RANGKUMAN MATA KULIAH

SISTEM INFORMASI MANAJEMEN

MELINDUNGI SISTEM INFORMASI








LINDA MEGANITA
RADEN YESSY C.D
RIDHA YAMIN


KELAS C
S1 AKUNTANSI TRANSFER
2013/2014
FAKULTAS EKONOMI
UNIVERSITAS NEGERI SEBELAS MARET SURAKARTA
1

MELINDUNGI SISTEM INFORMASI

1. KERENTANAN DAN PENYALAHGUNAAN SISTEM
Pengamanan dan pengendalian menjadi prioritas utama dalam dunia bisnis saat
ini. Pengamanan (security) berupa kebijakan, prosedur dan teknis yang digunakan untuk
mencegah akses yang tak terotorisasi, pengubahan, pencurian atau perusakan fisik
terhadap sistem informasi. Pengendalian (control) adalah metode, kebijakan dan
prosedur organisasi yang menjamin keamanan aset-aset organisasi, akurasi dan
kehandalan catatan dan kepatuhan operasional terhadap standar manajemen.
1.1 Mengapa Sistem Dapat Menjadi Rentan
Sistem dapat menjadi rentan karena adanya kerentanan terhadap internet dan
tantangan pengamanan nirkabel. Data-data dalam jumlah besar yang tersimpan
dalam bentuk elektronik menjadi lebih rentan terhadap banyak ancaman daripada
ketika tersimpan dalam bentuk manual/fisik karena melalui jaringan komunikasi,
sistem informasi di lokasi berbeda menjadi terhubung. Hal ini menimbulkan
potensi adanya akses yang tak terotorisasi, penyalahgunaan atau kecurangan yang
dapat terjadi pada titik akses manapun dalam jaringan. Ancaman terhadap sistem
dapat berasal dari faktor teknis, organisasional, dan lingkungan yang diperburuk
oleh keputusan manajemen yang buruk.
a. Kerentanan Internet
Ketika internet menjadi bagian dari jaringan perusahaan, sistem informasi
organisasi menjadi lebih rentan terhadap tindakan-tindakan jahat dari pihak
luar.Jaringan publik yang besar seperti internet lebih rentan daripada jaringan
internal karena secara virtual ia terbuka bagi siapapun. Kapasitas internet
sangat besar sehingga ketika penyalahgunaan terjadi, akan berdampak sangat
luas dan besar.
b. Tantangan Pengamanan Nirkabel
Jaringan nirkabel bisa sangat rentan, bahkan jaringan nirkabel dalam rumah
pun demikian karena frekuensi radionya mudah untuk dipindai/dilacak.
Bahkan jaringan Bluetooth dan Wi-Fi sangat mudah dimanfaatkan oleh para
pengintai/penyusup.


2

1.2 Peranti Lunak Berbahaya: Virus, Worm, Trojan Horse dan Spyware
Malware adalah program peranti lunak yang berbahaya/malicious software
termasuk di dalamnya adalah beragam ancaman seperti virus, worm dan Trojan
horse.
a. Virus komputer adalah program perangkat lunak berbahaya yang
menempelkan dirinya kepada program perangkat lunak lain atau pada data
file dengan tujuan untuk dieksekusi, biasanya tanpa sepengetahuan atau seizin
pengguna. Kebanyakan virus komputer mengirim payload. Payload bisa
relatif tidak berbahaya seperti hanya memunculkan pesan atau gambar namun
bisa juga sangat merusak (merusak program atau data, menghambat memori
komputer, memformat ulang hard drive komputer atau menyebabkan program
komputer berjalan tak normal).
b. Worm adalah program komputer independen yang menyalin dirinya sendiri
dari komputer ke komputer dalam suatu jaringan. Worm dapat beroperasi
sendiri tanpa menempel pada program komputer lain dan tidak terlalu
bergantung pada perilaku manusia untuk menyebar dari komputer ke
komputer. Worm merusak data dan program serta mengganggu dan bahkan
menghentikan operasi jaringan komputer.
c. Trojan horse adalah program perangkat lunak yang tampak tidak berbahaya
namun kemudian melakukan hal-hal di luar dugaan seperti Zeus Trojan yang
mampu mencuri data finansial dan personal dengan diam-diam melacak
tombol-tombol para pengguna komputer saat mereka memasukkan informasi
ke dalam komputer. Trojan horse bukanlah virus karena ia tidak bereplikasi,
namun ia sering menjadi jalan untuk virus atau kode berbahaya lain untuk
masuk ke dalam sistem komputer.
d. Spyware merupakan program kecil yang dapat menginstal sendiri secara
diam-diam pada komputer untuk memonitor aktivitas pengguna dalam Web
dan memunculkan iklan-iklan. Beberapa spyware bahkan termasuk jahat.
Misalnya keylogger yang merekam pencetan tombol pada komputer untuk
mencuri nomor seri software, meluncurkan serangan internet, memperoleh
akses ke akun e-mail atau mengambil informasi pribadi seperti nomor kartu
kredit.


3

1.3 Hacker dan Vandalisme Maya
Seorang hacker adalah seseorang yang berniat memperoleh akses tanpa
otorisasi terhadap sistem komputer. Dalam komunitas peretas, istilah cracker
secara khusus digunakan untuk merujuk pada peretas dengan maksud
jahat/kriminal. Aktivitas peretas telah meluas mulai hanya sekadar penyusupan
hingga termasuk pencurian barang dan informasi termasuk perusakan sistem dan
cybervandalism yaitu gangguan yang disengaja, perusakan, atau bahkan
penghancuran situs Web atau sistem informasi perusahaan.
a. Spoofing
Spoofing mencakup pengalihan tujuan dari alamat Web yang seharusnya ke
alamat lain yang disamarkan agar mirip dengan alamat Web yang sebenarnya
ingin dituju. Dengan cara ini, peretas dapat mencuri informasi bisnis dan
pelanggan yang sensitif untuk disalahgunakan
b. Sniffing
Sniffing adalah jenis program pengintai yang memonitor informasi yang
beredar dalam jaringan. Bila digunakan dengan benar, sniffer membantu
mengidentifikasi titik masalah atau aktivitas kriminal dalam jaringan, namun
ketika digunakan untuk tujuan kriminal, hal ini dapat sangat merusak dan
susah dideteksi karena peretas mampu mencuri informasi pribadi dari
siapapun dalam jaringan termasuk pesan e-mail, file perusahaan dan laporan
rahasia.
c. Serangan Penolakan Layanan/Denial-of-Service (DoS)
Dalam DoS attack, peretas membanjiri server jaringan atau Web dengan
ribuan komunikasi atau permintaan jasa yang salah untuk membuat jaringan
mengalami crash. Jaringan menerima terlalu banyak permintaan/query hingga
tak mampu menampung lagi dan tak bisa melayani permintaan yang sah.

1.4 Kejahatan Komputer dan Terorisme Maya
Sebagian besar aktivitas hacker adalah pelanggaran kriminal dan kerentanan
yang membuat sistem menjadi target kejahatan komputer.
a. Pencurian Identitas
Pencurian identitas adalah kejahatan oleh penipu yang memperoleh informasi
personal kunci seperti nomor identifikasi jaminan sosial, nomor SIM atau
nomor kartu kredit untuk berpura-pura menjadi orang lain yang kemudian
4

dapat digunakan untuk memperoleh pinjaman, membeli barang atau memesan
jasa atas nama korban pencurian identitas tersebut.
b. Click Fraud (Penipuan Lewat Klik)
Click fraud terjadi ketika seseorang atau program komputer secara curang
meng-klik iklan online tanpa niat untuk mengetahui lebih jauh mengenai
pengiklan atau melakukan pembelian. Click fraud menjadi masalah serius
pada Google dan situs Web lain yang memiliki fitur iklan online pay-per-
click. Beberapa perusahaan bahkan memakai jasa pihak ketiga untuk secara
curang meng-klik iklan perusahaan kompetitor untuk melemahkan mereka
dengan pembengkakan biaya iklan/pemasaran.
c. Terorisme Maya dan Perang Maya
Kerentanan internet dapat dimanfaatkan oleh teroris, badan intel luar negeri,
atau kelompok lain untuk menciptakan gangguan dan bahaya luas. Hal ini
menjadi ancaman Global (Cyberterrorism dan Cyberwarfare). Kekhawatiran
mulai memuncak karena kerentanan internet dan jaringan lain membuat
jaringan digital menjadi target yang mudah untuk serangan digital oleh teroris,
intelijen asing atau kelompok lain yang ingin menciptakan kekacauan dan
kerugian yang luas.

1.5 Ancaman Internal: Karyawan
Kurangnya pengetahuan sering menjadi penyebab utama pelanggaran keamanan
jaringan. Banyak karyawan membiarkan rekannya menggunakan password-nya
yang sebenarnya bisa disalahgunakan. Penyusup yang mencari akses ke dalam
sistem kadang mampu menipu karyawan untuk memberikan password mereka
dengan berpura-pura menjadi anggota penting perusahaan untuk mencari
informasi. Praktik ini disebut sosial engineering.
Pihak di dalam perusahaan juga bisa menjadi masalah keamanan yang serius.
Karyawan memiliki akses terhadap informasi istimewa, dan dalam prosedur
keamanan yang ceroboh, mereka dapat dengan mudah berkeliaran dalam sistem
organisasi tanpa meninggalkan jejak.

5

1.6 Kerentanan Peranti Lunak
Kesalahan-kesalahan peranti lunak membawa ancaman yang konstan terhadap
sistem informasi. Masalah utama pada perangkat lunak adalah munculnya bug
atau kecacatan kode program. Penelitian menunjukkan bahwa hampir tidak
mungkin menghilangkan semua bug dalam program yang besar. Sumber utama
bug adalah kompleksitas kode dalam pengambilan keputusan. Untuk memperbaiki
cacat dalam perangkat lunak ketika telah teridentifikasi, vendor membuat
perangkat lunak kecil yang disebut patch untuk memperbaiki cacat tanpa
mengganggu operasi perangkat lunaknya.

2. NILAI BISNIS DARI PENGAMANAN DAN PENGENDALIAN
Pengamanan dan pengendalian sistem informasi memiliki peranan penting karena
sistem informasi menyimpan informasi rahasia (pajak, aset keuangan, catatan
kesehatan, ulasan kinerja perorangan), sistem informasi dapat berisi informasi operasi
perusahaan (rahasia dagang, rencana pengembangan produk baru, strategi pemasaran),
sistem informasi menyimpan informasi senjata, operasi intelejen, sasaran militer, dan
sistem informasi menyimpan informasi milik pelanggan, karyawan atau mitra bisnis.
2.1 Persyaratan Hukum dan Peraturan Untuk Manajemen Catatan Elektronik
Peraturan pemerintah AS mendesak perusahaan untuk melakukan pengamanan
dan pengendalian secara lebih serius dengan mengharuskan data dilindungi dari
penyalahgunaan dan akses yang tidak sah.
Pada bidang kesehatan terdapat Health Insurance Portability and Accountability
Act (HIPAA). HIPAA mengharuskan penyimpanan informasi pasien selama 6
tahun dan menjamin kerahasiaannya, merinci standar privasi keamanan dan
transaksi elektronik bagi penyedia jasa pelayanan kesehatan, memberi sanksi bagi
pelanggaran privasi, pengungkapan catatan medis pasien.
Pada bidang jasa keuangan terdapat aturan Gramm-Leach-Bliley Act yang
mengharuskan institusi keuangan untuk menjamin keamanan dan kerahasiaan data
pelanggan dan memastikan data harus disimpan pada media yang aman.
Pada bidang usaha publik terdapat aturan Sarbanes-Oxley Act yang
mengharuskan manajemen untuk melindungi akurasi dan integritas informasi
keuangan dan mengharuskan pengendalian internal dilakukan dalam membuat dan
mendokumentasikan informasi LK.

6

2.2 Bukti Elektronik dan Ilmu Forensik Komputer
Ilmu Forensik Komputer adalah proses ilmiah pengumpulan, pemeriksaan,
autentikasi, pemeliharaan dan analisis data sehingga data dapat digunakan sebagai
bukti di pengadilan. Ilmu forensik komputer menangani:
a. Pemulihan data dari komputer
b. Penyimpanan dan penanganan data yang sudah pulih dengan aman
c. Pencarian informasi penting dalam sejumlah besar data
d. Penyampaian informasi di hadapan pengadilan
Banyak bukti hukum dalam bentuk digital. Dalam kasus hukum, perusahaan
diwajibkan merespon penemuan informasi yang digunakan sebagai bukti.
Pengadilan membebankan denda/sanksi kriminal bagi perusakan dokumen
elektronik secara tidak benar, kegagalan menunjukkan catatan, dan kegagalan
menyimpan catatan dengan benar.

3. MENETAPKAN KERANGKA KERJA UNTUK PENGAMANAN DAN
PENGENDALIAN
Pengendalian SI terdiri dari General Control dan Application Control. General
Control menentukan disain, keamanan dan penggunaan program komputer serta
keamanan file data pada seluruh aplikasi komputer. Application Controls adalah
pengendalian spesifik yang unik untuk setiap aplikasi komputer seperti aplikasi
penggajian dan proses pemesanan.
3.1 Penilaian Risiko
Perusahaan harus mengetahui aset mana yang membutuhkan perlindungan dan
sejauh mana aset tersebut terancam. Penilaian resiko menentukan tingkat risiko
jika aktivitas atau proses tertentu tidak dikendalikan. Setelah penilaian risiko,
para pembuat sistem berkosentrasi pada faktor pengendalian yang memiliki
potensi kerugian terbesar.

3.2 Kebijakan Pengamanan
Setelah perusahaan mengidentifikasi risiko, perlu mengembangkan kebijakan
pengamanan. Kebijakan pengamanan menjawab: aset informasi perusahaan apa
yang paling penting, siapa yang menciptakan dan mengendalikan informasi
tersebut, kebijakan pengamanan apa yang tepat untuk melindungi informasi
tersebut, tingkat risiko apa yang dapat diterima oleh manajemen dll.
7

3.3 Memastikan Keberlangsungan Bisnis
Perencanaan pemulihan bencana merancang cara-cara merestorasi layanan
komputasi dan komunikasi setelah terganggu oleh suatu peristiwa bencana.
Perencanaan keberlangsungan bisnis berfokus pada bagaimana perusahaan dapat
mengembalikan operasi bisinis setelah dilanda bencana.

3.4 Peran Proses Audit
Audit sistem informasi manajemen yang menyeluruh dan sistematis dapat
mengukur efektifitas pengamanan dan pengendalian sistem informasi. Audit
dapat membuat simulasi serangan atau bencana untuk menguji respon teknologi,
staf sistem informasi, dan karyawan perusahaan. Audit memuat daftar dan
menentukan peringkat kelemahan pengendalian dan memperkirakan
kemungkinan keterjadiannya.

4. TEKNOLOGI DAN PERANGKAT PENGAMAN
Sejumlah aturan dan teknologi tersedia untuk mengamankan sistem dan data.
Yang termasuk di dalamnya adalah perangkat autentikasi, firewall, sistem deteksi
gangguan, antivirus dan antyspyware dan enkripsi.
4.1 Autentikasi
Autentikasi adalah kemampuan untuk mengetahui siapa pengguna yang
melakukan akses ke sistem. Akses pengendalian piranti lunak dirancang hanya
untuk mengizinkan para pengguna sah untuk menggunakan sistem atau
mengakses data dengan menggunakan beberapa metode autentikasi. Beberapa
metode autentikasi antara lain: Token, Kartu Pintar, Autentikasi Biometrik.

4.2 Firewall, Sistem Deteksi Gangguan dan Antivirus
Firewall merupakan kombinasi piranti lunak yang mengendalikan arus lalu
lintas jaringan yang masuk dan keluar. Firewall bertindak seperti penjaga
gawang yang memeriksa identitas setiap pengguna sebelum memberikan akses
ke jaringan.

8

Sistem deteksi gangguan menggunakan perangkat yang selalu aktif
melakukan pemantauan yang diletakkan di titik-titik yang paling rentan dalam
jaringan perusahaan untuk secara kontinyu mendeteksi dan menghalangi para
penyusup.
Antivirus dirancang untuk memeriksa adanya virus komputer dalam sistem
dan drive komputer. Sering kali antivirus menghapus virus dari daerah yang
terinfeksi. Namun kebanyakan antivirus hanya efektif melawan virus yang sudah
dikenal ketika antivirus itu dibuat. Supaya tetap efektif, antivirus harus terus
diperbarui.

4.3 Mengamankan Jaringan Nirkabel
Pengamanan jaringan nirkabel menggunakan keamanan nirkabel dengan metode
WEP. Meskipun banyak kelemahannya, WEP memberikan beberapa batas
pengamanan jika para pengguna Wifi ingat untuk mengaktifkannya. Perusahaan
dapat meningkatkan pengamanan Wifi lebih jauh lagi menggunakan WEP
bersama dengan teknologi jaringan virtual privat (VPN) ketika mengakses data
perusahaan internal.
Agar efektif, teknologi pengamanan nirkabel harus didampingi oleh kebijakan
dan prosedur yang tepat dalam menggunakan perangkat-perangkat nirkabel
dengan aman.

4.4 Enkripsi dan Infrastruktur Kunci Publik
Enkripsi adalah proses mengubah teks atau data biasa menjadi teks bersandi
rahasia (chipper) yang tidak dapat dibaca oleh siapapun selain pengirim dan
penerima yang dimaksudkan. Data dienkripsi menggunakan kode numerik
rahasia, yang dinamakan kunci enkripsi, yang mengubah data biasa menjadi teks
bersandi rahasia. Pesan harus dideskripsi oleh penerima. Dua metode untuk
mengenkripsi data: Secure Sockets Layer (SSL) dan Transport Layer Security
(TLS). Terdapat dua alternatif metode enkripsi yaitu: enkripsi kunci simetris dan
enkripsi kunci publik. Bentuk enkripsi yang paling aman adalah enkripsi kunci
publik. Enkripsi kunci publik menggunakan dua kunci: satu dibagikan dan satu
lagi sepenuhnya pribadi.