Keamanan Sistem Informasi

1.

Tujuan Keamanan Sistem informasi

Sistem informasi memiliki peranan besar di semua perusahaan atau institusi agar

dapat menghasilkan keuntungan semaksimal mungkin dengan cara mengiklankan,menjual, me

ngadministrasi, dan mewujudkan produk baru. Perusahaan dipaksa untuk menciptakan dan
memikirkan inovasi baru agar dapat bersaing dan bertahan hidup didalam persaingan bisnis
yang ketat.
Dengan meningkatnya transaksi dan tersedianya bermacam-macam teknik pemrosesan
menggunakan komputer yang memungkinkan untuk berinteraksi dengan sistem lain, p
erusahaan menjadi sangat tergantung dengan komputerisasi. Di sisi laindengan pesat
lajunya teknologi, muncul risiko ancaman baru yang berkaitan dengankomputerisasi. Pentin
ganya pengamanan yang efektif mulai diperhatikan ol.eh semua pihak.Semua pihak dapat mem
aha mi bahwa keamanan sistem informasi yang
cukup andal sangatdiperlukan. Perusahaan memiliki sederetan tujuan dengan diadakannya sist
em informasi yang berbasis komputer di dalam perusahaan. Oleh
karna itu, perusahaan menuntut agardiciptakan sistem keamanan terhadap hardware maupun s
oftwarenya.
Tujuan dari pengamanan sistem informasi ini adalah untuk meyakinkan integritas,
kelanjutan, dan kerahasiaan dari pengolahan data. Keuntungan denganmeminimalkan risiko har
us diimbangi dengan biaya yang dikeluarkan untuk tujuanpengamanan ini. Oleh
karena itu biaya untuk pengaman terhadap keamanan sistemkomputer harus wajar.
Perusahaan harus dapat mengurangi risiko dan memelihara keamanan sistemkompute
risasi pada suatu tingkatan atau level yang dapat diterima. Reputasi organisasiakan dinilai ma
syarakat apabila dapat diyakini oleh :
1) lntegritas (Integrity) informasi
2) Kerahasiaan (Confisentiality) informasi
3) Ketersediaan (Availability) informasi

Aset Perusahaan
lnformasi adalah aset organisasi yang sangat berharga dan penting seperti aset-aset yang
lainmisalnya gedung, mesin-mesin, kendaraan, peralatan kantor, SDM dan lain-lain.
Sebagaikonsekuensi, keamanan sistem informasi merupakan suatu keharusan untuk melindung
i asetperusahaan dari berbagai ancaman. Aset-aset yang dapat dimaksud ke dalam sistem
informasidapat kategorikan sebagai berikut:

Personel

Misalnya sistem analis, programer, operator, database administrator, spesialisjaringan, s

pesialis PAB

Hardware
Misalnya CPU, Printers, Terminal/monitor,routers, switch

Software aplikasi
Misalnya sistem Deptors, Creditors, penggajian,GL, ERP

Sistem software
Misalnya operating sistem, compilers, utilities, database sistem.

Data
Misalnya master file, backup file, file transaksi

Fasilitas
Misalnya mebel, ruang kantor,fi/ing cabinet

Penunjang
Misalnya Tapes, CD, DVD, disk pack, kertas, tinta printer atau pita.

Ancaman Terhadap Perusahaan

Ancamah adalah suatu aksi atau kejadian yang dapat merugikan perusahaan yang
mengakibatkan kerugian bias berupa uang /biaya, tenaga upaya, kemungkinan berbisnis(busin
ess opportunity), reputasi nama baik, dan paling parah dapat membuat organisasi pailit.Ancaman
ini dapat dikategorikan sebagai berikut :

Hardware failure
Dikarenakan oleh misalnya padamnya ("byar pet") listrik, kortsleting, disk crashes..

Software failure
Dikarenakan oleh kesalahan sistem operasi, kesalahan program update, tidak cukup
dan memadainya uji coba program.

Kegagalan SDM
Kegagalan ini dikarenakan misalnya sangat minimnya training bagi personel, personelya
ng sangat pasif dan tidak memiliki inisiatif, kemasabodoan,tidak loyal,tidak memilikirasa
memiliki (sense of belonging).

Alam
Dikarenakan oleh misalnya cuaca panas atau dingin yang tidak normal, banjir, gas,
proyektil, gempa, letusan gunung.

Keuangan
Disebabkan oleh misalnya tuntutan hokum pihak ketiga, pailit,mogok kerja,huru-hara.

Eksternal
Sabotase, spionase, huru-hara.

Internal
Dapat dalam bentuk kecurangan, pencurian, perbuatan jahat (memasukkan virus, m
embangun malicious software).

Klasifikasi tnformasi
Seperti yang telah disebutkan sebelumnya informasi merupakan asset perusahaanya
ng harus dilindungi dari ancaman penyalahgunaan. lnformasi dalam bentuk hardcopy
atau softcopy yang dihasilkan dengan jerih P.ayah perusahaan merupakan investasi yang me
makan biaya banyak demi menunjang dan memajukan perusahaan dapat diklasnikasikan
sebagai berikut:
a)

Sangat Rahasia (Top Secret)

Apabila informasi ini disebarluaskan maka akan berdampak sangat

parahterhadap keuntungan berkompetisi dan strategi bisnis organisasi. Contoh i
nformasi jenis Top
Secret : rencana operasi bisnis, strategi marketing,rincian atau ramuan bahan u
ntuk menghasilkan material atau bahan bakutertentu, strategi bisnis.
b)

Konfidensial (Confidential)
Apabila informasi ini disebarluaskan maka ia akan merugikan privasiperorangan,m
erusak reputasi organisasi. Contoh informasi jenis Confidential :konsolidasi pener
imaan, biaya, keuntungan beserta informasi lain yangdihasilkan unit kerja keuanga
n organisasi,strategi marketing, teknologi, rencana produksi, gaji karyawan, info
rmasi pribadi karyawan, promosiatau pemberhentian karyawan.

c)

Restricted
lnformasi ini hanya ditujukan kepada orang-orang tertentu untuk menopang
bisnis organisasi. Contoh informasi Restricted: informasi mengenaibisnis organisas
i,peraturan organisasi, strategi marketing yang akandiimplementasikan, strategi ha
rga penjualan, strategi promosi.

d)

Internal Use
lnformasi ini hanya .boleh digunakan oleh pegawai perusahaan untuk melaksa
nakan tugasnya. Contoh informasi Internal Use : prosedur, bukupanduan, pengum
uman atau memo mengenai organisasi.

e)

Public
lnformasi ini dapat disebarluaskan kepada umum melalui jalur yang
resmi.Contoh informasi Publik : lnformasi di web, Internal korespondensi yangti
dak perlu melalui pengontrolan atau screening, dan public corporateannounceme
nts.

2. Kebijakan Keamanan Sistem informasi

Setiap organisasi
akan selalu memilki pedoman bagi karyawannya untuk mencapaisasarannya. Setiap karyawan
tidak dapat bertindak semaunya sendiri dan tidak berdisiplindalam melakukan tugasnya. Con
toh paling mudah adalah apabila sudah ditentukan jamkerja dari pukul 08.00 sampai pukul 16.
30 dengan waktu istirahat 30 menit, maka waktu iniharus secara disiplin dipegang. Karyawan t
idak dapat mengatur jam kerjanya sendiri. Setiapoutput tugas merupakan input tugas untuk kar

yawan yang lain. Hal ini akan menghambatkelancaran

pekerjaan dan sudah tentu akan merugikan organisasi. Oleh karena itu, garispedoman ini dal
am bentuk prosedur harus ditaati oleh semua pihak.
Prosedur organisasi biasanya disusun oleh pimpinan organisasi beserta pimpinan bagianperson
alia yang kadangkala melibatkan juga senior manajer yang lain. Kebijakankeamanan sistem in
formasibiasanya disusun oleh pimpinan operasional beserta pimpinanICT(Information Communi
cation Technology) dengan pengarahan dari pimpinan organisasi.Rangkaian konsep secara garis
-besar dan dasar dari prosedur keamanan sistem informasiadalah sebagai berikut:

Keamanan Sistem informasi Merupakan Urusan dan Tanggung Jawab SemuaKar

yawan
Karyawan diwajibkan mengerti tentang keamanan sistem informasi. Mereka har

us mengetahui dan dapat membayangkan dampak apabila peraturan keamanan sistem

informasi diabaikan. Semua Manajer bertanggungjawab untukmengkomunikasikan kepada
semua bawahannya mengenai pengamanan yang dilakukandi perusahaan dan meyakinkan b
ahwa mereka mengetahui dan memahami semuaperaturan yang diterapkan di perusahaan da
n bagiannya. Di lain pihak, setiap pegawaibertanggung jawab dan harus mematuhi pera
turan keamanan sistem
informasi yangditerapkan dan dianut oleh perusahaan.Contohnya : Password berfungsi unt
uk menjagakerahasiaan sistem informasi. Password semestinya hanya diketahui pihak yan
g berhubungan langsung dan tersembunyi. Jika password-nya dituliskan dan
ditempel diatas keyboard atau di monitor maka kemungkinan besar akan ada orangyangtak
berkepentingan langsung pun bisa melihatpasswordtersebut. Password tersebut menjaditak
berguna dan sistem informasi itu menjadi tidak rahasia.

Penetapan Pemilik Sistem informasi

Alangkah berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem atausubsist

e yang bertanggung jawab atas keamanan sistem dan data yang dipakainya. Iaberhak untu
mengajukan permintaan atas pengembangan sistem lebih lanjut ataupembetulan di dala
sistem yang menyangkut bagiannya. Personel ini merupakan contactperson dengan bagia I
CT (Information and Communication Technology). Contohnya :pemilik dapat menentukan
siapa saja yang dapat mengakses ke sistem informasi tertentu dan sejauh mana wewenan
g/otoritas yang dapat diberikan kepada yangberkepentingan. Permohonan pengaksesan
ini harus dapat dijustifikasikan oleh pemohodan manajer terkait.

Langkah Kemanan harus sesuai dengan peraturan dan undang-undang

Tergantung dari bidang yang ditekuni perusahaan harus mematuhi undang-

undangyang telah ditetapkan yang berkaitan dengan proteksi data, computer crime, dan ha
kcipta. Contohnya: bank yang menggunakan komputer harus mematuhi peraturan yangdi
keluarkan oleh Bank Sentral, misalnya untuk pengiriman uang.

Antisipasi terhadap kesalahan

Dengan meningkatnya proses transaksi secara online & real time dan terkoneksisiste

m
jaringan internasional, transaksi akan terlaksana hanya dalam hitungan beberapa detik d
engan tidak pertemuan manusia secara langsung. Apabila transaksi
semacam ini terja di kesalahan tidak dapat langsung diperbaiki atau akan menyita banyakw
aktu dan upaya untuk memperbaikinya. Antisipasi dan pencegahan dengan tindakankeama
nan yang ketat akan memberikan garansi atas integritas, kelanjutan, dankerahasiaan transak
si yang terjadi serta meyakinkan untuk proses audit. Tindakanpencegahan tambahan harus d
iimplementasikan agar dapat mendeteksi dan melaporkan kesalahan yang terjadi sehingg
a segala bentuk kejanggalan dapat dikoreksi secepatmungkin. Contohnya : transaksi semi'lc
am ini biasanya terjadi pada perbankan misalnyapemindahan dana melalui ATM (Automati
c Teller Machine/Anjungan Tunai Mandiri). Apabila dibandingkan dengan misalnya peme
sanan barang yang

tidak langsung dapatdikirim, kesalahan pemesanan masih dapat dikoreksi misalnya melal
uin telpon yang akan ditindaklanjuti dengan konfirmasi secara tertulis.

Pengaksesan kendala sistem harus berdasarkan kebutuhan fungsi.

User harus dapat meyakinkan kebutuhannya untu mengakses ke sistem sesuaidengan

prinsip 11Need to Know". Pemilk sistem

harus bertanggung jawab ataspemberian akses ini. Contohnya: untuk pemrosesan sistem
penggajian, personel bagianterkait tidak diperbolehkan untuk mengakses data hasil penjual
an dari setiap personelbagian pemasaran. Atau tidak semua personel bagian personalia dip
erbolehkan untukmemiliki akses ke data penggajian karyawan.

Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diprosesdi
sistem komputer .
Sistem komputer milik perusahaan beserta jaringannya hanya diperbolehkan untukdipak

ai demi kepentingan bisnis perusahaan. Data perusahaan hanya diperbolehkan dipakai

untuk bisnis perusahaan dan pemilik sistem bertanggungjawab penuh atas pemberian peng
aksesan terhadap data tersebut. Contohnya :data atauinformasi mengenai penjualan tidak di
perkenankan untuk disebarluaskan kepada yangtidak berkepentingan.

Pekerjaan yang dilakukan oleh pihak ketiga

Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani olehperusahaa

n,
maka perusahaan harus dilindungi oleh keamanan atas informasiperusahaan. Di dalam ko
ntrak harus didefinisikan agar pihak ketiga mematuhi peraturan dan keamanan sistem inf
ormasi perusahaan. Manajemen harus bertanggungjawab agar pihak ketiga mematuhi dan
mengikuti peraturan keamanan yang telahdirumuskan. Contohnya : apabila pengembangan
sistem informasi dilakukan olehpihak ketiga/software house, sudah tentu pada uji coba a
khir harus memakai data yangsesungguhnya. Data ini tidak diperbolehkan oleh pihak keti
ga di-copy dandisebarluaskan atau output baik yang
berbentuk hardcopy maupun softcopy dipakaisebagai contoh untuk perusahaan lain apalagi
untuk pesaing

Pemisahaan aktivitas antara pengembang sistem,

pengoperasian sistem, danpemakai akhir sistem informasi.

Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan, dianjurkanagar

diadakan pemisahan secara fungsional antara pengembang sistem, pengoperasian sis
tem harian dan pemakai akhir. Untu mencapai tujuan ini, pihak ICTterutama bagian pe
ngembangan sistem tidak dibenarkan apabila ia menanganiadministrasi yang menyangkut ke
amanan sistem. Tugas ini agar diberikan kepadabagian tersendiri yang disebut Sistem
Administrator yang secara orgaisasi strukturtidak di bawah ICT.

lmplementasi sistem baru atau permintaan perubahan terhadap sistem yangsuda

h ada harus melalui pengontrolan yang ketat melalui prosedur sistemakseptasi dan
permintaan perubahan (Change Request).
Perubahan

terhadap sistem informasi harus melalui prosedur yang berlaku untukpengembangan dan
implementasi sistem baru. Setiap permintaan perubahan program harus disertai alasan y
ang kuat ser.ta keuntungan yang ia akan dapatkan danpemohon harus dapat meyakini m
anajer terkait dan pemilik sistem mengenaiperubahan ini. Oleh karena itu, sangat penting
apabil semua pihak yang terkait harusmenandatangani "change request" sebelum kegiatan i
ni dimulai. Harus pula diingatbahwa perubahan program akan memakan biaya dan waktu
juga.
Contoh : tidak dibenarkan apabila pemakai secara individu meminta perubahanterhada
p sistem dengan tidak sepengetahuan dari pemilik sistem. Dalam prakteknyahal ini sangat
sering terjadi. semua perubahan harus melalui prosedur change request,sehingga ICT
memiliki dokumentasipan bukti yang lengkap untuk menghindaripermasalahan di kemudia
n hari. Pihak ICT harus dapat dengan tegas menolak permintaan user apabila permintaan
tidak disertai dengan change request.

Sistem yang akan dikembangkan harus sesuai dengan standar metode pengemba
ngan sistem yang diemban oleh organisasi
Sistem yang akan dibangun harus memakai bahasa pemrograman yang telahditetapkan.

Tidk dibenarkan apabila programmer membuatnya dengan bermacammacam bahasa pemrograman; Begitu pula dengan sistem database yang digunakan,
harus memiliki keseragaman. Patut dipertimbangkan semua resiko keamanan bersamapenan
ggulangannya di dalam sistem. Sebelum sistem aplikasi diimplementasikan,pemilik sistem

harus mengevaluasi dan menilai keandalan keamanan di dalam aplikasitersebut. Apabila

akan menyeleksi paket sistem aplikasi aspek sistem keamanannyamerupakan bagian yang sa
ngat penting dan menentukan.

Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan denganme
makai kode identitasnya (User-/D)
Semua pemakai harus berhati-hati menyimpan password User-10-nya. Semuaaktivitas

yang dilakukan dengan 10 ini akan terekam di dalam audit-trail. Pemakai tidakdapat
memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugianterhdap
perusahaan.

Kesalahan beserta bukti ini dapat mengakibatkan peringatan atau pemutusan hubunga
n kerja terhadap pemilik User-ID ini. Oleh karena itu, simpan passwordsebaik mungkin
dan jangan misalnya menempelkan di tempat di mana semua orangyang t;idak berwena
ng dapat membacanya. Apabila pemakai merasa bahwa ada orangyang tidak berwenang tel
ah mengetahui password-nya, langkah terbaik adalah langsungmengganti password-nya.
3.

Strategi Keamanan Sistem informasi

Dengan munculnya komputer dan teknologi informasi di lingkungan organisasi,asset

perusahaan akan bertambah sehingga diperlukan sebuah pemikiran untuk melindunginya ya

ng merupakan sebuah keharusan atau kewajiban. lntegritas, kerahasiaandan ketersediaan infor
masi menjadi penting apabila perusahaan masih tetap inginberkompetisi di dalam dunia bisnis.
Prinsip pertama adalah integritas (integrity) informasi. Apabila pelanggan datang ketoko u
ntuk membeli barang, namun tidak menemukannya maka ia akan mendatangipramuniaga dan
menanyakan tentang barang tersebut. Pramuniaga tersebut akan memeriksadi komputer akan k
etersediaan barang yang diminati dan mendapat informasi bahwa barang tersebut masih ada
katakan 10 buah. Bersama dengan pramuniaga pelanggan pergike tempat barang tersebut dileta
kkan, namun kenyataan barang tersebut tidak dapatditemukan. Dengan contoh ini maka pelang
gan dapat menilai bagaimana integritas informasidata toko tersebut meskipun memakai komput
er. Apabila kejadian ini sering terjadi, makakepercayaan pelanggan
akan berkurang terhadap toko tersebut.
Prinsip kedua adalah kerahasiaan (confidentiality) informasi. Menurut ISO 17799, ke
rahasiaan adalah memastikan informasi hanya dapat diakses oleh orang yangberwenang atau
bagi orang yang memiliki otoritas. Untuk menjaga kerahasiaan, informasiyang bersifat rahasi
a harus tetap dilindungi. Apapun alasannya informasi ini hanyadiperuntukan untuk orangorang tertentu. Bagaimana perasaan seorang nasabah bankapabila informasi data perbankanny
a dapat diketahui oleh orang lain atau bagaimanaperasaan seorang karya wan apabila semua rek
an kerjanya mengetahui gaji y(!ng ia terima.
_Prinsip ketiga adalah ketersediaan (availability) informasi. ISO 17799 mendefinisikaket
ersediaan sebagai kepastian tersedianya informasi pada saat yang dibutuhkan oleh orangyang m
emiliki wewenang untuk mengetahuinya atau mengakses data. Tampaknya sangatgampang na
mun banyak faktor yang dapat mengganggunya. Beberapa faktor yang dapatdikemukakan mi
salnya kerusakan Hardware, users yang jahat (malicious users), penyusupdari luar perusahaan y
ang berusaha menghancurkan data perusahaan, virus dan sebagainya.
3.1. Model ISO 17799

Di atas telah disinggung mengenai ISO 17799 dan sekarang timbul pertanyaanapa
sebetulnya ISO 17799. ISO 17799 adalah standar keamanan sistem informasi yangtelah diak
ui oleh dunia dan disahkan pada tahun 2000, dimana ia mengalami revisi padatahun 2005 (I
SO/IEC 17799 2005 yang juga disebut ISO/IEC 27002 2005).
Keuntungan yang dapat diambil dari standarisasi ini antara lain metodologi yangterstru
ktur dan telah diakui oleh dunia in.ternasional, proses yang terdefinisi dengan baik,kebijaka
n dan prosedur dapat disesuaikan dengan kondisi organisasi dan lain-lain.ISO 17799 terdiri
dari:

1.

Business Continuity Planning.

Business Continuity Planning merupakan langkah yang dilakukan pada saatterjad
i ganggu atau bencana (disaster) sehingga tidak mengganggu ataumenginterupsi a
ktivitas dan proses bisnis.

2.

System Control Access.

System Control Access, y itu :
Akses kontrol terhadap informasi
Mencegah agar individu ya.ng tidak berwenang dapat mengakses ke sisteminfo
rmasi
Menjamin proteksi jaringan
Mencegah pengaksesan oleh yang tidak berwenang
Mendeteksi aktifitas yang tidak memiliki wewenang
Menjamin keamanan sistem informasi yang dapat diakses melalui fasilitasmo
bile dan telenetworking.

3.

System Development dan maintenance.

System Development dan maintenance akan membahas cara :
Untuk menjamin agar keamanan dan
kontrol diimplementasikan di dalamsistem operaoprasional.
Untuk menghindar agar data user tidak hilang, disalah gunakan, atau dimod
ifikasi di dalam sistem aplikasi.
Melindungi informasi atas integritasnya, kerahasiaannya, danketersediaanriya.
Menjamin agar aktivitas proyek IT beserta dukungannyadilakukan/dilaksanaka
n sesuai dengan yang telah di tetapkan.
Memelihaa keamanan software dan sistem aplikasi beserta datanya.

4. Physical and Environmental Securit.

Physical and Environmental Security akan membahas :

Pencegahan pengaksesan, perusakan oleh orang yang tak berwenang ditempat
bisnis dan informasi perusahaan
Pencegahan terhadap hilangnya atau aksi
yang akan membahayakan asetperusahaan sehingga menggangu aktivitas bisn
is
Mencegah agar tidak ada pencurian informasi atau membahayakan fasilitas
pemrosesan informasi
5.

Compliance
Tujuan Compliance adalah agar tidak ada pelanggaran hukum kriminalitas
atau sipil, undang-undang, kontrak, dan lain-lain yangberkaitan dengan hukum.
Selain itu, menjaga agar sistem memenuhi persyaratan dan standar keamanan per
usahaan.

6.

Personnel Securit.
Tujuan Personnel Security adalah mengurangi risiko kesalahan orang,kecuran
gan, atau penyalahgunaan fasilitas. Memastikan agar users menyadari kem
ungkinan ancaman yang akan terjadi terhadap keamanansistem informasi sert
a membekali mereka dengan peraturan keamanansistem informasi dalam melak
sanakan tugas mereka

7.

Security Organization.
Tujuan Security Organization adalah membahas bagaimana mengelola keaman
an sistem
keamanan di dalam organisasi sendiri, menjaga agar sistemtidak dapat diakses ol
eh pihak ketiga. Selain itu, pembahasan mengenaibagaimana mengurus keamana
n informasi jikalau pemroses pengolahan datadiberikan kepada pihak ketiga.

8.

Computer and Network Management.

Tujuan Computer and Network Management adalah :

Memastikan agar fasilitas pengoperasian informasi dapat berjalan Iancar

dan benar

Memperkecil kemungkinan untuk kegagalan sistem(failure)

Melindungi integritas software dan informasi

Memastikan akan ketersediaan fasilitas komunikasi

Melindungi jaringan dan infrastruktur pendukungnya

Menjamin agar tidak ada

informasi yang hilang, disalahgunakan, dandimodifikasi pada saat pertukaran
informasi antar organisasi.

9.

Asset Classification and Control.

Tujuan Asset Cl ossification and Control adalah untuk membahas proteksiyang
tepat bagi aset perusahaan dan memastikan agar aset informasimemiliki tingkat
keamanan yang tepat dan baik.

10. Security Policy.

Tujuan Security Policy adalah memberikan arahan dan bantuan kepada m
anajemen mengenai keamanan sistem informasi.
3.2. Dampak Teknologi lnformasi
Dampak dari penggunaan komputer yang merupakan alat bantu di dunia bisnis
dengan
meningkatkan efisiensi dalam hal pemberian informasi yang lebih cepat dan akurat, tel
ah menciptakan masalah tambahan untuk pemeriksaan danpengontrolan, yang sebelum
nya belum pernah ada atau terpikirkan.
1.

Sentralisasi Data.

Sebelum zaman komputer, masing-masing departemen di dalam

perusahaanbertanggun jawab sendiri atas data masing-masing. lnformasi yang
masihberupa kertas-kertas akan
disimpan di dalam lemari arsip atau lebih parah lagidisimpan di dalam laci masingmasin karyawan yang menanganinya.

Saat ini data tersebutyangtelah berupa dokumen digital disimpan dikomputerdepa

rtemen/ pusat komputer. Namun ada juga departemen yang
telahmemiliki sistem sendiri dan menyimpan datanya di dalam sistem komputer dep
artemen terkait. Apabila pada saat itu setiap departemen memiliki sistemyang berdir
i sendiri,maka akan sulit untuk mengintegrasi data mereka ke dalamsatu sistem terpad
u. Selanjutnya akan terjadi redundansi data.
2.

Pengaksesan Data.
Pengaksesan informasi dapat lebih mudah dilakukan baik dari dalam maupunda

ri luar organisasi. Dengan adanya kemajuan tekhnologi, informasi yangawalnya hany

a ditujukan untuk perorangan sekarang sudah dapat diakses olehkayawan organisasi y
ang bersangkutan (tergantung kewenangannya) denganmemanfaatkan terminalterminal- di dalam jaringan organisasi terkait. Denganadanya jaringan nirkabel/wire
less pengguna dapat mengakses data dimanamereka berada, apakah itu dari kendara
an yang ia tumpangi atau dari pusatperbelanjaan/mall. Oleh karena itu, pengontrol
akses
terhadap informasi perusahaan seorang merupakan satu pekerjaan sendiri dan sangat
rumit.
3. Pemisahan tugas/segregation of duties.
Pemisahan tu_gas dan tanggung jawab yang secara tradisional tidak dapat
diterapkan dan diimplementasikan lagi, sehingga pemisahan tugas dantanggung jaw
ab merupakan pekerjaan yang tidak mudah.
4.

Kekurangan audit trail (bukti secara fisik).

Pada masa lalu tidak semua komputer sistem yang dibekali dengan audit tra

il. Apabila
pada saat itu terjadi kejanggalan maka pelacakannya akan sulit danmembutuhkan ba
nyak waktu untuk menemukan kesalahan ini. Namun, rataratasekarang mereka sudah dibekali dengan fasilitas informasi yang dibutuhkan oleh
audit sehingga auditor dapat mendeteksi kejanggalan transaksi.
5.

Tidak tersedianya prosedur dan dokumentasi yang memadai.

Banyak sistem komputer yang tidak memiliki prosedur/buku panduan yang s

eharusnya
merupakan bagian yang tidak terpisahkan dari sistem tersebut.Dengan tidak adanya
buku panduan, hal ini akan menjadi faktor kelemahanterhadap pengoperasian dan tin
dak lanjut terhadap aplikasi-aplikasi.
Harus diakui bahwa pembuatan dokumentasi merupakan pekerjaan yangmemb
osankan untuk para pembuat sistem,namun suka atau tidak suka merekaharus dipak
sakan untuk membuat dokumentasi yang memadai dan tidak asal jadi. Para pr
ogrammer harus sadar bahwa tanpa dokumentasi parapenerusnya akan sulit untu
k meng-upgrade dan menindaklanjuti program yangtelah ada. Harus juga disadari
bahwa pemakai tidak aka diam saja dan puasdengan sistem yang telah jadi,karena m
ereka sudah tentu akan memil gagasan barudan meminta untuk mengimplementasika
nnya.
6.

Pengetahuan teknologi yang tinggi.

Metodologi baru untuk pengembangan sistem baru telah menganggapbahwa

semua pemakai mempunyai ketrampilan yang sama. Kalaudibandingkan denga

n teknologi beberapa tahun yang lalu,pengembang sistemhanyci dapat
dilakukan oleh para program Namun dengan kemajuanpengetahuandan bahasa kompu
ter yang sekarang tersedia, para pemakai sudahdapat memahami bahasa tersebut. Tid
ak jarang ditemukan pemakai dapat membuat program sendiri dengan cara belajar
sendiri dengan bantuan
bukupanduan manual.Namun kualitas program dibuat tidak sebanding dengan hasil
buatan programmer yang telah memiliki ketrampilan khusus, karena pembuatanprogr
am tidak terstruktur dan tidak menerapkan metodologi tertentu.
7.

Teknologi telah mengubah pola berbisnis.

Perubahan ini dikarenakan telah tersedianya:

Internet dan WWW (World Wide Web) .

Arsitektur distributed Client Server

Jaringan komunikasi berbasis digital yang menggunakan bandwidth tinggi(ka

bel, satelit) Tidak jarang lagi semua kegiatan bisnis telah dapatdiselesaikan
melalui jaringan internet dan di manapun juga.

8.

Tingkat otorisasi.
Secara umum sistem manual memilki tingkat otorisasi yang kaku yang

diterapkan di dalam sistem. Dengan menggunakan komputer,otorisasi dapatdiimpleme

ntasikan di dalam system informasi, di mana akan mempermudahpekerjaan dan juga
pemonitorannya. Otorisasi ini memiliki kaitan juga dengansegregation of
duties yang telah disebutka'n sebelumnya.
9.

Keterlibatan audit.
Beberapa tahun yang lalu teknologi telah menyingkirkan audit departe

men
dari pengembangan sistem baru dan pengontrolan secara kritis terhadap aplikasi y
ang telah berjalan. Meskipun kecenderungan ini telahmulai berubah,. kelalaian ya
ng sudah-sudah untuk melibatkan pihak auditor telahmengakibatkan kontrol yang
lemah di banyak sistem informasi. Sekarangkete.rlibatan auditor merupakan keharus
an yang tidak dapat dipungkiri lagi.

Dari
media cetak kita telah banyak membaca tentang hacking, virus dankecurangan yang
menggugah kewaspadaan pihak manajemen untuk meningkatkan kebutuhan
keamanan sistem informasi. Oleh karena itu, masalahyang akan dihadapi antara lain :

Seberapa jauh keamanan harus diterapkan.

Berapa biaya yang harus dikeluarkan.

Apakah dampak yang akan timbul dengan menerapkan ekstra keamanandal

am hal efisiensi dan fleksibiitas dari sistem komputer.

Pertanyaan ini dapat dijawab secara menyeluruh denganmempertimbangkan pe

ngaruh dan resiko dimana bisnis perusahaan yang digelutiuntuk menerapkan sistem ko
mputerisasi. Setelah membicarakan hal-hal yangterkait dengan teknologi komputer
yang disebutkan sebelumnya, strategikeamanan sistem informasi dibutuhkan karena :
a)

Tidak dapat dipungkiri lagi bahwa informasi yang dihasilkan olehkomputer

merupakan hal yang penting untuk menyukseskan bisnis.

b)

Teknologi baru telah mengubah pola lingungan bisnis, termasuk ancaman

dan serangan dari ll.iar lingkungan.

c)

Keamanan sistem informasi merupakan kunci keberhasilan untkmenggunaka

n alat bantu baik dalam bentuk Hardware maupun softwaredalam berbisnis
baru dan pemrosesannya.

d)

Keamanan
sistem informasi bukanlah sekedar masalah pengendalian darisisi
teknologi dengan menggunakan baik Hardware maupun software,namun p
enerapan kebijakan dan standar yang memadai akan menentukanarah keaman
an sistem informasi.

e)

Bisnis secara elektronik membutuhkan kepercayaan bisnis.

f)

Bisnis perusahaan sangat tergantung dengan ICT.

g)

Banyak faktor yang membutuhkan pendekatan secara terintegrasi