan
atas sistem kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku
yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada
prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin
terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari
luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.
Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan,
yaitu :
1) Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan
ancaman dan kelemahan
2) Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan
proses yang mengubah sistem dari keadaan normal menjadi keadaan
abnormal
3) Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang
sudah tidak seimbang untuk dikembalikan dalam keadaan normal
Tindakan tersebutlah menjadikan bahwa keamanan sistem informasi tidak
dilihat hanya dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan
masalah lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan
sistem itu sendiri.
15. Serangan-serangan dalam Keamanan Informasi
1) Serangan untuk mendapatkan akses
Caranya antara lain: Menebak password, terbagi menjadi 2 cara:
Teknik mencoba semua kemungkinan password
Mencoba dengan koleksi kata-kata yang umum dipakai. Missal: nama anak,
tanggal lahir
2) Serangan untuk melakukan modifikasi
Setelah melakukan serangan akses biasanya melakukan sesuatu pengubahan
untuk mendapatkan keuntungan. Contoh:
Merubah nilai
Penghapusan data hutang di bank
3) Serangan untuk menghambat penyediaan layanan
Cara ini berusaha mencegah pihak-pihak yang memiliki pemakai sah atau
pengaruh luas dan kuat untuk mengakses sebuah informasi
Missal:
Mengganggu aplikasi
Mengganggu system
Mengganggu jaringan
Pentingnya Keamanan system
Sistem Informasi diperlukan karena:
1) Teknologi Komunikasi Modern yang membawa beragam dinamika dari dunia
nyata ke dunia virtual
Contohnya adalah: dalam bentuk transaksi elektronik seperti e-banking, dan
pembawa aspek positif maupun negative, misalnya: pencurian, pemalsuan, dan
penggelapan menggunakan internet.
2) Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai
Contoh: Pemakai kurang menguasai computer.
3) Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai ekonomis.
16. Contoh: dokumen rancangan produk baru, kartu kredit, dan laporan keuangan
perusahaan
Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan,
secara umum diartikan sebagai “quality or state of being secure-to be free from
danger” [1]. Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan
bahaya. Keamanan bisa dicapai dengan beberapa strategi yang biasa dilakukan
secara simultan atau digunakan dalam kombinasi satu dengan yang lainnya. Strategi
keamanan informasi memiliki fokus dan dibangun pada masing-masing ke-khusus-
annya. Contoh dari tinjauan keamanan informasi adalah:
• Physical Security yang memfokuskan strategi untuk mengamankan pekerja
atau anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman
meliputi bahaya kebakaran, akses tanpa otorisasi, dan bencana alam.
• Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi
orang-orang dalam organisasi.
• Operation Security yang memfokuskan strategi untuk mengamankan
kemampuan organisasi atau perusahaan untuk bekerja tanpa gangguan.
• Communications Security yang bertujuan mengamankan media komunikasi,
teknologi komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat
ini untuk mencapai tujuan organisasi.
• Network Security yang memfokuskan pada pengamanan peralatan jaringan
data organisasi, jaringannya dan isinya, serta kemampuan untuk
menggunakan jaringan tersebut dalam memenuhi fungsi komunikasi data
organisasi.
Bagaimana mengamankannya?
Manajemen keamanan informasi memiliki tanggung jawab untuk program
khusus, maka ada karakteristik khusus yang harus dimilikinya, yang dalam
manajemen keamanan informasi dikenal sebagai 6P yaitu:
Planning
17. Planning dalam manajemen keamanan informasi meliputi proses
perancangan, pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada
tiga tahapannya yaitu:
1) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi
untuk periode yang lama, biasanya lima tahunan atau lebih,
2) tactical planning memfokuskan diri pada pembuatan perencanaan dan
mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode
yang lebih singkat, misalnya satu atau dua tahunan,
3) operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi
tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang
dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi
keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada
beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
v Incident Response Planning (IRP)
IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi,
dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan
sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar
terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan
ancaman yang telah terjadi dan menyerang aset informasi, dan mengancam
confidentiality, integrity atau availbility sumberdaya informasi. Insident Response
Planning meliputi incident detection, incident response, dan incident recovery.
v Disaster Recovery Planning (DRP)
Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan
melakukan pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi
dalam IRP dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP
tidak dapat lagi menanganinya secara efektif dan efisien untuk melakukan
pemulihan dari insiden itu. Insiden dapat kemudian dikategorikan sebagai bencana
jika organisasi tidak mampu mengendalikan akibat dari insiden yang terjadi, dan
18. tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu yang
lama untuk melakukan pemulihan.
v Business Continuity Planning (BCP)
Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa
berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya
pendukungnya merupakan tugas utama business continuity planning. Jika terjadi
bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif.
Faktor penting yang diperhitungkan dalam BCP adalah biaya.
Policy
Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
• Enterprise Information Security Policy (EISP) menentukan kebijakan
departemen keamanan informasi dan menciptakan kondisi keamanan
informasi di setiap bagian organisasi.
• Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang
menjelaskan perilaku yang dapat diterima dan tidak dapat diterima dari segi
keamanan informasi pada setiap teknologi yang digunakan, misalnya e-mail
atau penggunaan internet.
• System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat
atau teknologi secara teknis atau manajerial.
Programs
Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur
dalam beberapa bagian. Salah satu contohnya adalah program security education
training and awareness. Program ini bertujuan untuk memberikan pengetahuan
kepada pekerja mengenai keamanan informasi dan meningkatkan pemahaman
keamanan informasi pekerja sehingga dicapai peningkatan keamanan informasi
organisasi.
Protection
19. Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko,
meliputi perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme
proteksi, teknologi proteksi dan perangkat proteksi baik perangkat keras maupun
perangkat keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam
rencana keamanan informasi.
People
Manusia adalah penghubung utama dalam program keamanan informasi.
Penting sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program
keamanan informasi. Aspek ini meliputi personil keamanan dan keamanan personil
dalam organisasi.
Standar apa yang digunakan?
ISO/IEC 27001 adalah standar information security yang diterbitkan pada
October 2005 oleh International Organization for Standarization dan International
Electrotechnical Commission. Standar ini menggantikan BS-77992:2002.
ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan
swasta, lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005
menjelaskan syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor,
menganalisa dan memelihara seta mendokumentasikan Information Security
Management System dalam konteks resiko bisnis organisasi keseluruhan
ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem
manajemen keamanan informasi (ISMS). ISMS yang baik akan membantu
memberikan perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan
melindungi proses bisnis yang penting agar terhindar dari resiko kerugian/bencana
dan kegagalan serius pada pengamanan sistem informasi, implementasi ISMS ini
akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang
ditimbulkan dalam masa waktu yang tidak lama.
Contoh :
Persoalan E-Commerce
20. E-commerce (perdagangan elektronik) telah memperkenalkan keamanan
baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi
perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang di lakukan
oleh gartner group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para
peritel.
E-Commerce di bandingkan dengan para pedagang yang berurusan dengan
pelanggan mereka secara langsung. Untuk mengatasi masalah ini, perusahaan-
perusahaan kartu kredit yang utama telah mengimplementasikan program yang di
tujukan secara khusus untuk keamanan kartu kredit e-commerce.
21. DAFTAR PUSTAKA
https://www.proxsisgroup.com/articles/manajemen-keamanan-
informasi-di-perusahaan/
MGA Maggie, 2013. http://megyanggraini.blogspot.com/2013/07/sistem-
informasi-manajemen-keamanan.html (04 Jul 2013)
https://jigokushoujoblog.wordpress.com/2010/11/20/pentingnya-
manajemen-kontrol-keamanan-pada-sistem/
Rosadi, Cepi, 2014. http://cvrosadi.blogspot.com/2014/07/makalah-
manajemen-keamanan-informasi.html (03 Jul 2014)
Kurnia, Nadya. https://id.scribd.com/doc/292989180/sistem-keamanan-
informasi-manajemen
Putra, Yananto Mihadi. (2018). Modul Kuliah Sistem Informasi
Manajemen: Implementasi Sistem Informasi. FEB - Universitas Mercu
Buana: Jakarta