Oleh Kelompok 8:
I Wayan Ade Arimbawa
(1306305011)
(1306305125)
(1306305171)
Tujuan
Analisis krentanan sistem dalam arti
Analisis Sistem
Desain Sistem
Implementasi Sisem
5. Kerugian fasilitas
6. Kerugian jasa dan personel
B. KERENTANAN DAN ANCAMAN
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan
suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman,
yaitu : ancaman aktif dan ancaman pasif. Ancaman aktif mencakup kecurangan sistem
informasi dan sabotase koputer. Ancaman pasif mencakup kegagalan sistem, termasuk
bencana alam, seperti gempa bumi, banjir, kebakaran dan angin badai. Kgagalan sistem
menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan harddisk, matinya
aliran listrik, dan lain sebaginya.
1. Tingkat Keseriusan Kecurangan Sistem Informasi
Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan kerah
putih. Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih
besar dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini terjadi karena di
sebagian besar kasus, kecurangan yang terdeteksi jarang diajukan ke meja hijau karena bisa
membuat publik mengetahui kelemahan pengendalian internal perusahaan. Manajer enggan
berhadapan dengan sisi negatif publisitas yang bisa menimbulkan penghakiman masyarakat.
Keamanan sistem informasi merupakan masalah internasional. Banyak Negara memiliki
undang-undang yang ditujukan pada masalah keamanan komputer.
National Commision on Fradulant Reprting (Treaday Commision) mengaitkan
kecurangan manajemen dengan kejahtan komputer. Kecurangan manajemen merupakan
kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk menipu
investor dan kreditur melalui pelaporan keuangan yang menyesatkan. Memang bisa
manajemen melakukan kesalahan lain yang memliki potensi untuk merugikan karyaan atau
investir, namun biasanya istilah kecurangan manajemen mengacu pada manipulasi laporan
keuangan.
Undang-Undang Keamanan Komputer Internasional
Canada
Kode Kriminal 301.2 (1). Penggunaan Komputer tanpa Otoritas legal,
menetapkan pinalti criminal sampai dengan 10 tahun untuk kecurangan
Denmark
Firlandia
Switserland
diri sendiri.
Treadway Commission mendefinisikan kejahatan pelaporan keuangan sebagai
perilaku sengaja atau tidak sengaja, entah dengan melakukan sesuatu atau lalai melakukan
sesuatu, yang menghasilkan laporan keuangan yang secara material menyesatkan.
2. Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi.
Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap
hardware, file data yang sensitive, atau program kritis. Tiga kelompok individu-personel
sistem, pegguna, dan penyusup- memiliki perbedaan kemampuan untuk mengakses hal-hal
tersebut diatas. Personel sistem, kerap kali merupakan ancaman potensial karena mereka
diberi berbagai keengan akses terhadap data dan program yang sensitif. Pengguna, disisi lain,
hanya diberi akses terbatas (sempit) tetapi mereka masih memiliki cara untuk melakukan
kecurangan. Penyusup, tdak diberi akses sama sekali, tetapi mereka serign merupakan orangorang yang sangat cerdas yang bisa menimbulkan kerugian yang sangat besar pada
perusahaan.
2.1 Personel Sistem Komputer
Personel sistem meliputi personel pemeliharaan komputer, programmer, operator, personel
administrasi sistem informasi, dan karyawan pengendalian data.
Programmer
Programer sistem sering menulis program utnuk memodifikasi dan memperluas sistem
operasi jaringan. Individu-individu semacam ini biasanya diberi account dengan
kewenangan akses universal ke semua file perusahaan.
Operator
Jaringan individu aygn mengamati dan memonitor operasi komputer dan jaringan
komunikasi disebut operator jaringan.
Pengguna
Banyak pengguna memiliki akses data yang sensitif yang dapat mereka bocorkan kepada
pesaing perusahaan.
2.2 Penyusup
Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak yang
legal merupakan penyusup (intruder). Penyusup yang menyerang sistem informasi sebagai
sebuah kesenangan dan tantangan dikenal dengan nama hacker. Tipe lain dari penyusup
antara lain:
Unnoticed Intruder
Seorang pelanggan bisa saja berjalan masuk ke dalam area yang tidak dijaga dan melihat
datayang sensitif di dalam komputer personal yang sedang tidak ada orangnya.
Wiretapper
Jaringan ini rentan terhadap kemungkinan wiretapper (penyadapan). Penyadapan ini bisa
dilakukan, bahkan dengan peralatan yang tidak mahal (seperti sebuah tape recorder dan
sepotong kabel) ayng memungkinkan terjadinya penyadapan tanpa ada indikasi bahwa
sedang terjadi penyadapan.
Piggybacker
Salah satu jenis penyadapan yang paling canggih piggybacking. Dengan metode ini,
penyadap menyadap informasi legal dan menggantinnya dengan informasi yang salah.
Impersonating
Intruder impersonating adalah individu-individu tertentu yang bertujuan melakukan
kecurangan terhadap perusahaan. Tipe penyusup lain adalah mata-mata industri yang
profesional, yang biasanya memasuki melalui pintu samping dengan menggunakan
seragam karyawan atau servis.
dicuri dengan dimasukan ke dalam kotak sampah. Lebih jauh, individu-individu denagn
akses terhadap e-mail, dapat dengan mudah menyalin informasi rahasia dan mengirim
informasi tersebut ke luar perusahaan lewat Internet. Dengan menggunakan metode
tersebut, penyusup data mencuri sejumlah besar informasi hanya dalam hitungan menit.
3.5 Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau
perangkat lunak dapat menyebabkn kebangkrutan suatu perusahaan. Karyawan yang tidak
puas, khususnya yang telah dipecat, biasanya merupakan pelaku sabotase utama.
Seorang penyusup menggunaan sabotase untuk membuat kecurangan menjadi sulit dan
membingungkan untuk diungkapkan. Sebagai contoh, seseorang mengubah database
akuntansi dan kemudian mencoba menutupi kecurangan tersebut dengan melakukan
sabotase terhadap hardisk atau media lain. Ada banyak cara yang dapat dilakukan yang
dapat menyebabkan kerusakan yang serius terhadap perangkat keras komputer. Magnet
dapat digunakan untuk menghapus tape magnetic dan disket, hanya dengan meletakkan
magnet di dekat media/ detak radar juga memiliki efek yang sama jika radar tersebut
diarahkan pada bangunan yang berisi media magnetic. Salah satu metode tertua sabotase
dengan menggunkan program komputer yaitu dengan bom logika, bom logika melibatkan
sekeping kode laten di dalam sebuah program yang akan diaktivasi pada suatu saat nanti
terkait dengan peristiwa tertentu.
Kuda Troya merupakan sebuah program yang destruktif yang berklamuflase seolah-olah
ia merupakan program yang legal.
Program Virus serupa dengan kuda troya, tetapi dapat menyebarkan dirinya sendiri ke
program lain, "menginfeksi" program lain dengan virus yang sama. Virus saat ini sangat
lumrah karena hampir semua perusahaan menghadapi virus setiap hari.
Worm merupakan satu jenis virus yang menyebarkan dirinya melalui jaringan komputer.
Istilah worm muncul karena komputer berbeda yang terinfeksi di dalam jaringan dianggap
sebagai suatu segmen yang terkait seperti serangga.
Virus Mellisa Macro menempelkan dirinya pada file Microsoft Word dan menyebar
melalui Internet dengan cara mengirim email yang terinfeksi ke luar, ke nama-nama
yang terdapat dalam buku alamat secara otomatis. Penerima percaya pada file
terinfeksi yang dia terima karena file tersebut tampak seolah-olah diterima dari
seseorang yang mereka kenal.
Robert Morris, Jr., seorang lulusan dari Cornell University, mengembangkan program
virus yang masuk ke dalam internet dan menyebar melalui jaringan dengan sangat
cepat.
Kata virus ada kalanya mencakup juga semua program yang mengandung niat jahat,
termasuk bom logika, kuda troya, dan worm. Bentuk sabotase yang lain adalah serangan
denial-of-service. Penyerang membanjiri server Web dengan sangat banyak permintaan
dalam interval waktu yang sangat pendek. Terakhir, ada juga serangan yang ditujukan
untuk menghancurkan Website perusahaan. Hacker biasanya menembus masuk ke dalam
Website dan memodifikasi atau mengganti home page.
3.6 Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadinya pada saat seseorang menggunakan
sumber daya kmputer organisasi untuk kepentingan pribadi. Contohnya, lima orang
karyawan dinyatakan bersalah karena menggunakan komputer mainframe perusahaan di
jam-jam senggang untuk mengoperasikan pemrosesan data perusahaan mereka sendiri.
Selain itu, tipe kejahatan komputer yang lain, tidak terlalu diketahui tetapi sangat mungkin
terjadi di banyak perusahaan seperti misalnya beberapa karyawan mencuri komputer
mainframe perusahaan dalam satu hari, bagian demi bagian dilarikan lewat pintu
belakang.
C. SISTEM KEAMANAN SISTEM INFORMASI
Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran kemanan
dan perencanaan kontigensi. Ukuran keamanan fokus pada pendeteksian ancaman. Sebuah
doktrin yang dipercaya dalam keamanan sistem informasi adalah sebagian ancaman tidak
dapat dicegah tanpa pengembangan suatu sistem yang sangat aman.
Sistem keamanan komputer merupakan bagian dari struktur pengendalian internal
perusahaan secara keseluruhan. Ini berarti, elemen dasar pengendalian internal (supervisi
yang memadai, rotasi pekerjaan, batch control total, pengecekan validitas, dan lain
sebagainya) merupakan aspek penting dalam sistem keamanan komputer. Keamanan sistem
informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal yang secara
khusus digunakan untuk mengatasi masalah-masalah dalam sistem informasi.
1. Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian.
Pembangunan lingkungan pengendalian yang bagus tergantung pada delapan faktor.
a. Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral
yang tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya
keamanan. Tidak peduli seberapa canggih suatu sistem, pasti selalu ada cara untuk
mengganggu keamanan sistem. Oleh karena itu, garis pertahanan yang utama adalah
anggaran
penting
dalam
lingkungan
komputer
karena
ada
Merupakan suatu pengendalian dalam bentuk perangkat lunak didesain untuk mencegah
penggunaan sistem oleh pengguna yang ilegal. Tujuan pengendalian ini untuk mengecek
keabsahan pengguna dengan menggunakan sarana seperti ID pengguna, password, alamat
Internet Protocol (IP), dan perangkat-perangkat keras. Password harus dikendalikan
dengan hati-hati melalui sistem pengelolaan pasword yang baik. Prosedur pemberian
password yang paling aman adalah dengan tidak memberi kemungkinan kepada pengguna
untuk mengubah password mereka. Password yang ideal mestinya terdiri dari kombinasi
huruf kapital dan huruf kecil, simbol khusus, dan angka. Satu lagi lapisan keamanan dapat
ditambahkan dengan penggunaan sistem sign-countersign. Kekuatan sistem ini adalah
pasangan sign-countersign tidak akan pernah digunakan dua kali.
Firewall dapat diprogram untuk menolak setiap paket yang datang yang tidak berasal dari
alamat IP yang ada pada daftar otorisasi. Firewall hanya dapat membatasi, tetapi bukan
merupakan satu solusi total. Solusi yang lebih baik adalah menggunakan firewall dengan
teknik enkripsi. Terakhir, perlu dilakukan pembatasan terhadap hak administrasi setiap
individu pengguna komputer personal untuk mencegah pengguna menginstal perangkat
lunak ke dalam PC mereka, yang selanjutnya dapat mencegah kontaminasi virus, kuda
Troya, dan gangguan lain terhadap PC.
c. Pengendalain Akses File
Lapis terkahir dari pengendalian akses diterapkan pada level file. Pengendalian akses file
mencegah akses ilegal ke data dan file program. Pengendalian akses file yang paling
fundamental adalah pemmbuatan petunjuk dan prosedur legal untuk mengakses dan
mengubah file.
3. Pengendalian Ancaman Pasif
Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati listrik.
Pengendalian ancaman semacam ini dapat berupa pengendalian previntif maupun korektif.
a. Sistem Toleransi Kesalahan
Sebagian besar metode yang digunakan untuk menangani kegagalan komponen sistem
adalah pengawasan dan redundancy. Jika salah satu sistem gagal, bagian yang redundant
akan segera mengambil alih, dan sistem dapat terus beroperasi tanpa interupsi. Sistem
semacam ini disebut sistem toleransi kesalahan yang dapat diterapkan pada lima level
pada jaringan komunikasi prosesor CPU, DASD, jaringan listrik, dan pada transaksi
individual.
Jaringan dapat dijadikan sistem toleransi kesalahan dengan cara menduplikasi jalur
komunikasi dan prosesor komunikasi. Ada dua pendekatan utama yang dapat digunakan
untuk membuat pemrosesan CPU redundan. Sistem dengan protokol berbasis-konsensus
dan sistem watchdog processor. DASD dapat dijadikan sistem toleransi kesalahan dengan
beberapa cara, seperti pengujian read-after-write, bad-sector lockout, dan disk mirroring.
Toleransi kesalahan terhadap mati listrik dapat dicapai dengan menggunakan
uninterruptable power supply (UPS). Jika listrik mati, sistem backup yang ada kalanya
bertenaga baterai, mengambil alih beberapa detik untuk memastikan tidak ada pemutusan
mendadak terhadap aktivitas permrosesan yang sedang berlangsung. Toleransi kesalahan
yang diterapkan pada level transaksi mencakup rollback processing dan database
shadowing. Dengan rollback processing, transaksi tidak pernah dituliskan ke dalam disk,
kecuali transaksi tersebut telah lengkap. Database shadowing serupa dengan disk
shadowing, hanya saja duplikasi semua transaksi dibuat dan dikirimkan lewat jaringan
komunikasi ke lokasi yang jauh (remote location).
b. Memperbaiki kesalahan : Backup File
Ada tiga jenis backup: backup penuh, backup incremental, backup diferensial. Backup
penuh membuat backup semua file yang ada dalam suatu disk. Sistem operasi akan secara
otomatis mengeset bit ini menjadi 1 pada saat sebuah file mengalami perubahan. Backup
inkremental melakukan backup semua file dengan nilai archive bit 1, kapan saja file
tersebut mengalami perubahan, kemudian, setiap archive bit file akan kembali diset
menjadi 0 selama proses backup. Terakhir backup diferensial pada dasarnya sama dengan
backup inkremental. Hanya saja, archive bit tidak diset menjadi 0 selama proses backup.
Skema backup yang paling sederhana adalah melakukan backup penuh secara periodic.
4. Keamanan Internet
Kerentanan terkait dengan internet dapat muncul akibat kelemahan-kelemahan berikut ini:
1.
4.
5.
harus secara konstan memonitor bulletin keamanan yang dipublikasikan oleh vendor
sistem operasi dan oleh jasa advisory pihak ketiga. Sebagai contoh, Microsoft selalu
memperbarui informasi keamanan untuk Windows melalui webside perusahaan
di www.microsoft.com/.
b.
c.
d.
e.
signifikan. Pengelolaan risiko bencana merupakan satu hal yang penting untuk memastikan
kontinuitas operasi bisnis jika terjadi suatu bencana.
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam
suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak
perusahaan asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya
perusahaan yang tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.
1. Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat
suatu bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:
Bencana alam
30 %
45 %
Kesalahan manusia
25 %
Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana
dapat dikurangi atau dihindari dengan kebijakan keamanan yang baik.
Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan
kebijakan dan perencanaan keamanan yang baik. Sistem elektronik dan mekanik yang
memadai untuk menangani kebakaran, banjir, dan intrusi merupakan satu hal yang
penting. Sistem semprotan air dapat membahayakan komponen elektronik. Banyak
perusahaan menggunakan sistem pemadam api yang berbasis sesuatu selain air, seperti
gas, busa, atau bedak.
2. Perencanaan Kontingensi Untuk Mengatasi Bencana
Rencana pemuliahan dari bencana harus diimplementasikan pada level tertinggi di
dalam perusahan. Idealnya, rencana pemuliahan mesti mendapatkan persetujuan dari
dewan direksi sebagai bagian dari perencanaan keamanan komputer secara umum.
Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya
dukungan dari manajemen senior dan penetapan komite perusahaan. Seletah kedua hal
tersebut, rencana pemulihan dari bencana harus didokumentasikan dangan hati-hati dan
disetujui oleh kedua pihak tersebut. Hasil estimasi menyatakan bahwa biaya awal yang
diperlukan guna mengimplementasikan perencana-an pemulihan dari bencana berkisar
antara 2 % sampai 10 % dari total anggaran sistem informasi.
a. Menaksir Kebutuhan Penting Perusahaan
Semua sumber daya penting harus diidentifikasi. Sumber daya yang penting ini mencakup
perangkat keras, perangkat lunak, peralatan listrik, peralatan pemeliharaan, ruang gudang,
catatan yang vital, dan sumber daya manusia.
b. Daftar Prioritas Pemulihan dari Bencana
Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama, bahkan sekalipun
perusahaan memiliki perencanaan yang baik. Oleh karena itu, harus dibuat prioritas terkait
dengan kebutuhan perusahaan yang paling penting. Daftar prioritas mengindikasi aktivitas
dan jasa yang memang genting yang perlu segera dibangun kembali dalam hitungan menit
atau hitungan jam setelah terjadinya suatu bencana. Disisi lain, perencanaan bisa saja
mengindikasikan aktivitas dan jasa lain yang harus dibangun dalam hitungan hari,
minggu, atau bulan setelah terjadinya suatu bencana.
c. Strategi dan Prosedur Pemulihan
Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perencanaan ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga, pada saat
bencana benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang
harus melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut harus
dilaku-kan.
d. Pusat Respons Darurat
Pada saat terjadi bencana, semua wewenang pengolahan data dan operasi komputer
dialihkan kepada tim respons darurat, yang dipimpin oleh direktur operasi darurat.
Individu-individu ini memimpin jalannya perencanaan pemulihan dari pusat operasi
darurat, sebuah tempat yang memang ditetapkan sebelumnya.
e. Prosedur Eskalasi
Prosedur eskalasi menyatakan kondisi seperti ini apa yang mengharuskan perlunya
pengumu-man terjadinya bencana, siapa yang harus mengumumkan, dan siapa orang yang
harus diberi tahu tentang adanya bencana.
f. Menentukan Pemrosesan Komputer Alternatif
Bagian terpenting dari rencana pemulihan dari bencana adalah menentukan spesifikasi
lokasi cadangan yang akan digunakan jika lokasi komputasi primer rusak atau tidak dapat
berfungsi. Ada tiga macam lokasi cadangan, yaitu:
Cold site merupakan alternatif lokasi komputasi yang memiliki instalasi kabel komputer,
tetapi tidak dilengkapi dengan peralatan komputasi.
Hot site merupakan lokasi alternatif yang dilengkapi dengan instalasi kabel dan peralatan
komputasi.
Flying-start site merupakan alternatif yang dilengkapi dengan instalasi kabel, peralatan,
dan juga data backup dan perangkat lunak yang up-to-date.
Alternatif lain selain ketiga alternatif pembangunan lokasi cadangan tersebut adalah
membangun kontrak dengan biro jasa komputasi, dengan pemasok jasa penanganan
bencana yang komersial, dan dengan perusahaan rekanan yang lain, yang kemungkinan
berada dalam industri yang sama. Biro Jasa mengkhususkan diri untuk menyediakan jasa
pengolahan data bagi perusahaan yang memilih untuk tidak memproses sendiri data yang
mereka miliki.
Perjanjian Shared Contingency atau Reciprocal Disaster merupakan perjanjian antara dua
perusahaan di mana setiap perusahaan setuju untuk membantu perusahaan lain pada saat
perusahaan yang lain membutuhkan.
g. Rencana Relokasi Karyawan
Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya memindahkan
karyawan ke lokasi cadangan. Hal ini memerlukan perencanaan ynag hati-hati karena
banyak karyawan sulit dipindahkan dalam sementara waktu.
h. Rencana Penggantian Karyawan
Kemungkinan perusahaan kehilangan karyawan pada saat terjadinya bencana juga perlu
dipertimbangkan. Penggantian seorang karyawan dengan kemampuan yang tinggi
merupakan satu hal yang tidak mudah. Penggantian karyawan semacam ini memerlukan
pelatihan yang sangat ekstensif.
i. Perencanaan Penyelamatan
Dalam beberapa bencana, perusahaan masih dapat menyelamatkan peralatan dan catatan
yang berharga dari kerugian lebih lanjut, jika perusahaan dapat mengambil tindakan yang
tepat secara cepat. Sebagai contoh, sebuah bangunan yang kehilangan atap pada saat
terjadi topan badai akan menyebabkan bangunan tersebut menghadapi risiko kehujanan.
Dalam situasi semacam ini, kerugian dapat diminimalkan jika tindakan penyelamatan
segera dilakukan.
j. Perencanaan Pengujian Sistem dan Pemeliharaan Sistem
Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat. Oleh karena itu,
setiap perencanaan pemulihan dari bencana mesti diuji setiap enam bulan sekali.
Perencanaan yang kadaluwarsa atau tidak teruji barangkali tidak dapat dijalankan pada
saat bencana benar-benar terjadi.
DAFTAR PUSTAKA
Bodnar, George H. dan Hopwood, William S. 2006. Sistem Informasi Akuntansi
Edisi 9. Yogyakarta: ANDI Yogyakarta