1.

KEAMANAN SISTEM INFORMASI

Sistem keamanan informasi merupakan suatu subsistem dakam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem keamanan
informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedur, dan
pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan pelanggaran keamanan bisa
jadi dikumpulkan secara real time, disimpan dalam database, da digunakan untuk menghasilkan
laporan. Sistem keamanan komputer dikembangkan dengan menerapkan metode analisis, desain,
implementasi, serta operasi evaluasi, dan pengendalian.

Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security officer
(CSO). Tugas utama CSO adalh memebrikan laporan langsung kepda dewan direksi untuk
mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.
Fase Siklus Hidup : Laporan kepada Dewan Direksi
Analisis Sistem : Sebuah ringksan terkait dengan semua eksposur kerugian yang relevan
Desain Sistem : Rencana detik mengenai pengendalian dan pengelolaan kerugian, termasuk anggran
sistem keamanan secara lengkap.
Implementasi sistem, operasi, evaluasi, dan pengendalian sistem : Mengungkapkan secara spesifik
kinerja sistem ekamnan termasuk kerugian dan plnggaran keamnan yang terjadi, analisis kepatuhan,
serta biaya operasi sistem keamanan.

Menganalisis Kerentanan dan Ancaman

Untuk
bisa
menganalisis
kerentanan
sistem,
digunakan
2
pendekatan
yaitu:
1. Pendekatan Kuantitatif yaitu menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian
setiap item eksposur dengan kemungkinan terjadinya ekposur tersebut. Faktor resiko pengali adalah
antara
0
dan
1.
2. Pendekatan Kualitatif yaitu merinci daftar kerentanan dan ancaman terhadap sistem, kemudian
secara subjektif merangking item-item tersebut berdasrkan kontribusi item-item tersebut terhadap
total ekposur kerugian perusahaan.
Apa pun metode yang dipakai, analisis eksposur kerugian tersebut harus mencakup area berikut ini :

Interupsi bisnis
Kerugian perangkat lunak
Kerugian data
Kerugian perangkat keras
Kerugian fasilitas
Kerugian jasa dan personel

2. KERENTANAN DAN ANCAMAN

Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu
potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman:aktif dan pasif.
Ancaman aktif mencakup kecurangan sistem informasi dan sabotase koputer. Ancaman pasif

mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran dan
angin badai. Kgagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti
kegagalan harddisk, matinya aliran listrik, dan lain sebaginya.

Tingkat Keseriusan Kecurangan Sistem Infomasi

Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan kerah putih.
Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih besar dari total
kerugian akibat suap, perampokan, dan pencurian. Keamanan sistem informasi merupakan masalah
internasional. Banyak Negara memiliki undang-undang yang ditujukan pada masalah keamanan
komputer. National Commision on Fraudulent Financial Reporting (Trradway Commission)
mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan manajemen merupakan
kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk menipu investor
dan kreditor melalui pelaporan keuangan yang menyesatkan. Kecurangan semacam ini dilakuakan
oleh mereka yang memiliki posisi cukup tinggi di dalam organisasi sehingga memungkinkan mereka
melanggar pengendalian akuntansi, biasanya istilah kecurangan manajemen mengacu pada manipulasi
laporan keuangan.

Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi

Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file
data yang sensitive, atau program kritis. Tiga kelompok individu- personel sistem, pengguna, dan
penyusup-memiliki perbedaan kemampuan untuk mengakses hal-hal tersebut di atas.
Personel Sistem Komputer
Personel sistem meliputi personel pemeliharaan komputer, programmer, operator, personel
administrasi sistem informasi, dan karyawan pengendalian data.
1. Personel Pemeliharaan Sistem
Personel pemeliharaan sistem menginstal perangkat keras dan perangkat luak, memperbaiki
perangkat keras, dan membetulkan kesalahan kecil di dalam perangkat lunak. Indivisuindivisu semacam ini mungkin tidak ekerja untuk perushaan, tetapi bekerja untuk pemasok
tempat perusahaan membeli perngkat lua akuntansi. Beberapa personel pemeliharaan biasa
saja berada dalam poisi yang memungkinkan ia melakuakn modifikai yang tidak diharapkan
terhadap keamanan dalam sistem operasi.
2. Programer
Programmer sering menulis program untuk memodifikasi dan memperluas sistem operasi
jaringan. Indivisu-individu emacam ini bisanya diberi account dengan kewenangan akses
universal ke semua file perusahaan.
3. Operator Jaringan
Individu yang mengamati dan memonitor operasi komputer dan jaringan komuniksi disebut
operator jaringan. Biasanya, operator diberi tingkat keamanan yang cukup tinggi sehingga
memungkinkan operator secara diam-diam mengawasi semua jaringan komunikasi (termasuk
pada saat pengguna individu memasukkan password), dan juga mengakses semua file di
dalam sistem.
4. Personel Administrasi Sistem Informasi
Supervisor menempat posisi kepercayaan yang sangat tinggi. Orang ini biasanya memiliki
akses ke rahasia keamanan, file, program, dan lain sebagainya. Administrasi account memiliki
kemampuan untuk menciptakan account fiktif atau untuk member password pada account
yang sudah ada.
5. Karyawan Pengendali Data
Mereka bertanggung jawab terhadap penginputan data ke dalam komputer disebut karyawan
pengendali data. Posisi ini memberi peluang bagi karyawan untuk melakukan manipulasi data

input.

Pengguna
Pengguna terdiri dari sekelompok orang yang heterogen dan data dibedakan dengan yang lain
karena area fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak pengguna
memiliki akses ke data yang sensitive yang dapat mereka bocorkan kepada pesaing perusahaan.
Pengguna memiliki kendali terhadap input komputer yang cukup penting, seperti memo kredit, kredit
rekening, dan lain sebagainya.

Penyusup
Setiap orang yag memiliki akses ke peralatan, data elektronik, ata file tanpa hak yang legal
merpakan peyusup (intruder). Penyusup yang menyerang sistem inormasi sebagai sebuah kesenangan
dan tantangan dikenal dengan nama hacker. Tipe lain dari penyusup antara lain unnoticed intrudruder,
wiretapper, piggybacker, impersonating intruder, dan eavesdropper.

Unnoticed Intruder,seorang pelanggan bisa saja berjalan masuk ke dalam area yang tidak
dijaga dan melihat data yang sensitif di dalam komputer personal yang sedang tidak ada
orangnya. Sehingga bisa saja masuk ke dalam sistem dan merusak website perusahaan.
Wiretapper,jaringan ini rentan terhadap kemungkinan wiretapping (penyadapan).
Penyadapan ini bisa dilakukan, bahkan dengan peralatan yang tidak mahal (seperti sebuah
tape recorder dan sepotong kabel) yang memungkinkan terjadinya penyadapan tanpa ada
indikasi bahwa sedang terjadi penyadapan.
Piggybacker adalah salah satu jenis penyadapan yang paling canggih piggybacking. Dengan
metode ini penyadap bisa menyadap informasi legal dan menggantinya dengan informasi
salah
Impersonating Intruder adalah individu-individu tertentu yang bertujuan melakukan
kecurangan terhadap perusahaan. Tipe penyusup lain adalah mata-mata industri yang
profesional, yang biasanya memasuki melalui pintu samping dengan menggunakan seragam
karyawan atau service.
Eavesdroppers CRT (cathode-ray-tubes) Standar yang banyak digunakan di unit display
video menghasilkan interferensi elektromagnetik pada satu frekuensi yang dapat ditangkap
dengan seperangkat televisi sederhana.

Ancaman Aktif pada Sistem Informasi

Ada enam metode yang dapat digunakan untuk melakukan kecurangan sistem informasi. Metode
ini meliputi manipulasi input, perubahan program, perubahan file secara langsung, pencurian data,
sabotase, dan penyalahgunaan atau pencurian sumber daya informasi.
1. Manipulasi Input
Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah
input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
2. Mengubah Program
Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan
kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian
pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Banyak perusahaan besar
memiliki metode pengujian program yang dapat digunakan untuk mendeteksi adanya perubhn dalam
program. Trapdoor merupakan sebagian program komputer yang memungkinkan seseorang

mengakses program dengan mengabaikan jalur keamananan program tersebut. Ada kalanya
pengembangan program menempatkan trapdoor dalam sebuah program untuk meyakinkan bahwa
mereka akan selalu memiliki akses terhadap program tersebut. Trapdoor bisa saja ada di dalam sistem
akuntansi, program database, sistem operasi, dan lain sebagainya.
3. Mengubah File secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara memotong (bypass) proses
normal untuk menginput data ke dalam program komputer. Jika hal ini terjadi, hasil yang dituai adalah
bencana.
4. Pencurian Data
Pencurian data penting merupakan salah satu masalah yang cukup serius dalam sunia bisnis hari
ini. Dalam industri dengan tingkat persaingan yang sangat tinggi, informasi kuantittif dan kualitatif
terkait dengan salah seorang pesaing merupakan salah satu informas yang cukup diburu.Sejumlah
informasi ditransmisikan antar perusahaan melalui internet. Informasi ini retan terhadap pencurian
data saat transmisi. Informasi tersebut bisa saja disadap. Ada juga kemungkinan untuk mencuri disket
atau CD dengan cara menyembunyikan disket atau CD ke dalam kantong atau tas. Laporan yang tipis
juga bisa dicuri dengan dimasukan ke dalam kotak sampah. Lebih jauh, individu-individu dengan
akses terhadap e-mail, dapat dengan mudah menyalin informasi rahasia dan mengirim informasi
tersebut ke luar perusahaan lewat Internet. Dengan menggunakan metode tersebut, penyusup data
mencuri sejumlah besar informasi hanya dalam hitungan menit.
5. Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat
lunak dapat menyebabkan kebangkrutan suatu perusahaan. Karyawan yang tidak puas, khususnya
yang telah dipecat, biasanya merupakan pelaku sabotase utama.
Seorang pnyusup menggunaan
sabotase untk membuat kecurangan menjadi sulit dan membingungkan untuk diungkapkan. Sebagai
contoh, seseorang mengubah database akuntansi dan kemudian mencoba menutupi kecurangan
tersebut dengan melakukan sabotase terhadap hardisk atau media lain. Ada banyak cara yang dapat
dilakukan yang dapat menyebabkan keruakan yang serius terhadap perangkat keras komputer. Magnet
dapat digunakan untuk menghapus tape magnetic dan disket, hanya dengan meletakkan magnet di
dekat media atau detak radar juga memiliki efek yang sama jika radar tersebut diarahkan pada
bangunan yang berisi media magnetic. Salah satu metode tertua sabotase dengan menggunkan
program komputer yaitu dengan bom logika bom logika melibatkan sekeping kode laten di dalam
sebuah program yang akan diaktivasi pada suatu saat nanti terkait dengan peristiwa tertentu.

Kuda Troya merupakan sebuah program yang destruktif yang berklamuflase seolaholah ia merupakan program yang legal.
Program Virus serupa dengan kuda troya, tetapi dapat menyebarkan dirinya sendiri ke
program lain, "menginfeksi" program lain dengan virus yang sama. Virus saat ini
sangat lumrah karena hampir semua perusahaan menghadapi virus setiap hari

Worm
Worm merupakan satu jenis virus yang menyebarkan dirinya melalui
jaringan komputer. Istilah worm muncul karena komputer berbeda yang terinfeksi di dalam
jaringan dianggap sebagai suatu segmen yang terkait seperti serangga.

Virus Mellisa Macro menempelkan dirinya pada file Microsoft Word dan menyebar
melalui Internet dengan cara mengirim email yang terinfeksi ke luar, ke nama-nama
yang terdapat dalam buku alamat secara otomatis.
Robert Morris, Jr., seorang lulusan dari Cornell University, mengembangkan program
virus yang masuk ke dalam internet dan menyebar melalui jaringan dengan sangat
cepat. Kata virus ada kalanya mencakup juga semua program yang mengandung niat

jahat, termasuk bom logika, kuda troya, dan worm. Bentuk sabotase yang lain adalah
serangan denial-of-service. Penyerang membanjiri server Web dengan sangat banyak
permintaan dalam interval waktu yang sangat pendek. Terakhir, ada juga serangan
yang ditujukan untuk menghancurkan Website perusahaan. Hacker biasanya
menembus masuk ke dalam Website dan memodifikasi atau mengganti home page.
6. Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan
sumber daya komputer organisasi untuk kepentingan pribadi. Contohnya, lima orang karyawan
dinyatakan bersalah karena menggunakan komputer mainframe perusahaan di jam-jam senggang
untuk mengoperasikan pemrosesan data perusahaan mereka sendiri. Selain itu, tipe kejahatan
komputer yang lain, tidak terlalu diketahui tetapi sangat mungkin terjadi di banyak perusahaan seperti
misalnya beberapa karyawan mencuri komputer mainframe perusahaan dalam satu hari, bagian demi
bagian
dilarikan
lewat
pintu
belakang.

3.SISTEM KEAMANAN SISTEM INFORMASI

Sistem keamanan komputer merupakan bagian dari struktur pengendalian internal perusahaan secara
keseluruhan. Ini berarti, elemen dasar pengendalian internal (supervisi yang memadai, rotasi
pekerjaan, batch control total, pengecekan validitas, dan lain sebagainya) merupakan aspek penting
dalam sistem keamanan komputer. Keamanan sistem informasi merupakan sebuah aplikasi prinsipprinsip pengendalian internal yang secara khusus digunakan untuk mengatasi masalah-masalah dalam
sistem informasi.
Lingkungan Pengendalian Merupakan dasar keefektifan seluruh sistem pengendalian yang tergantung
pada delapan faktor, yaitu:
1. Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam sistem adalah menciptakan moral yang tinggi dan
suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Menciptakan suasana ini
dapat dilakukan dengan banyak cara, seperti pemberian pendidikan mengenai keamanan bagi semua
karyawan, selalu memonitor peraturan keamanan, dan membina hubungan yang baik dengan seluruh
karyawan.
2. Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputansi, dan pemrosesan data semuanya diorganisasi
di bawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan fungsi
pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputansi. Hal ini menimbulkan banyak
masalah dalam upaya membuat dan menjaga pola otoritas dan wewenang yang jelas. Satu hal yang
penting adalah, harus dibuat satu garis wewenang yang jelas untuk menentukan siapa yang
bertanggung jawab mengambil keputusan terkait dengan perangkat lunak akuntansi dan prosedur
akuntansi. Harus ada orang yang bertanggung jawab terhadap sistem keamanan komputer.

3. Dewan Direksi dan Komitenya

Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui
pemilihan auditor internal. Komite audit harus berkonsultasi secara berkala dengan auditor eksternal
dan manajemen puncak terkait dengan kinerja chief security officer dan sistem keamana komputer.

4. Metode Pembagian Otoritas dan Tanggung Jawab

Tanggung jawab semua posisi harus didokumentasikan dengan hati-hati menggunakan
struktur organisasi, manual kebijakan, deskripsi kerja, dan lain sebagainya.
5. Aktivitas Pengendalian Manajemen
Pengendalian anggaran penting dalam lingkungan komputer karena ada kecenderungan di
banyak perusahaan untuk mengeluarkan biaya terlalu banyak dalam teknologi informasi.
6. Fungsi Audit Internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi
kebutuhan yang terus berubah. Sistem semestinya "ditantang" secara berkala dengan transaksi
hipotesis. Perubahan terhadap file master harus dilacak balik ke dalam dokumen sumber yang relevan.
Pelacakan balik semacam ini merupakan satu cara yang berguna untuk mendeteksi perubahan ilegal
terhadap file master. Cara lain yang dapat digunakan untuk mendeteksi perubahan ilegal adalah
dengan menggunakan batch control total.
7. Kebijakan dan Praktik Personalia
Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan
ganda semua merupakan praktik personalia yang penting. Peraturan yang terpenting barangkali adalah
memisahkan pekerjaan pengguna komputer dan personalia sistem komputer. Pengguna sering
memiliki akses fisik ke aktiva komputer dan personalia sistem sering memiliki hak akses ke file data
yang memuat catatan akuntansi. Penggabungan kedua tipe hak akses semacam ini dapat menjadi satu
undangan untuk melakukan kecurangan. Praktik personalia terkait dengan perekrutan dan pemecatan
karyawan juga merupakan hal yang penting. Karyawan yang prospektif harus diteliti dengan sangat
hati-hati, terkait dengan masalah-masalah yang dia hadapi yang dapat mendorong dirinya untuk
melakukan kejahatan seperti kesulitan kredit, kecanduan terhadp sesuatu, termasuk masalah terkait
dengan pekerjaannya ditempat yang sama. Pemutusan hubungan kerja dengan karyawan harus
dilakukan dengan sangat hati-hati karena karyawan yang di-PHK tercatat sebagai pelaku utama dalam
kasus sabotase. Jika seorang karyawan kunci dipecat, semua hak akses ke perangkat keras, perangkat
lunak, dan file data sensitif harus dibatalkan secepat mungkin.
8. Pengaruh Eksternal
Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data, termasuk data terkait
dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka, personalia dan pemerintah, serta
mengatur pengiriman informasi ke negara lain. Penting juga untuk mengimplementasikan kebijakan
internal yang terdokumentasi dengan baik untuk mencegah pembajakan perangkat lunak. Perusahaan
yang tidak memiliki kebijakan semacam ini dapat menjadi sasaran hukum.

Pengendalian Ancaman Aktif

Cara utama untuk mencegah ancaman aktif terkait dengan kecurangan dan sabotase adalah
dengan menetapkan tahap-tahap pengendalian akses. Pengendalian akses memisahkan penyusup dari
sasaran potensial mereka. Filosofi di balik pendekatan berlapis untuk pengendalian akses melibatkan
pembangunan banyak tahap pengendalian yang memisahkan calon penyusup dari sasaran potensial
mereka. Tiga tahap yang dapat digunakan adalah pengendalian akses lokasi, pengendalian akses
sistem, dan pengendalian akses file.
1.

Pengendalian akses lokasi,tujuannya adalah untuk memisahkan secara fisik individu yang
tidak berwenang dari sumber daya komputer. Semua pengguna diwajibkan menggunakan
tanda identifikasi keamanan. Ruangan yang berisi peralatan komputer atau data yang sensitif

2.

3.

harus memiliki pintu yang terkunci. Tersedia juga sistem autentikasi perangkat keras
biometrik. Secara otomatis mengidentifikasi individu berdasarkan sidik jari mereka, ukuran
tangan, pola retina, pola suara, dan lain sebagainya. Kompleks pengolahan data harus
berlokasi di gedung yang terisolasi yang dikelilingi tembok dengan pintu akses. Semua
konsentrasi data komputer dan peralatan harus dilokasikan ditempat yang sulit ditemukan.
Serangan terhadap pustaka data dan ruangan kritis lainnya dapat diminimalkan dengan sistem
penjagaan yang sangat ketat mencakup pemasangan pintu ganda untuk tempat penyimpanan
data komputer. Pusat data entry yang tersentralisasi harus merupakan area yang sangat
terproteksi dan terbatas bagi orang-orang yang tidak berkepentingan. Komputer personal,
terminal, disket, dan tape juga harus dilindungi. Semua objek ini merupakan sasaran
pencurian, interferensi, dan perusakan. Menjaga segala sesuatu dalam ruang yang terkunci
merupakan salah satu cara proteksi yang terbaik. Terakhir, jika memungkinkan, semua
peralatan komputer harus ditempatkan di ruang yang terkunci, dengan dinding yang cukup
kuat untuk mencegah terjadinya intrusi radiasi elektromagnetik yang tidak diharapkan. Tidak
ada perangkat lunak yang boleh diinstal di komputer maupun tanpa persetujuan dari
keamanan. Ini merupakan masalah yang sulit karena virus dapat masuk ke dalam komputer
melalui banyak cara. Ada cara lain untuk membatasi secara fisik intrusi virus, salah satunya
adlah dengan menyediakan workstation yang tidak memiliki harddisk dan diskdrive.
Pendekatan ini memiliki keuntungan dengan pemusatan instalasi semua perangkat lunak,
termasuk backup file. Cara kedua adalah menggunakan sistem operasi yang ROM-based.
Menempatkan sistem operasi di dalam ROM akan melindungi jaringan dari ancaman virus.
Terakhir, semua kabel listrik harus antisadap. Kabel fiberoptik biasanya dianggap aman dari
penyadapan dan dapat digunakan. Pusat jaringan dan peralatan komunikasi harus ditempatkan
di ruang terkunci.
Pengendalian akses sistem merupakan suatu pengendalian dalam bentuk perangkat lunak
didesain untuk mencegah penggunaan sistem oleh pengguna yang ilegal. Tujuan pengendalian
ini untuk mengecek keabsahan pengguna dengan menggunakan sarana seperti ID pengguna,
password, alamat Internet Protocol (IP), dan perangkat-perangkat keras. Password harus
dikendalikan dengan hati-hati melalui sistem pengelolaan pasword yang baik. Prosedur
pemberian password yang paling aman adalah dengan tidak memberi kemungkinan kepada
pengguna untuk mengubah password mereka. Password yang ideal mestinya terdiri dari
kombinasi huruf kapital dan huruf kecil, simbol khusus, dan angka. Satu lagi lapisan
keamanan dapat ditambahkan dengan penggunaan sistem sign-countersign. Kekuatan sistem
ini adalah pasangan sign-countersign tidak akan pernah digunakan dua kali. Firewall dapat
diprogram untuk menolak setiap paket yang datang yang tidak berasal dari alamat IP yang ada
pada daftar otorisasi. Firewall hanya dabat membatasi, tetapi bukan merupakan satu solusi
total. Solusi yang lebih baik adalah menggunakan firewall dengan teknik enkripsi. Terakhir,
perlu dilakukan pembatasan terhadap hak administrasi setiap individu pengguna komputer
personal untuk mencegah pengguna menginstal perangkat lunak ke dalam PC mereka, yang
selanjutnya dapat mencegah kontaminasi virus, kuda Troya, dan gangguan lain terhadap PC.
Pengendalian akses file mencegah akses ilegal ke data dan file program. Yang paling
fundamental adalah pembuatan petunjuk dan prosedur legal untuk mengakses dan mengubah
file. Perubahan program tidak boleh dilakukan tanpa ada persetujuan tertulis. Salina program
yang telah diubah harus diinspeksi terlebih dahulu sebelum digunakan untuk menggantikan
program yang orisinil. Semua program penting harus disimpan di dalam file terkunci. Ini
berarti program dapat dijalankan, tetapi tidak dapat dilihat atau diubah. Hanya bagian
keamanan yang dapat mengetahui password untuk membuka file program. Bagian keamanan
bertanggung jawab untuk mengecek secara berkala kesamaan program yang sedang
beroperasi dngan versi program yang disimpan di perpustakaan. Perusahaan dapat menginstal
program residen yang secara konstan terus mengecek keberadaan virus atau adanya

perubahan file. Satu cara terbaik yang dapat digunakan untuk menghilangkan masalah virus
adalah dengan mengendalikan setiap tambahan file baru yang dimasukkan ke dalam sistem.

Pengendalian Ancaman Pasif

Mencakup masalah seperti kegagalan perangkat keras dan mati listrik. Pengendalian ini dapat berupa
pengendalian preventif maupun korektif.

Sistem toleransi kesalahan,Sebagian besar metode yang digunakan untuk menangani

kegagalan komponen sistem adalah pengawasan dan redundancy. Jika salah satu sistem gagal,
bagian yang redundant akan segera mengambil alih, dan sistem dapat terus beroperasi tanpa
interupsi. Sistem semacam ini disebut sistem toleransi kesalahan yang dapat diterapkan pada
lima level pada jaringan komunikasi prosesor CPU, DASD, jaringan listrik, dan pada
transaksi individual. Jaringan dapat dijadikan sistem toleransi kesalahan dengan cara
menduplikasi jalur komunikasi dan prosesor komunikasi. Ada dua pendekatan utama yang
dapat digunakan untuk membuat pemrosesan CPU redundan. Sistem dengan protokol
berbasis-konsensus dan sistem watchdog processor. DASD dapat dijadikan sistem toleransi
kesalahan dengan beberapa cara, seperti pengujian read-after-write, bad-sector lockout, dan
disk mirroring. Toleransi kesalahan terhadap mati listrik dapat dicapai dengan menggunakan
uninterruptable power supply (UPS). Jika listrik mati, sistem backup yang ada kalanya
bertenaga baterai, mengambil alih beberapa detik untuk memastikan tidak ada pemutusan
mendadak terhadap aktivitas permrosesan yang sedang berlangsung. Toleransi kesalahan yang
diterapkan pada level transaksi mencakup rollback processing dan database shadowing.
Dengan rollback processing, transaksi tidak pernah dituliskan ke dalam disk, kecuali transaksi
tersebut telah lengkap. Database shadowing serupa dengan disk shadowing, hanya saja
duplikasi semua transaksi dibuat dan dikirimkan lewat jaringan komunikasi ke lokasi yang
jauh (remote location).
Memperbaiki kesalahan: Backup File,ada tiga jenis backup: backup penuh, inkremental,
dan diferensial. Backup penuh membuat back up semua file yang ada dalam suatu disk.
Sistem operasi akan secara otomatis mengeset bit ini menjadi 1 pada saat sebuah file
mengalami perubahan. Backup inkremental melakukan backup semua file dengan nilai
archive bit 1, kapan saja file tersebut mengalami perubahan, kemudian, setiap archive bit file
akan kembali diset menjadi 0 selama proses backup. Terakhir backup diferensial pada
dasarnya sama dengan backup inkremental. Hanya saja, archive bit tidak diset menjadi 0
selama proses backup. Skema backup yang paling sederhana adalah melakukan backup penuh
secara periodik.

Keamanan Internet
Internet menciptakan jendela elektronik bagi dunia luar yang mengeliminasi semua isolasi fisik
sumber daya informasi perusahaan. Oleh karena itu, semua lapisan pemisahan fisik yang terkait
dengan pendekatan akses berlapis guna menciptakan keamanan sistem, tidak sepenuhnya dapat
mengamankan sistem informasi perusahaan. Kerentaan terkait dengan internet dapat muncul akibat
kelemahan-kelemahan berikut ini:
1.
2.
3.
4.
5.

Sistem operasi atau konfigurasi sistem operasi

Web server atau konfigurasi web server
Jaringan privat atau konfigurasi jaringan privat
Berbagai program server
Prosedur keamanan secara umum

Kerentanan sistem operasi

Web server sebenarnya merupakan ekstensi dari sistem informasi. Akibatnya, setiap
kelemahan di dalam keamanan sistem operasi juga menjadi kelemahan keamanan web server. Untuk
alasan inilah administrator keamanan harus, pertama dan terpenting, mengamankan sistem operasi.
Administrator harus secara konstan memonitor buletin keamanan yang dipublikasikan oleh vendor
sistem opersi dan oleh jasa advisory pihak ketiga.

Kerentanan Web Server

Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu
memonitor buletin terkait dengan informasi dan pembaruan keamanan perihal konfigurasi web server.
Keamanan web server dapat menurun tajam akibat kesalahan konfigurasi. Salah satu maslaah
konfigurasi yang paling umum adalah area konfigurasi pemberian akses direktori dan file terkait
dengan program yang dapat dieksekusi. Kode program yang dpat dieksekusi merupakan salah satu
komponen penting dari hampir semua website komersial. Hak menulis dan hak eksekusi tidak boleh
diberikan pada satu direktori yang sama. Dalam praktik, kombiansi dua hak yang mematikan ini
sering diberikan kepada pihak luar tanpa sengaja.

Kerentanan Jaringan Privat

Ketika Web server ditempatkan pada suatu komputer host yang terkoneksi ke berbagai
komputer melalui suatu LAN, akan timbul suatu resiko. Hacker dapat menyerang satu komputer
melalui satu komputer yang lain. Jika pengguna komputer memiliki akses ke komputer yang menjadi
host Web server, maka hacker pertama kali akan masuk ke dalam komputer pengguna. Kemudian,
hacker akan menggunakan hak akses pengguna yang asli untuk melakukan invansi ke dalam komputer
host Web server. Salah satu cara yang digunakan hacker untuk menyerang komputer melalui komputer
yang lain adalah dengan mengirim surat elektronik yang disertai program kuda Troya (dalam bentuk
attachment) ke komputer perantara tersebut. Program kuda Troya secara otomatis dan diam-diam
terinstal pada saat korban di komputer perantara membuka pesan e-mail. Salah satu program kuda
Troya, Back Orifice, memungkinkan hacker mengendalikan komputer korban dari jarak jauh melalui
internet.

Kerentanan Berbagai Program Server

Banyak komputer host suatu Web server tidak hanya menjalankan Web server, teteapi juga
server-server yang lain, seperti FTP server (untuk transfer file dari dank e komputer lain), e-mail
server, dan remote control server (yang memungkinkan komputer yang lokasinya jauh mengendalikan
komputer host). Yang menjadi masalah adalah setiap tambahan server merupakan satu tambahan
risiko. Cacat keamanan terkait dengan salah satu server dapat menjadi pintu masuk bagi hacker untuk
menyerang semua server yang lain dan semua file di dalam komputer, bahkan komputer-komputer
lain yang terhubung ke server dalam LAN.

Prosedur Keamanan Umum

Perangkat lunak keamanan yang terbaik di dunia tidak akan banyak membantu jika
administrator sistem tidak menegakkan kebijakan keamanan. Mengamankan file log merupakan isu
yang penting karena hacker sering berusaha "menutupi jejak lacak mereka" dengan mengubah file
log. Salah satu cara yang dapat digunakan untuk mengamankan file log adalah dengan menuliskan log
ke komputer di lokasi yang berbeda.Firewall biasanya digunakan untuk membatasi akses masuk ke
suatu jaringan komputer. Firewall juga dapat digunakan untuk menahan atau membatasi akses keluar
oleh program tertentu atau server tertentu. Sekalipun firewall merupakan salah satu alat yang sangant

penting, mesti diingat bahwa alamat IP dapat dipalsukan. IP address palsu memungkinkan akses
keluar dan masuk yang illegal akan dianggap sebagai bagian dari akses yang legal. Oleh karena itu,
pelatihan dan prosedur kemanan dasar harus selalu menjadi pertimbangan pertama.

4.PENGELOLAAN RISIKO BENCANA

Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi.

Mencegah Terjadinya Bencana

Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu
bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah: Bencana alam (30%),
Tindakan kejahatan yang terencana (45%), dan Kesalahan manusia (25%). Implikasi dari data tersebut
adalah persentase terbesar penyebab terjadinya bencana dapat dikurangi atau dihindari dari kebijakan
keamanan yang baik. Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan
kebijkan dan perencanaan keamanan yang baik.

Perencanaan Kontingensi untuk Mengatasi Bencana

Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam
perusahaan. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah dukungan
dari manajemen senior dan penetapan komite perencanaan. Setelah kedua hal tersebut, rencana
pemulihan dari bencana harus didokumentasikan dengan hati-hati dan disetujui oleh kedua pihak
tersebut. Desain perencanaan mencakup tiga komponen utama: evaluasi terhadap kebutuhan
perusahaan, daftar prioritas pemulihan berdasarkan kebutuhan perusahaan, serta penetapan strategi
dan prosedur pemulihan.

Menaksir Kebutuhan Perusahaan

Semua sumber daya yang penting harus diidentifikasi. Sumber daya yang penting ini
mecakup perangkat keras, perangkat lunak, peraltan listrik, peralatan pemeliharaan, ruang gedung,
catatan yang vital, dan sumber daya manusia.

Daftar Prioritas Pemulihan dari Bencana

Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama, bahkan sekalipun
perusahaan memiliki perencanaan yang baik. Oleh karena itu, harus dibuat prioritas terkait dengan
kebutuhan perusahaan yang paling penting. Daftar prioritas mengindikasikan aktivitas dan jasa yang
memang genting yang perlu segera dibangun kembali dalam hitungan menit atau hitungan jam setelah
terjadinya suatu bencana. Perencanaan bisa saja mengindikasikan aktivitas dan jasa lain yang harus
dibangun dalam hitungan hari, minggu, atau bulan setelah terjadinya suatu bencana.

Strategi dan Prosedur Pemulihan

Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perencanaan
ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga, pada saat bencana benarbenar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang harus melakukan,
bagaimana melakukannya, dan berapa lama hal-hal tersebut harus dilakukan.

Pusat Respons Darurat

Pada saat bencana terjadi, semua wewenang pengolahan data dan operasi komputer dialihkan
kepada tim respons darurat, yang dipimpin oleh direktur operasi darurat.

Prosedur Eskalasi
Prosedur eskalasi menyatakan kondisi seperti apa yang mengharuskan perlunya pengumuman
terjadinya bencana, siapa yang harus mengumumkan, dan siapa yang harus diberi tahu tentang adanya
bencana.

Menentukan Pemrosesan Komputer Alternatif

Bagian terpenting dari rencana pemulihan dari bencana adalah menentukan spesifikasi lokasi
cadangan yang akan digunakan jika lokasi komputasi primer rusak atau tidak dapat berfungsi. Ada
tiga macam lokasi cadangan, yaitu:

Cold site merupakan alternatif lokasi komputasi yang memiliki instalasi kabel komputer,
tetapi tidak dilengkapi dengan peralatan komputasi.
Hot site merupakan lokasi alternatif yang dilengkapi dengan instalasi kabel dan peralatan
komputasi.
Flying-start site merupakan alternatif yang dilengkapi dengan instalasi kabel, peralatan, dan
juga data backup dan perangkat lunak yang up-to-date.

Alternatif lain selain ketiga alternatif pembangunan lokasi cadangan tersebut adalah membangun
kontrak dengan biro jasa komputasi, dengan pemasok jasa penanganan bencana yang komersial, dan
dengan perusahaan rekanan yang lain, yang kemungkinan berada dalam industri yang sama.

Biro Jasa
Mengkhususkan diri untuk menyediakan jasa pengolahan data bagi perusahaan yang memilih untuk
tidak memproses sendiri data yang mereka miliki.
Perjanjian Shared Contingency atau Reciprocal Disaster
Merupakan perjanjian antara dua perusahaan di mana setiap perusahaan setuju untuk membantu
perusahaan lain pada saat perusahaan yang lain membutuhkan.
Rencana Relokasi Karyawan
Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya memindahkan karyawan
ke lokasi cadangan.
Rencana Penggantian Karyawan
Penggantian seorang karyawan dengan kemampuan yang tinggi merupakan satu hal yang tidak
mudah. Penggantian karyawan semacam ini memerlukan pelatihan yang sangat ekstensif.
Perencanaan Penyelamatan
Dalam beberapa bencana, perusahaan masih dapat menyelamatkan peralatan dan catatan yang
berharga dari kerugian lebih lanjut, jika perusahaan dapat mengambil tindakan yang tepat secra cepat.
Perencanaan Pengujian Sistem dan Pemeliharaan Sistem
Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat. Perencanaan yang kadaluwarsa
atau tidak teruji barangkali tidak dapat dijalankan pada saat bencana benar-benar terjadi.

KELOMPOK 5
KEAMANAN SISTEM INFORMASI

OLEH :

BUNGA WIDYANINGTYAS

1315351024

ARI PUTRA WIRAWAN

1315351034

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS UDAYANA