1.
Aset Perusahaan
lnformasi adalah aset organisasi yang sangat berharga dan penting seperti aset-aset yang
lainmisalnya gedung, mesin-mesin, kendaraan, peralatan kantor, SDM dan lain-lain.
Sebagaikonsekuensi, keamanan sistem informasi merupakan suatu keharusan untuk melindung
i asetperusahaan dari berbagai ancaman. Aset-aset yang dapat dimaksud ke dalam sistem
informasidapat kategorikan sebagai berikut:
Personel
Hardware
Misalnya CPU, Printers, Terminal/monitor,routers, switch
Software aplikasi
Misalnya sistem Deptors, Creditors, penggajian,GL, ERP
Sistem software
Misalnya operating sistem, compilers, utilities, database sistem.
Data
Misalnya master file, backup file, file transaksi
Fasilitas
Misalnya mebel, ruang kantor,fi/ing cabinet
Penunjang
Misalnya Tapes, CD, DVD, disk pack, kertas, tinta printer atau pita.
Hardware failure
Dikarenakan oleh misalnya padamnya ("byar pet") listrik, kortsleting, disk crashes..
Software failure
Dikarenakan oleh kesalahan sistem operasi, kesalahan program update, tidak cukup
dan memadainya uji coba program.
Kegagalan SDM
Kegagalan ini dikarenakan misalnya sangat minimnya training bagi personel, personelya
ng sangat pasif dan tidak memiliki inisiatif, kemasabodoan,tidak loyal,tidak memilikirasa
memiliki (sense of belonging).
Alam
Dikarenakan oleh misalnya cuaca panas atau dingin yang tidak normal, banjir, gas,
proyektil, gempa, letusan gunung.
Keuangan
Disebabkan oleh misalnya tuntutan hokum pihak ketiga, pailit,mogok kerja,huru-hara.
Eksternal
Sabotase, spionase, huru-hara.
Internal
Dapat dalam bentuk kecurangan, pencurian, perbuatan jahat (memasukkan virus, m
embangun malicious software).
Klasifikasi tnformasi
Seperti yang telah disebutkan sebelumnya informasi merupakan asset perusahaanya
ng harus dilindungi dari ancaman penyalahgunaan. lnformasi dalam bentuk hardcopy
atau softcopy yang dihasilkan dengan jerih P.ayah perusahaan merupakan investasi yang me
makan biaya banyak demi menunjang dan memajukan perusahaan dapat diklasnikasikan
sebagai berikut:
a)
Konfidensial (Confidential)
Apabila informasi ini disebarluaskan maka ia akan merugikan privasiperorangan,m
erusak reputasi organisasi. Contoh informasi jenis Confidential :konsolidasi pener
imaan, biaya, keuntungan beserta informasi lain yangdihasilkan unit kerja keuanga
n organisasi,strategi marketing, teknologi, rencana produksi, gaji karyawan, info
rmasi pribadi karyawan, promosiatau pemberhentian karyawan.
c)
Restricted
lnformasi ini hanya ditujukan kepada orang-orang tertentu untuk menopang
bisnis organisasi. Contoh informasi Restricted: informasi mengenaibisnis organisas
i,peraturan organisasi, strategi marketing yang akandiimplementasikan, strategi ha
rga penjualan, strategi promosi.
d)
Internal Use
lnformasi ini hanya .boleh digunakan oleh pegawai perusahaan untuk melaksa
nakan tugasnya. Contoh informasi Internal Use : prosedur, bukupanduan, pengum
uman atau memo mengenai organisasi.
e)
Public
lnformasi ini dapat disebarluaskan kepada umum melalui jalur yang
resmi.Contoh informasi Publik : lnformasi di web, Internal korespondensi yangti
dak perlu melalui pengontrolan atau screening, dan public corporateannounceme
nts.
e yang bertanggung jawab atas keamanan sistem dan data yang dipakainya. Iaberhak untu
mengajukan permintaan atas pengembangan sistem lebih lanjut ataupembetulan di dala
sistem yang menyangkut bagiannya. Personel ini merupakan contactperson dengan bagia I
CT (Information and Communication Technology). Contohnya :pemilik dapat menentukan
siapa saja yang dapat mengakses ke sistem informasi tertentu dan sejauh mana wewenan
g/otoritas yang dapat diberikan kepada yangberkepentingan. Permohonan pengaksesan
ini harus dapat dijustifikasikan oleh pemohodan manajer terkait.
undangyang telah ditetapkan yang berkaitan dengan proteksi data, computer crime, dan ha
kcipta. Contohnya: bank yang menggunakan komputer harus mematuhi peraturan yangdi
keluarkan oleh Bank Sentral, misalnya untuk pengiriman uang.
m
jaringan internasional, transaksi akan terlaksana hanya dalam hitungan beberapa detik d
engan tidak pertemuan manusia secara langsung. Apabila transaksi
semacam ini terja di kesalahan tidak dapat langsung diperbaiki atau akan menyita banyakw
aktu dan upaya untuk memperbaikinya. Antisipasi dan pencegahan dengan tindakankeama
nan yang ketat akan memberikan garansi atas integritas, kelanjutan, dankerahasiaan transak
si yang terjadi serta meyakinkan untuk proses audit. Tindakanpencegahan tambahan harus d
iimplementasikan agar dapat mendeteksi dan melaporkan kesalahan yang terjadi sehingg
a segala bentuk kejanggalan dapat dikoreksi secepatmungkin. Contohnya : transaksi semi'lc
am ini biasanya terjadi pada perbankan misalnyapemindahan dana melalui ATM (Automati
c Teller Machine/Anjungan Tunai Mandiri). Apabila dibandingkan dengan misalnya peme
sanan barang yang
tidak langsung dapatdikirim, kesalahan pemesanan masih dapat dikoreksi misalnya melal
uin telpon yang akan ditindaklanjuti dengan konfirmasi secara tertulis.
Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diprosesdi
sistem komputer .
Sistem komputer milik perusahaan beserta jaringannya hanya diperbolehkan untukdipak
n,
maka perusahaan harus dilindungi oleh keamanan atas informasiperusahaan. Di dalam ko
ntrak harus didefinisikan agar pihak ketiga mematuhi peraturan dan keamanan sistem inf
ormasi perusahaan. Manajemen harus bertanggungjawab agar pihak ketiga mematuhi dan
mengikuti peraturan keamanan yang telahdirumuskan. Contohnya : apabila pengembangan
sistem informasi dilakukan olehpihak ketiga/software house, sudah tentu pada uji coba a
khir harus memakai data yangsesungguhnya. Data ini tidak diperbolehkan oleh pihak keti
ga di-copy dandisebarluaskan atau output baik yang
berbentuk hardcopy maupun softcopy dipakaisebagai contoh untuk perusahaan lain apalagi
untuk pesaing
terhadap sistem informasi harus melalui prosedur yang berlaku untukpengembangan dan
implementasi sistem baru. Setiap permintaan perubahan program harus disertai alasan y
ang kuat ser.ta keuntungan yang ia akan dapatkan danpemohon harus dapat meyakini m
anajer terkait dan pemilik sistem mengenaiperubahan ini. Oleh karena itu, sangat penting
apabil semua pihak yang terkait harusmenandatangani "change request" sebelum kegiatan i
ni dimulai. Harus pula diingatbahwa perubahan program akan memakan biaya dan waktu
juga.
Contoh : tidak dibenarkan apabila pemakai secara individu meminta perubahanterhada
p sistem dengan tidak sepengetahuan dari pemilik sistem. Dalam prakteknyahal ini sangat
sering terjadi. semua perubahan harus melalui prosedur change request,sehingga ICT
memiliki dokumentasipan bukti yang lengkap untuk menghindaripermasalahan di kemudia
n hari. Pihak ICT harus dapat dengan tegas menolak permintaan user apabila permintaan
tidak disertai dengan change request.
Sistem yang akan dikembangkan harus sesuai dengan standar metode pengemba
ngan sistem yang diemban oleh organisasi
Sistem yang akan dibangun harus memakai bahasa pemrograman yang telahditetapkan.
Tidk dibenarkan apabila programmer membuatnya dengan bermacammacam bahasa pemrograman; Begitu pula dengan sistem database yang digunakan,
harus memiliki keseragaman. Patut dipertimbangkan semua resiko keamanan bersamapenan
ggulangannya di dalam sistem. Sebelum sistem aplikasi diimplementasikan,pemilik sistem
Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan denganme
makai kode identitasnya (User-/D)
Semua pemakai harus berhati-hati menyimpan password User-10-nya. Semuaaktivitas
yang dilakukan dengan 10 ini akan terekam di dalam audit-trail. Pemakai tidakdapat
memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugianterhdap
perusahaan.
Kesalahan beserta bukti ini dapat mengakibatkan peringatan atau pemutusan hubunga
n kerja terhadap pemilik User-ID ini. Oleh karena itu, simpan passwordsebaik mungkin
dan jangan misalnya menempelkan di tempat di mana semua orangyang t;idak berwena
ng dapat membacanya. Apabila pemakai merasa bahwa ada orangyang tidak berwenang tel
ah mengetahui password-nya, langkah terbaik adalah langsungmengganti password-nya.
3.
Di atas telah disinggung mengenai ISO 17799 dan sekarang timbul pertanyaanapa
sebetulnya ISO 17799. ISO 17799 adalah standar keamanan sistem informasi yangtelah diak
ui oleh dunia dan disahkan pada tahun 2000, dimana ia mengalami revisi padatahun 2005 (I
SO/IEC 17799 2005 yang juga disebut ISO/IEC 27002 2005).
Keuntungan yang dapat diambil dari standarisasi ini antara lain metodologi yangterstru
ktur dan telah diakui oleh dunia in.ternasional, proses yang terdefinisi dengan baik,kebijaka
n dan prosedur dapat disesuaikan dengan kondisi organisasi dan lain-lain.ISO 17799 terdiri
dari:
1.
2.
3.
Compliance
Tujuan Compliance adalah agar tidak ada pelanggaran hukum kriminalitas
atau sipil, undang-undang, kontrak, dan lain-lain yangberkaitan dengan hukum.
Selain itu, menjaga agar sistem memenuhi persyaratan dan standar keamanan per
usahaan.
6.
Personnel Securit.
Tujuan Personnel Security adalah mengurangi risiko kesalahan orang,kecuran
gan, atau penyalahgunaan fasilitas. Memastikan agar users menyadari kem
ungkinan ancaman yang akan terjadi terhadap keamanansistem informasi sert
a membekali mereka dengan peraturan keamanansistem informasi dalam melak
sanakan tugas mereka
7.
Security Organization.
Tujuan Security Organization adalah membahas bagaimana mengelola keaman
an sistem
keamanan di dalam organisasi sendiri, menjaga agar sistemtidak dapat diakses ol
eh pihak ketiga. Selain itu, pembahasan mengenaibagaimana mengurus keamana
n informasi jikalau pemroses pengolahan datadiberikan kepada pihak ketiga.
8.
9.
Sentralisasi Data.
Pengaksesan Data.
Pengaksesan informasi dapat lebih mudah dilakukan baik dari dalam maupunda
il. Apabila
pada saat itu terjadi kejanggalan maka pelacakannya akan sulit danmembutuhkan ba
nyak waktu untuk menemukan kesalahan ini. Namun, rataratasekarang mereka sudah dibekali dengan fasilitas informasi yang dibutuhkan oleh
audit sehingga auditor dapat mendeteksi kejanggalan transaksi.
5.
8.
Tingkat otorisasi.
Secara umum sistem manual memilki tingkat otorisasi yang kaku yang
Keterlibatan audit.
Beberapa tahun yang lalu teknologi telah menyingkirkan audit departe
men
dari pengembangan sistem baru dan pengontrolan secara kritis terhadap aplikasi y
ang telah berjalan. Meskipun kecenderungan ini telahmulai berubah,. kelalaian ya
ng sudah-sudah untuk melibatkan pihak auditor telahmengakibatkan kontrol yang
lemah di banyak sistem informasi. Sekarangkete.rlibatan auditor merupakan keharus
an yang tidak dapat dipungkiri lagi.
Dari
media cetak kita telah banyak membaca tentang hacking, virus dankecurangan yang
menggugah kewaspadaan pihak manajemen untuk meningkatkan kebutuhan
keamanan sistem informasi. Oleh karena itu, masalahyang akan dihadapi antara lain :
b)
c)
d)
Keamanan
sistem informasi bukanlah sekedar masalah pengendalian darisisi
teknologi dengan menggunakan baik Hardware maupun software,namun p
enerapan kebijakan dan standar yang memadai akan menentukanarah keaman
an sistem informasi.
e)
f)
g)