Sipi, windayani rajagukguk, hapzi ali, 2018, sistem informasi dan pemahaman serangan
1. SISTEM INFORMASI DAN PENGENDALIAN INTERNAL
“Sistem Informasi dan Pemahaman Serangan”
Disusun Oleh:
Windayani Rajagukguk
55518110046
Dosen Pengampu:
Prof. Dr. Ir. Hapzi Ali, MM, CMA
MAGISTER AKUNTANSI
UNIVERSITAS MERCU BUANA
JAKARTA
2018
2. Konsep Keamanan Sistem Informasi dan Pemahaman Serangan
Keamanan sistem informasi adalah sangat penting untuk menjaga validitas dan integritas data
serta menjamin ketersediaan layanan begi penggunanya. Sistem harus dilindungi dari segala
macam serangan dan usaha penyusupan atau pemindaian oleh pihak yang tidak berhak.
Konsep-konsep dasar keamanan sistem informasi, yang meliputi:
· Latar Belakang perlunya keamanan sistem informasi
· Pengertian keamanan sistem informasi/keamanan komputer
· Tujuan Keamanan sistem informasi
· Aspek keamanan sistem informasi
Latar Belakang Perlunya Keamanan Sistem Informasi
Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi
sangat esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi, lembaga
pemerintahan, maupun individual. Jatuhnya informasi ke tangan pihak lain dapat
menimbulkan kerugian bagi pemilik informasi. Untuk itu keamanan dari sistem informasi
yang digunakan harus terjamin dalam batas yang dapat diterima.
Masalah keamanan menjadi aspek penting dari sebuah sistem informasi. Sayang sekali
masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola
sistem informasi. Berikut ini adalah berapa contoh kegiatan yang dapat dilakukan (Budi
Raharjo, 2005):
Pengertian Keamanan Sistem Informasi/Keamanan Komputer
Berikut beberapa pengertian dari kemanan sistem informasi:
John D. Howard, Computer Security is preventing attackers from achieving objectives
through unauthorized access or unauthorized use of computers and networks.
G. J. Simons, keamanan sistem informasi adalah bagaimana kita dapat mencegah penipuan
(cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis
informasi, dimana informasinya sendiri tidak memiliki arti fisik.
Wikipedia, keamanan komputer atau sering diistilahkan keamanan sistem informasi adalah
cabang dari teknologi komputer yang diterapkan untuk komputer dan jaringan. Tujuan
keamanan komputer meliputi perlindungan informasi dan properti dari pencurian, kerusakan,
atau bencana alam, sehingga memungkinkan informasi dan aset informasi tetap diakses dan
produktif bagi penggunanya. Istilah keamanan sistem informasi merujuk pada proses dan
mekanisme kolektif terhadap informasi yang sensitif dan berharga serta pelayann publikasi
yang terlindungi dari gangguan atau kerusakan akibat aktivitas yang tidak sah, akses individu
yang tidak bisa dipercaya dan kejadian tidak terencana.
Tujuan Keamanan Sistem Informasi
Keperluan pengembangan Keamanan Sistem Informasi memiliki tujuan sebagai berikut
· Penjaminan INTEGRITAS informasi.
3. · Pengamanan KERAHASIAN data.
· Pemastian KESIAGAAN sistem informasi.
· Pemastian MEMENUHI peraturan, hukum, dan bakuan yang berlaku.
Domain Keamanan Sistem Informasi
· Keamanan Pengoperasian , teknik-teknik kontrol pada operasi personalia, sistem
informasi dan perangkat keras.
· Keamanan Aplikasi dan Pengembangan Sistem, mempelajari berbagai aspek keamanan
serta kendali yang terkait pada pengembangan sistem informasi. Cakupannya meliputi:
· Tingkatan Kerumitan Fungsi dan Aplikasi
· Data Pengelolaan Keamanan Basis Data
· SDLC: Systems Development Life Cycle
· Metodology Pengembangan Aplikasi
· Pengendalian Perubahan Perangkat Lunak
· Program Bermasalah;
Aspek Keamanan Sistem Informasi
Dalam suatu sistem informasi, keamanan data sangatlah penting. Adanya pihak-pihak lain
yang mengetahui kerahasiaan informasi akan membuat pemilik sistem mengalami ancaman.
Oleh karena itu, perlu diketahui cara-cara untuk mencegah, mengatasi dan mengidentifikasi
ancaman dan gangguan keamanan sistem informasi.
Data yang bersifat terbuka membutuhkan skill keamanan yang harus semakin bertambah
dengan ketersediaan support sistem informasi manajemen, DSS dan sistem pakar. Keamanan
sistem juga perlu dikaji dari Ekisekutif, SDM, Keuangan dan SDA. Untuk itu perlu untuk
memahami apa itu serangan untuk penanggulangan serangan itu sendiri.
Aspek keamanan informasi adalah aspek – aspek yang berada dalam lingkungan keamanan
informasi dalam suatu sistem informasi.
· Aspek Confidentiality adalah aspek yang memiliki konsep untuk melindungi sebuah
privasi informasi agar tidak bocor ke pihak yang tidak bertanggung jawab.
Contoh: konfirmasi akun LINE dengan scan barcode yang ada di Smartphone ketika
membuka akun LINE melalui PC.
· Aspek Integrity adalah aspek yang dikonsep untuk melindungi ketepatan pemrosesan
dan data dari modifikasi yang sesuai.
Contoh: ketika seorang nasabah akan memasukan uang ke dalam rekening, nasabah akan
mengisi blangko yang tersedia lalu menyerahkan blangko yang sudah diisi beserta uang yang
ingin di masukan ke rekening kepada Teller, dan Teller tersebut memasukan jumlah uang ke
rekening nasabah. Hak Teller untuk menambah jumlah saldo merupakan contoh integrity
4. karena hanya Teller yang berwenang untuk menambah jumlah saldo sesuai yang disetorkan
nasabah.
· Aspek Availability adalah konsep untuk memastikan bahwa suatu sistem dapat
menyediakan akses informasi ketika dibutuhkan.
Contoh: bank membutuhkan akses informasi ketika menyusun laporan akhir tahun, dan
sistem harus mampu menjamin data yang diinginkan dapat terpenuhi seperti dana masuk,
dana keluar, dana tersimpan, pinjaman, dan lain – lain.
· Aspek Control Access adalah konsep untuk memastikan sesesorang mempunyai
autorisasi yang sesuai dengan setiap pihak dapat mengakses informasi.
Contoh: penggunaan PIN ketika melakukan transaksi menggunakan ATM. Penggunaan
access control dapat membantu mengamankan data yang bersifat rahasia.
· Aspek Non-repudiation adalah sebuah konsep untuk menjaga agar sesorang tidak
menyangkal transaksi yang pernah dilakukan.
Contoh: seseorang mengirimkan email untuk memesan/membeli barang tidak dapat disangkal
bahwa orang tersebut pernah malakukan transaksi.
· Aspek Authentification adalah agar penerima dapat mengetahui keaslian dari pengirim
informasi dan informasi tersebut benar dan dapat dipertanggungjawabkan.
Contoh: adanya sign in, login, dan sign up dihampir semua akun media sosial bahwa untuk
memastikan bahwa yang mengakses adalah pemilik akun tersebut.
· Aspek Authority adalah informasi yang berada dalam sistem hanya dapat diubah oleh
yang diberi hak akses untuk mengubah, sedangkan pengunjung hanya diberi hak akses untuk
menampilkan informasi.
Contoh: dalam sebuah website hanya admin yang dapat mengatur isi dan tampilan website
dan pengunjung hanya dapat menampilkan informasi yang disajikan oleh admin web dan juga
memberi komentar.
Aspek Ancaman Keamanan Sistem Informasi
· Interruption : informasi dan data yang ada dalam sistem komputer dirusak dan dihapus
sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.
· Interception : merupakan Ancaman terhadap kerahasiaan. informasi yang ada disadap
atau orang yang tidak berhak untuk mendapatkan akses ke komputer di mana informasi
tersebut disimpan. Pada aspek ini, data berhasil diambil sebelum atau sesudah data
ditransmisikan ke tujuan. teknik ini sangat sering dilakukan dan sangat transparan. bahkan
mungkin saat ini kita sedang disadap namun kita tak pernah menyadari hal tersebut.
· Modifikasi : Aspek modifikasi merupakan ancaman terhadap integritas. Orang yang
tidak berhak berhasil menyadap lalu lintas informasi yang sedang dikirim dan diubah sesuai
keinginan tersebut.Pada Aspek ini informasi atau data tidak langsung terkirim ke tujuan,
namun terkirim ke pelaku dan pelaku mempunyai otoritas full apakah data ingin diubah,
dihapus bahkan pelaku bisa saja tidak meneruskan informasi tersebut ke tujuan.
· Fabrication : Fabrication merupakan ancaman terhadap integrity. orang yang tidak
berhak berhasil meniru dengan memalsukan suatu informasi yang ada sehingga orang
menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang
dikehendaki oleh si penerima informasi tersebut.
5. Tipe-Tipe dalam Pengendalian
Dalam pengawasan menurut winardi (2000) terbagi menjadi 3 tipe atas dasar fokus aktivitas
pengawasan.yaitu antara lain:
1. Pengawasan Pendahuluan (Preliminary Control)
Prosedur-prosedur pengawasan pendahuluan mencakup semua upaya manajerial guna
memperbesar hasil aktual akan berdekatan hasilnya dibanding dengan hasil yang
diperkirakan/rencanakan.Dipandang dari sudut prespektif,kebijaksanaan merupakan pedoman
dimasa yang akan datang.Merumuskan kebijakan-kebijakan termasuk dalam fungsi
perencanaan sedang tindakan implementasi kebijakan merupakan bagian dari fungsi
pengawasan.
Pengawasan Pendahuluan Meliputi:
1. Pengawasan pendahuluan sumber daya manusia
2. Pengawasan pendahuluan Modal
3. Pengawasan pendahuluan Bahan-bahan
4. Pengawasan pendahuluan sumber daya finansial
2. Pengawasan Pada Saat Kerja Berlangsung (Cocurent Control)
Adalah merupakan tindakan yang biasa dilakukan oleh supervisor yang mengarahkan
pekerjaan bawahannya.Direction berhubung dengan tindakan para manager untuk berupaya:
1. Mengajarkan para bawahan bagaimana cara yang baik untuk menerapkan metode
atau standart kerja(SOP)
2. Mengawasi pekerjaan harus disesuaikan dengan standart yang ada,supaya hasil yang
diharapkan sesuai dengan cita-cita
3. Proses pengawasan ini tidak hanya meliputi cara apa yang dipakai atau
dikomuniksikan namun juga sikap perorangan memberikan penyerahannya.
4. Pengawasan Feed Back (Feed Back Control)
Ciri khas dari metode pengawasan ini adalah feed back (umpan balik) adalah
dipusatkan pada hasil historikal sebagai landasan untuk mengoreksi tujuan yang akan datang.
Sejumlah pengawasan feed back banyak dilakukan oleh dunia bisnis.
1. Analisa laporan keuangan (Financial Statement Analysis)
2. Analisa Biaya standard (Standard Cost Analysis)
3. Pengawasan Kualitas (Quality Control)
4. Evaluasi hasil pekerjaan pekerja/karyawan(Employe Perfomance Evaluation)
Prinsip-prinsip The Five Trust Service untuk keandalan system
6. 1. Security : Sistem dan data di dalam yang dikendalikan serta terbatas untuk pengguna
yang sah serta terlindungan dari serangan dari luar seperti akses yang tidak diotorisasi, baik
akses fisik atau akses atas perangkat lunak sistem
2. Availability : Sistem dan informasi tersedia saat diperlukan atau dibutuhkan untuk
memenuhi kewajiban operasional dan kontraktual
3. Processing integrity : data yg proses dengan sistem yang dilakukan secara lengkap,
akurat, tepat waktu dan terotorisasi
4. Confidentiality : Informasi yang didesain secara rahasia terlindungi dari pihak-pihak
yang tidak diijinkan untuk mengakses sistem tersebut adalah informasi keorganisasian yang
sensitive yang terlindungi dari pengungkapan yang tanpa izin.
5. Privacy : Informasi pribadi dikumpulkan, digunakan, ditahan, dan diungkapkan sesuai
dengan kebutuhan tentang pelanggan, pegawai, pemasok atau rekan kerja hanya terhadap
kebijakan internal dan persyaratan peraturan eksternal serta terlindungi daripengungkapan
tanpa izin.
Daftar Pustaka
Hapzi Ali, 2018, Modul Sistem Informasi & Pengendalian Internal. Universitas Mercu Buana
http://id.wikipedia.org/wiki/Keamanan_informasi
https://yenifitra32.wordpress.com/2013/04/26/29/
https://irham30.blogspot.co.id/2012/05/8-aspek-keamanan-informasi.html?m=1
http://student.blog.dinus.ac.id/fachrizanoor/2017/10/15/aspek-aspek-keamanan-informasi/
http://student.blog.dinus.ac.id/agungwicaksono/2017/10/17/aspek-ancaman-keamanan-
informasi/
http://anitamutez.blogspot.com/2012/01/tipe-tipe-dan-jenis-jenis-pengawasan.html
http://wendinurhayat.blogspot.com/2018/04/konsep-dasar-keamanan-informasi.html