KEAMANAN SISTEM INFORMASI

Sistem keamanan informasi merupakan suatu subsistem dakam suatu organisasi yang bertugas
mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem ekaanan
informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database,
prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan
pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, da
digunakan untuk menghasilkan laporan. Siklus Hidup Sistem Keamanan Informasi Sistem
keamanan

komputer

dikembangkan

dengan

menerapkan

metode

analisis,

desain,

implementasi, serta operasi evaluasi, dan pengendalian. Tujuan setiap tahap hidup ini adalah
sebagai berikut. Fase Siklus Hidup Tujuan Analisis sistem Analisis kerentaan sistem dalam
arti ancaman yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.
Desain sistem Desain ukuran keamnan dan rencana kontingensi untuk mengendalikan
eksposur kerugian yang teridentifikasi. Implementasi sistem Menerapan ukurn keamanan
seperti yang telah didesain. Operasi, evaluasi, dan pengendalian sistem Mengoperasikan
sistem dan menaksir efektivitas dan efisiensi. Membuat perubahan sebagaimanan diperlukan
sesuai dengan kondisi yang ada. Sistem Keamanan Informasi dalam Organisasi Agar sistem
keamanan informasi bisa efektif, ia harus dikelola oleh chief security officer (CSO). Tugas
utama CSO adalh memebrikan laporan langsung kepda dewan direksi untuk mendapatkan
persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup. Fase Siklus
Hidup Laporan kepada Dewan Direksi Analisis sistem Sebuah ringksan terkait dengan semua
eksposur kerugian ang relevan. Desain sistem Rencana detik mengenai pengendalian dan
pengelolaan kerugian, termasuk anggran sistem keamanan secara lengkap. Implementasi
sistem, operasi, evaluasi, dan pengendalian sistem Mengungkapkan secara spesifik kinerja
sistem ekamnan termasuk kerugian dan plnggaran keamnan yang terjadi, analisis kepatuhan,
serta biaya operasi sistem keamanan. Mengalisis Kerentanan dan Ancaman Ada dua
pendekatan untuk menganisis kerentanan dan ancaman sistem. Pendekatan kuantitatif untuk
menaksir risiko menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian setiap
item ekposur dengan kemungkinan terjadinya eksposur tersebut. Manfaat terbesar dari analisis
semacam ini adalah ia dapat menunjukkan bahwa ancaman yang paling mungkin terjadi
bukanlah ancaman dengan eksposur kerugian terbesar. Ada beberapa kesulitan untuk
menerapkan pendekatan kuantitatif guna menaksirkan eksposur kerugian. Pertama,
mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir probabilitas
terjadinya eksposur tersebut merupakan hal yang sulit. Yang kedua, mengestimasi
kemungkinan terjadinya suatu kerugian melibatkan peramaan masa yang akan dating, yang

sangat sulit khususnya dalam lingkungan teknologi yang mengalami perubahan sangat cepat.
Metode kedua yang dapat digunakan untuk menaksir risiko keamanan komputer adalah
pendekatan kualitatif. Pendekatan ini secara sederhana merinci daftar kerentanan dan
ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut
berdasarkan kualitatif maupun pendekatan kuantitatif sering digunakan di dalam praktik.
Banyak perusahaan mengombinasikan kedua pendekatan tersebut. Apa pun metode yang
dipakai, analisis eksposur kerugian tersebut harus mencakup area berikut ini: Interupsi bisnis
Kerugian perangkat lunak Kerugian data Kerugian perangkat keras Kerugian fasilitas
Kerugian jasa dan personel
KERENTANAN DAN ANCAMAN
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaan merupakan suatu
potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman:aktif dan
asif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase koputer. Ancaman
pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir,
kebakaran dan angin badai. Kgagalan sistem menggambarkan kegagalan komponen peralatan
sistem, seperti kegagalan harddisk, matinya aliran listrik, dan lain sebaginya. Tingkat
Keseriusan Kecurangan Sistem Infomasi Kejahatan berbasis komputer merupakan bagian dari
masalah umum kejahatan kerah putih. Statistik menunjukkan bahwa kerugian perusahaan
terkait dengan kecurangan lebih besar dari total kerugian akibat suap, perampokan, dan
pencurian. Keamanan sistem informasi merupakan masalah internasional. Banyak Negara
memiliki undang-undang yang ditujukan pada masalah keamanan komputer. National
Commision on Fraudulent Financial Reporting (Trradway Commission) mengaitkan
kecurangan manajemen dengan kejahatan komputer. Kecurangan manajemen merupakan
kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk menipu
invertor dan kreditor mellui pelaporan keuangan yang menyesatkan. Kecurangan semacam ini
dilakuakan oleh mereka yang memiliki posisi cukup tinggi di dalam organisasi sehingga
memungkinkan mereka melanggar pengendalian akuntansi, biasanya istilah kecurangan
manajemen mengacu pada manipulasi laporan keuangan. Individu yang Dapat Menjadi
Ancaman bagi Sistem Informasi Keberhasilan serangan terhadap sistem informasi
memerlukan akses terhadap hardware, file data yang sensitive, atau program kritis. Tiga
kelompok individu- personel sistem, pengguna, dan penyusup-memiliki perbedaan
kemampuan untuk mengakses hal-hal tersebut di atas. Personel Sistem Komputer Personel
sistem meliputi personel pemelihraan komputer, programmer, operator, personel dministrasi
sistem informasi, dan karyawan pengendalian data. Personel Pemeliharaan Sistem. Personel

pemeliharaan sistem menginstal perangkat keras dan perangkat luak, memperbaiki perangkat
keras, dan membetulkan kesalahan kecil di dalam perangkat lunak. Indivisu-indivisu
semacam ini mungkin tidak ekerja untuk perushaan, tetapi bekerja untuk pemasok tempat
perusahaan membeli perngkat lua akuntansi. Beberapa personel pemeliharaan biasa saja
berada dalam poisi yang memungkinkan ia melakuakn modifikai yang tidak diharapkan
terhadap keamanan dalam sistem operasi. Programer. Programmer sering menulis progra
untuk memodifikasi dan memperluas sistem operasi jaringan. Indivisu-individu emacam ini
bisanya diberi account dengan kewenangan akses universal ke semua file perusahaan.
Operator Jaringan. Indovidu yang mengamati dan memonitor operasi komputer dan jaringan
komuniksi disebut operator jaringan. Biasanya, operator diberi tingkat keamnan yang cukup
tinggi sehingga memungkinkan operator secara diamdiam mengwasi semua jarinan
komunikasi (termauk pada saat pengguna individu memasukkan password), dan juga
mengakses semua file di dalam sistem. Personel Administrasi Sistem Informasi. Supervisor
menempat posisi kepercyaan yang sangat tinggi. Orang ini biasanya memiliki akse ke rahasia
keamanan, file, program, dan lain sebagainya. Administrasi account memiliki kemampuan
untuk menciptakan account fiktif atau untuk member password pada account yang sudah ada.
Karyawan Pengendali Data. Mereka bertanggung jawab terhadap penginputan data e dalam
komputer disebut kryawan pengendali data. Poisi ini member peluang bagi karyawan untuk
melakukan manipulasi data input. Pengguna Pengguna terdiri dari sekelompok orang yang
heterogen dan data dibedakan dengan yang lain karena are fungsional mereka bukan
merupakan bagian dari pengolahan data. Banyak pengguna memiliki akses ke data yang
sensitive yang dapat merek bocorkan kepada pesaing perusahaan. Pengguna memiliki kendali
terhadap input komputer yang cukup penting, sperti memo kredit, kredit rekening, dan lain
sebagainya. Penyusup Setiap orang yag memiliki akses ke peralatan, data elektronik, ata file
tanpa hak yang legal merpakan peyusup (intruder). Penyusup yang menyerang sistem
inormasi sebagai sebuah kesenanga dan tantangan dikenal dengan nama hacker. Tipe lai dari
penyusup antara lain unnoticed intrudruder, wiretapper, piggybacker, impersonating intruder,
dan eavesdropper. Ancaman Aktif pada Sistem Informasi Ada enam metode yang dapat
digunakan untuk melakukan kecurangan sistem informasi. Metode ini meliputi manipulasi
input, perubahan program, perubahan file secara langsung, pencurian data, sabotase, dan
penyalahgunaan atau pencurian sumber daya informasi. Manipulasi Input Metode ini
mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input
tanpa memiliki pengetahuan mengenai cara operasi sistem komputer. Mengubah Program
Mengubah program mungkin merupaka metode yang paling jarang digunakan untuk

melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena

dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas.
Banyak perusahaan besr memiliki metode pengujian program yang dapat digunakan untuk
mendeteksi adanya perubhn dalam program. Trapdoor merupakan sebagian program
komputer yang memungkinkan seseorang mengakses program dengan mengabaikan jalur
keamnanan program tersebut. Ada kalanya pengembangan program menempatkan trapdoor
dalam sebuah program untuk meyakinkan bahwa mereka akan selalu memiliki akses terhadap
program tersebut. Trapdoor bisa saja ada di dalam sistem kuntansi, program database, sistem
operasi, dan lain sebagainya. Mengubah File secara Langsung Dalam beberapa kasus,
individu-individu tertentu menemukan cara mmotong (bypass) proses normal untuk
menginput data ke dalam program komputer. Jika hal ini terjadi, hasil yang dituai adalah
bencana. Pencurian Data Pencurian data penting merupakan salah satu masalah yang cukup
serius dalam sunia bisnis hari ini. Dalam industry dengan tingkat persaingan yang sangat
tinggi, informasi kuantittif dan kualitatif terkait dengan salah seorang pesaing merupakan
salah satu informas yang cukup diburu. Sejumlah informasi ditransmisikan antar perusahaan
melalui internet. Informasi ini retan terhadap pencurian data saat transmisi. Informasi tersebut
bisa saja disadap. Ada juga kemungkinan untuk mencuri disket atau CD dengan cara
menyembunyikan disket atau CD ke dalam kantong atau tas. Laporan yang tipis juga bisa
dicuri dengan dimasukan ke dalam kotak sampah. Lebih jauh, individu-individu denagn akses
terhadap e-mail, dapat dengan mudah menyalin informasi rahasia dan mengirim informasi
tersebut ke luar perusahaan lewat Internet. Dengan menggunakan metode tersebut, penyusup
data mencuri sejumlah besar informasi hanya dalam hitungan menit. Sabotase Sabotase
komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat lunak
dapat menybabkn kebangkrutan suatu perusahaan. Karawan yang tida puas, khususnya yang
telah dipecat, biasanya merupakan pelaku sabotase utama. Seorang pnyusup menggunaan
sabotase untk membuat kecurangan menjadi sulit dan membingungkan untuk diungkapkan.
Sebagai contoh, seseorang mengubah database akuntansi dan kemudian mencoba menutupi
kecurangan tersebut dengan melakukan sabotase terhadap hardisk atau media lain. Ada
banyak cara yang dapat dilakukan yang dapat menyebabkan keruakan yang serius terhadap
perangkat keras komputer. Magnet dapat digunakan untuk menghapus tape magnetic dan
disket, hanya dengan meletakkan magnet di dekat media/ detak radar juga memiliki efek yang
sama jika radar tersebut diarahkan pada bangunan yang berisi media magnetic. Salah satu
metode tertua sabotase dengan menggunkan program komputer yaitu dengan bom logika bom
logika melibatkan sekeping kode laten di dalam sebuah program yang akan diaktivasi pada

suatu saat nanti terkait dengan peristiwa tertentu. Kuda Troya merupakan sebuah program
yang destruktif yang berklamuflase seolah-olah ia merupakan program yang legal. Program
Virus serupa dengan kuda troya, tetapi dapat menyebarkan dirinya sendiri ke program lain,
"menginfeksi" program lain dengan virus yang sama. Virus saat ini sangat lumrah karena
hamper semua perusahaan menghadapi virus setiap hari. Worm Worm merupakan satu jenis
virus yang menyebarkan dirinya melalui jaringan komputer. Istilah worm muncul karena
komputer berbeda yang terinfeksi di dalam jaringan dianggap sebagai suatu segmen yang
terkait seperti serangga. Virus Mellisa Macro menempelkan dirinya pada file Microsoft Word
dan menyebar melalui Internet dengan cara mengirim email yang terinfeksi ke luar, ke namanama yang terdapat dalam buku alamat secara otomatis. Robert Morris, Jr., seorang lulusan
dari Cornell University, mengembangkan program virus yang masuk ke dalam internet dan
menyebar melalui jaringan dengan sangat cepat. Kata virus ada kalanya mencakup juga semua
program yang mengandung niat jahat, termasuk bom logika, kuda troya, dan worm. Bentuk
sabotase yang lain adalah serangan denial-of-service. Penyerang membanjiri server Web
dengan sangat banyak permintaan dalam interval waktu yang sangat pendek. Terakhir, ada
juga serangan yang ditujukan untuk menghancurkan Website perusahaan. Hacker biasanya
menembus masuk ke dalam Website dan memodifikasi atau mengganti home page.
Penyalahgunaan atau Pencurian Sumber Daya Informasi Salah satu jenis penyalahgunaan
informasi terjadi pada saat seorang karyawan menggunakan sumber daya komputer organisasi
untuk kepentingan pribadi. Contohnya, lima orang karyawan dinyatakan bersalah karena
menggunakan komputer mainframe perusahaan di jam-jam senggang untuk mengoperasikan
pemrosesan data perusahaan mereka sendiri. Selain itu, tipe kejahatan komputer yang lain,
tidak terlalu diketahui tetapi sangat mungkin terjadi di banyak perusahaan seperti misalnya
beberapa karyawan mencuri komputer mainframe perusahaan dalam satu hari, bagian demi
bagian dilarikan lewat pintu belakang.
SISTEM KEAMANAN SISTEM INFORMASI
Sistem keamanan komputer merupakan bagian dari struktur pengendalian internal perusahaan
secara keseluruhan. Ini berarti, elemen dasar pengendalian internal (supervisi yang memadai,
rotasi pekerjaan, batch control total, pengecekan validitas, dan lain sebagainya) merupakan
aspek penting dalam sistem keamanan komputer. Keamanan sistem informasi merupakan
sebuah aplikasi prinsip-prinsip pengendalian internal yang secara khusus digunakan untuk
mengatasi masalah-masalah dalam sistem informasi. Lingkungan Pengendalian Merupakan
dasar keefektifan seluruh sistem pengendalian yang tergantung pada delapan faktor, yaitu:

Filosofi Manajemen dan Gaya Operasi Aktivitas pertama dan terpenting dalam sistem adalah
menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk mendukung
terwujudnya keamanan. Menciptakan suasana ini dapat dilakukan dengan banyak cara, seperti
pemberian pendidikan mengenai keamanan bagi semua karyawan, selalu memonitor peraturan
keamanan, dan membina hubungan yang baik dengan seluruh karyawan. Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputansi, dan pemrosesan data semuanya diorganisasi
di bawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan fungsi
pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputansi. Hal ini
menimbulkan banyak masalah dalam upaya membuat dan menjaga pola otoritas dan
wewenang yang jelas. Satu hal yang penting adalah, harus dibuat satu garis wewenang yang
jelas untuk menentukan siapa yang bertanggung jawab mengambil keputusan terkait dengan
perangkat lunak akuntansi dan prosedur akuntansi. Harus ada orang yang bertanggung jawab
terhadap sistem keamanan komputer. Dewan Direksi dan Komitenya Dewan direksi harus
menunjuk komite audit. Komite audit harus menunjuk atau menyetujui pemilihan auditor
internal. Komite audit harus berkonsultasi secara berkala dengan auditor eksternal dan
manajemen puncak terkait dengan kinerja chief security officer dan sistem keamana
komputer. Metode Pembagian Otoritas dan Tanggung Jawab Tanggung jawab semua posisi
harus didokumentasikan dengan hati-hati menggunakan struktur organisasi, manual
kebijakan, deskripsi kerja, dan lain sebagainya. Aktivitas Pengendalian Manajemen
Pengendalian anggaran penting dalam lingkungan komputer karena ada kecenderungan di
banyak perusahaan untuk mengeluarkan biaya terlalu banyak dalam teknologi informasi.
Fungsi Audit Internal Sistem keamanan komputer harus diaudit secara konstan dan
dimodifikasi untuk memenuhi kebutuhan yang terus berubah. Sistem semestinya "ditantang"
secara berkala dengan transaksi hipotesis. Perubahan terhadap file master harus dilacak balik
ke dalam dokumen sumber yang relevan. Pelacakan balik semacam ini merupakan satu cara
yang berguna untuk mendeteksi perubahan ilegal terhadap file master. Cara lain yang dapat
digunakan untuk mendeteksi perubahan ilegal adalah dengan menggunakan batch control
total. Kebijakan dan Praktik Personalia Pemisahan tugas, supervisi yang memadai, rotasi
pekerjaan, vakasi wajib, dan pengecekan ganda semua merupakan praktik personalia yang
penting. Peraturan yang terpenting barangkali adalah memisahkan pekerjaan pengguna
komputer dan personalia sistem komputer. Pengguna sering memiliki akses fisik ke aktiva
komputer dan personalia sistem sering memiliki hak akses ke file data yang memuat catatan
akuntansi. Penggabungan kedua tipe hak akses semacam ini dapat menjadi satu undangan
untuk melakukan kecurangan. Rotasi pekerjaan dan vakasi wajib harus diterapkan ke semua

personel sistem yang memiliki akses ke file yang sensitif. Banyak skema kejahatan, bahkan
dalam lingkungan komputer, mensyaratkan pelaku untuk melakukan pengamatan secara terus
menerus. Praktik personalia terkait dengan perekrutan dan pemecatan karyawan juga
merupakan hal yang penting. Karyawan yang prospektif harus diteliti dengan sangat hati-hati,
terkait dengan masalah-masalah yang dia hadapi yang dapat mendorong dirinya untuk
melakukan kejahatan seperti kesulitan kredit, kecanduan terhadp sesuatu, termasuk masalah
terkait dengan pekerjaannya ditempat yang sama. Pemutusan hubungan kerja dengan
karyawan harus dilakukan dengan sangat hati-hati karena karyawan yang di-PHK tercatat
sebagai pelaku utama dalam kasus sabotase. Jika seorang karyawan kunci dipecat, semua hak
akses ke perangkat keras, perangkat lunak, dan file data sensitif harus dibatalkan secepat
mungkin. Pengaruh Eksternal Hukum dan regulasi mengatur keamanan dan privasi berbagai
tipe data, termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat
mereka, personalia dan pemerintah, serta mengatur pengiriman informasi ke negara lain.
Penting juga untuk mengimplementasikan kebijakan internal yang terdokumentasi dengan
baik untuk mencegah pembajakan perangkat lunak. Perusahaan yang tidak memiliki kebijakan
semacam ini dapat menjadi sasaran hukum. Pengendalian Ancaman Aktif Cara utama untuk
mencegah ancaman aktif terkait dengan kecurangan dan sabotase adalah dengan menetapkan
tahap-tahap pengendalian akses. Pengendalian akses memisahkan penyusup dari sasaran
potensial mereka. Filosofi di balik pendekatan berlapis untuk pengendalian akses melibatkan
pembangunan banyak tahap pengendalian yang memisahkan calon penyusup dari sasaran
potensial mereka. Tiga tahap yang dapat digunakan adalah pengendalian akses lokasi,
pengendalian akses sistem, dan pengendalian akses file. Pengendalian akses lokasi Tujuannya
adalah untuk memisahkan secara fisik individu yang tidak berwenang dari sumber daya
komputer. Semua pengguna diwajibkan menggunakan tanda identifikasi keamanan. Ruangan
yang berisi peralatan komputer atau data yang sensitif harus memiliki pintu yang terkunci.
Tersedia juga sistem autentikasi perangkat keras biometrik. Secara otomatis mengidentifikasi
individu berdasarkan sidik jari mereka, ukuran tangan, pola retina, pola suara, dan lain
sebagainya. Kompleks pengolahan data harus berlokasi di gedung yang terisolasi yang
dikelilingi tembok dengan pintu akses. Semua konsentrasi data komputer dan peralatan harus
dilokasikan ditempat yang sulit ditemukan. Serangan terhadap pustaka data dan ruangan kritis
lainnya dapat diminimalkan dengan sistem penjagaan yang sangat ketat mencakup
pemasangan pintu ganda untuk tempat penyimpanan data komputer. Pusat data entry yang
tersentralisasi harus merupakan area yang sangat terproteksi dan terbatas bagi orang-orang
yang tidak berkepentingan. Komputer personal, terminal, disket, dan tape juga harus

dilindungi. Semua objek ini merupakan sasaran pencurian, interferensi, dan perusakan.
Menjaga segala sesuatu dalam ruang yang terkunci merupakan salah satu cara proteksi yang
terbaik. Terakhir, jika memungkinkan, semua peralatan komputer harus ditempatkan di ruang
yang terkunci, dengan dinding yang cukup kuat untuk mencegah terjadinya intrusi radiasi
elektromagnetik yang tidak diharapkan. Tidak ada perangkat lunak yang boleh diinstal di
komputer maupun tanpa persetujuan dari keamanan. Ini merupakan masalah yang sulit karena
virus dapat masuk ke dalam komputer melalui banyak cara. Ada cara lain untuk membatasi
secara fisik intrusi virus, salah satunya adlah dengan menyediakan workstation yang tidak
memiliki harddisk dan diskdrive. Pendekatan ini memiliki keuntungan dengan pemusatan
instalasi semua perangkat lunak, termasuk backup file. Cara kedua adalah menggunakan
sistem operasi yang ROM-based. Menempatkan sistem operasi di dalam ROM akan
melindungi jaringan dari ancaman virus. Terakhir, semua kabel listrik harus antisadap. Kabel
fiberoptik biasanya dianggap aman dari penyadapan dan dapat digunakan. Pusat jaringan dan
peralatan komunikasi harus ditempatkan di ruang terkunci. Pengendalian akses sistem
Merupakan suatu pengendalian dalam bentuk perangkat lunak didesain untuk mencegah
penggunaan sistem oleh pengguna yang ilegal. Tujuan pengendalian ini untuk mengecek
keabsahan pengguna dengan menggunakan sarana seperti ID pengguna, password, alamat
Internet Protocol (IP), dan perangkat-perangkat keras. Password harus dikendalikan dengan
hati-hati melalui sistem pengelolaan pasword yang baik. Prosedur pemberian password yang
paling aman adalah dengan tidak memberi kemungkinan kepada pengguna untuk mengubah
password mereka. Password yang ideal mestinya terdiri dari kombinasi huruf kapital dan
huruf kecil, simbol khusus, dan angka. Satu lagi lapisan keamanan dapat ditambahkan dengan
penggunaan sistem sign-countersign. Kekuatan sistem ini adalah pasangan sign-countersign
tidak akan pernah digunakan dua kali. Firewall dapat diprogram untuk menolak setiap paket
yang datang yang tidak berasal dari alamat IP yang ada pada daftar otorisasi. Firewall hanya
dabat membatasi, tetapi bukan merupakan satu solusi total. Solusi yang lebih baik adalah
menggunakan firewall dengan teknik enkripsi. Terakhir, perlu dilakukan pembatasan terhadap
hak administrasi setiap individu pengguna komputer personal untuk mencegah pengguna
menginstal perangkat lunak ke dalam PC mereka, yang selanjutnya dapat mencegah
kontaminasi virus, kuda Troya, dan gangguan lain terhadap PC. Pengendalian akses file
Pengendalian akses file mencegah akses ilegal ke data dan file program. Yang paling
fundamental adalah pembuatan petunjuk dan prosedur legal untuk mengakses dan mengubah
file. Perubahan program tidak boleh dilakukan tanpa ada persetujuan tertulis. Salina program
yang telah diubah harus diinspeksi terlebih dahulu sebelum digunakan untuk menggantikan

program yang orisinil. Semua program penting harus disimpan di dalam file terkunci. Ini
berarti program dapat dijalankan, tetapi tidak dapat dilihat atau diubah. Hanya bagian
keamanan yang dapat mengetahui password untuk membuka file program. Bagian keamanan
bertanggung jawab untuk mengecek secara berkala kesamaan program yang sedang
beroperasi dngan versi program yang disimpan di perpustakaan. Perusahaan dapat menginstal
program residen yang secara konstan terus mengecek keberadaan virus atau adanya perubahan
file. Satu cara terbaik yang dapat digunakan untuk menghilangkan masalah virus adalah
dengan mengendalikan setiap tambahan file baru yang dimasukkan ke dalam sistem.
Pengendalian Ancaman Pasif Mencakup masalah seperti kegagalan perangkat keras dan mati
listrik. Pengendalian ini dapat berupa pengendalian preventif maupun korektif. Sistem
toleransi kesalahan Sebagian besar metode yang digunakan untuk menangani kegagalan
komponen sistem adalah pengawasan dan redundancy. Jika salah satu sistem gagal, bagian
yang redundant akan segera mengambil alih, dan sistem dapat terus beroperasi tanpa
interupsi. Sistem semacam ini disebut sistem toleransi kesalahan yang dapat diterapkan pada
lima level pada jaringan komunikasi prosesor CPU, DASD, jaringan listrik, dan pada
transaksi individual. Jaringan dapat dijadikan sistem toleransi kesalahan dengan cara
menduplikasi jalur komunikasi dan prosesor komunikasi. Ada dua pendekatan utama yang
dapat digunakan untuk membuat pemrosesan CPU redundan. Sistem dengan protokol
berbasis-konsensus dan sistem watchdog processor. DASD dapat dijadikan sistem toleransi
kesalahan dengan beberapa cara, seperti pengujian read-after-write, bad-sector lockout, dan
disk mirroring. Toleransi kesalahan terhadap mati listrik dapat dicapai dengan menggunakan
uninterruptable power supply (UPS). Jika listrik mati, sistem backup yang ada kalanya
bertenaga baterai, mengambil alih beberapa detik untuk memastikan tidak ada pemutusan
mendadak terhadap aktivitas permrosesan yang sedang berlangsung. Toleransi kesalahan yang
diterapkan pada level transaksi mencakup rollback processing dan database shadowing.
Dengan rollback processing, transaksi tidak pernah dituliskan ke dalam disk, kecuali transaksi
tersebut telah lengkap. Database shadowing serupa dengan disk shadowing, hanya saja
duplikasi semua transaksi dibuat dan dikirimkan lewat jaringan komunikasi ke lokasi yang
jauh (remote location). Memperbaiki kesalahan: Backup File Ada tiga jenis backup: backup
penuh, inkremental, dan diferensial. Backup penuh membuat back up semua file yang ada
dalam suatu disk. Sistem operasi akan secara otomatis mengeset bit ini menjadi 1 pada saat
sebuah file mengalami perubahan. Backup inkremental melakukan backup semua file dengan
nilai archive bit 1, kapan saja file tersebut mengalami perubahan, kemudian, setiap archive bit
file akan kembali diset menjadi 0 selama proses backup. Terakhir backup diferensial pada

dasarnya sama dengan backup inkremental. Hanya saja, archive bit tidak diset menjadi 0
selama proses backup. Skema backup yang paling sederhana adalah melakukan backup penuh
secara periodik. Keamanan Internet Internet menciptakan jendela elektronik bagi dunia luar
yang mengeliminasi semua isolasi fisik sumber daya informasi perusahaan. Oleh karena itu,
semua lapisan pemisahan fisik yang terkait dengan pendekatan akses berlapis guna
menciptakan keamanan sistem, tidak sepenuhnya dapat mengamankan sistem informasi
perusahaan. Kerentaan terkait dengan internet dapat muncul akibat kelemahan-kelemahan
berikut ini: Sistem operasi atau konfigurasi sistem operasi Web server atau konfigurasi web
server Jaringan privat atau konfigurasi jaringan privat Berbagai program server Prosedur
keamanan secara umum Kerentanan sistem operasi Web server sebenarnya merupakan
ekstensi dari sistem informasi. Akibatnya, setiap kelemahan di dalam keamanan sistem
operasi juga menjadi kelemahan keamanan web server. Untuk alasan inilah administrator
keamanan harus, pertama dan terpenting, mengamankan sistem operasi. Administrator harus
secara konstan memonitor buletin keamanan yang dipublikasikan oleh vendor sistem opersi
dan oleh jasa advisory pihak ketiga. Kerentanan Web Server Web server serupa dengan sistem
operasi, dalam arti, pengelola web server perlu selalu memonitor buletin terkait dengan
informasi dan pembaruan keamanan perihal konfigurasi web server. Keamanan web server
dapat menurun tajam akibat kesalahan konfigurasi. Salah satu maslaah konfigurasi yang
paling umum adalah area konfigurasi pemberian akses direktori dan file terkait dengan
program yang dapat dieksekusi. Kode program yang dpat dieksekusi merupakan salah satu
komponen penting dari hampir semua website komersial. Hak menulis dan hak eksekusi tidak
boleh diberikan pada satu direktori yang sama. Dalam praktik, kombiansi dua hak yang
mematikan ini sering diberikan kepada pihak luar tanpa sengaja. Kerentanan Jaringan Privat
Ketika Web server ditempatkan pada suatu komputer host yang terkoneksi ke berbagai
komputer melalui suatu LAN, akan timbul suatu resiko. Hacker dapat menyerang satu
komputer melalui satu komputer yang lain. Jika pengguna komputer memiliki akses ke
komputer yang menjadi host Web server, maka hacker pertama kali akan masuk ke dalam
komputer pengguna. Kemudian, hacker akan menggunakan hak akses pengguna yang asli
untuk melakukan invansi ke dalam komputer host Web server. Salah satu cara yang digunakan
hacker untuk menyerang komputer melalui komputer yang lain adalah dengan mengirim surat
elektronik yang disertai program kuda Troya (dalam bentuk attachment) ke komputer
perantara tersebut. Program kuda Troya secara otomatis dan diam-diam terinstal pada saat
korban di komputer perantara membuka pesan e-mail. Salah satu program kuda Troya, Back
Orifice, memungkinkan hacker mengendalikan komputer korban dari jarak jauh melalui

internet. Kerentanan Berbagai Program Server Banyak komputer host suatu Web server tidak
hanya menjalankan Web server, teteapi juga server-server yang lain, seperti FTP server (untuk
transfer file dari dank e komputer lain), e-mail server, dan remote control server (yang
memungkinkan komputer yang lokasinya jauh mengendalikan komputer host). Yang menjadi
masalah adalah setiap tambahan server merupakan satu tambahan risiko. Cacat keamanan
terkait dengan salah satu server dapat menjadi pintu masuk bagi hacker untuk menyerang
semua server yang lain dan semua file di dalam komputer, bahkan komputer-komputer lain
yang terhubung ke server dalam LAN. Prosedur Keamanan Umum Perangkat lunak keamanan
yang terbaik di dunia tidak akan banyak membantu jika administrator sistem tidak
menegakkan kebijakan keamanan. Mengamankan file log merupakan isu yang penting karena
hacker sering berusaha "menutupi jejak lacak mereka" dengan mengubah file log. Salah satu
cara yang dapat digunakan untuk mengamankan file log adalah dengan menuliskan log ke
komputer di lokasi yang berbeda. Firewall biasanya digunakan untuk membatasi akses masuk
ke suatu jaringan komputer. Firewall juga dapat digunakan untuk menahan atau membatasi
akses keluar oleh program tertentu atau server tertentu. Sekalipun firewall merupakan salah
satu alat yang sangant penting, mesti diingat bahwa alamat IP dapat dipalsukan. IP address
palsu memungkinkan akses keluar dan masuk yang illegal akan dianggap sebagai bagian dari
akses yang legal. Oleh karena itu, pelatihan dan prosedur kemanan dasar harus selalu menjadi
pertimbangan pertama. PENGELOLAAN RISIKO BENCANA Pengelolaan risiko bencana
memerhatikan pencegahan dan perencanaan kontingensi. Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu
bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah: Bencana alam
(30%), Tindakan kejahatan yang terencana (45%), dan Kesalahan manusia (25%). Implikasi
dari data tersebut adalah persentase terbesar penyebab terjadinya bencana dapat dikurangi
atau dihindari dari kebijakan keamanan yang baik. Banya k bencana yang berasal dari
sabotase dan kesalahan dapat dicegah dengan kebijkan dan perencanaan keamanan yang baik.
Perencanaan Kontingensi untuk Mengatasi Bencana Rencana pemulihan dari bencana harus
diimplementasikan

pada

level

tertinggi

di

dalam

perusahaan.

Langkah

pertama

mengembangkan rencana pemulihan dari bencana adalah dukungan dari manajemen senior
dan penetapan komite perencanaan. Setelah kedua hal tersebut, rencana pemulihan dari
bencana harus didokumentasikan dengan hati-hati dan disetujui oleh kedua pihak tersebut.
Desain perencanaan mencakup tiga komponen utama: evaluasi terhadap kebutuhan
perusahaan, daftar prioritas pemulihan berdasarkan kebutuhan perusahaan, serta penetapan
strategi dan prosedur pemulihan. Menaksir Kebutuhan Perusahaan Semua sumber daya yang

penting harus diidentifikasi. Sumber daya yang penting ini mecakup perangkat keras,
perangkat lunak, peraltan listrik, peralatan pemeliharaan, ruang gedung, catatan yang vital,
dan sumber daya manusia. Daftar Prioritas Pemulihan dari Bencana Pemulihan penuh dari
suatu bencana membutuhkan waktu yang lama, bahkan sekalipun perusahaan memiliki
perencanaan yang baik. Oleh karena itu, harus dibuat prioritas terkait dengan kebutuhan
perusahaan yang paling penting. Daftar prioritas mengindikasikan aktivitas dan jasa yang
memang genting yang perlu segera dibangun kembali dalam hitungan menit atau hitungan
jam setelah terjadinya suatu bencana. Perencanaan bisa saja mengindikasikan aktivitas dan
jasa lain yang harus dibangun dalam hitungan hari, minggu, atau bulan setelah terjadinya
suatu bencana. Strategi dan Prosedur Pemulihan Serangkaian strategi dan prosedur untuk
pemulihan merupakan hal yang penting. Perencanaan ini mesti mencakup hal-hal yang cukup
detail sedemikian rupa sehingga, pada saat bencana benar-benar terjadi, perusahaan segera
tahu apa yang harus dilakukan, siapa yang harus melakukan, bagaimana melakukannya, dan
berapa lama hal-hal tersebut harus dilakukan. Pusat Respons Darurat Pada saat bencana
terjadi, semua wewenang pengolahan data dan operasi komputer dialihkan kepada tim respons
darurat, yang dipimpin oleh direktur operasi darurat. Prosedur Eskalasi Prosedur eskalasi
menyatakan kondisi seperti apa yang mengharuskan perlunya pengumuman terjadinya
bencana, siapa yang harus mengumumkan, dan siapa yang harus diberi tahu tentang adanya
bencana. Menentukan Pemrosesan Komputer Alternatif Bagian terpenting dari rencana
pemulihan dari bencana adalah menentukan spesifikasi lokasi cadangan yang akan digunakan
jika lokasi komputasi primer rusak atau tidak dapat berfungsi. Ada tiga macam lokasi
cadangan, yaitu: Cold site merupakan alternatif lokasi komputasi yang memiliki instalasi
kabel komputer, tetapi tidak dilengkapi dengan peralatan komputasi. Hot site merupakan
lokasi alternatif yang dilengkapi dengan instalasi kabel dan peralatan komputasi. Flying-start
site merupakan alternatif yang dilengkapi dengan instalasi kabel, peralatan, dan juga data
backup dan perangkat lunak yang up-to-date. Alternatif lain selain ketiga alternatif
pembangunan lokasi cadangan tersebut adalah membangun kontrak dengan biro jasa
komputasi, dengan pemasok jasa penanganan bencana yang komersial, dan dengan
perusahaan rekanan yang lain, yang kemungkinan berada dalam industri yang sama. Biro Jasa
mengkhususkan diri untuk menyediakan jasa pengolahan data bagi perusahaan yang memilih
untuk tidak memproses sendiri data yang mereka miliki. Perjanjian Shared Contingency atau
Reciprocal Disaster merupakan perjanjian antara dua perusahaan di mana setiap perusahaan
setuju untuk membantu perusahaan lain pada saat perusahaan yang lain membutuhkan.
Rencana

Relokasi

Karyawan

Perencanaan

kontingensi

perlu

mempertimbangkan

kemungkinan perlunya memindahkan karyawan ke lokasi cadangan. Rencana Penggantian

Karyawan Penggantian seorang karyawan dengan kemampuan yang tinggi merupakan satu
hal yang tidak mudah. Penggantian karyawan semacam ini memerlukan pelatihan yang sangat
ekstensif. Perencanaan Penyelamatan Dalam beberapa bencana, perusahaan masih dapat
menyelamatkan peralatan dan catatan yang berharga dari kerugian lebih lanjut, jika
perusahaan dapat mengambil tindakan yang tepat secra cepat. Perencanaan Pengujian Sistem
dan Pemeliharaan Sistem Kebutuhan komputasi perusahaan sering berubah dengan sangat
cepat. Perencanaan yang kadaluwarsa atau tidak teruji barangkali tidak dapat dijalankan pada
saat

bencana

benar-benar

terjadi.