Anda di halaman 1dari 10

BAB I

PENDAHULUAN
A. LATAR BELAKANG
Dalam perkembangan zaman ini mengikuti proses globalisasi yang semakin
maju, semua bidang mendapatkan dampak dari kemanjuan zaman ini yang salah
satunya adalah tentang informatika. Disini menjadi masalah yaitu keamanan sistem
informasi yang merupakan salah satu aspek bagi sebuah sistem informasi. Dalam
perkembangannya banyak terjadi permasalahan dalam proses sebuah perusahaan
maupun perseorangan yang mendapatklan masalah mengenai sistem informasi,tetapi
pada kenyataannya tidak mudah setiap orang mengatasi permasalahan tersebut.
Sangatlah penting nilai dari sebuah sistem informasi yang sering kali hanya
dapat diakses oleh orang-orang tertentu sehingga dapat jatuh ke tangan perusahaan
pesaing dan merugikan bagi pemiliki informasi. Untuk itu dalam makalah ini kami
akan membahas tentang keamaan sistem informasi yang sedang menjadi permasalah
an dalam bidang manajemen perusahaan.
B. RUMUSAN MASALAH
1. Apa pengertian dari keamanan sistem informasi ?
2. Apa sajakah aspek yang dapat mempengaruhi keamanan sistem informasi ?
3. Bagaimana kebijakan keamanan untuk mengatasi masalah keamanan sistem
informasi ?
C. TUJUAN PENULISAN
1. Untuk mengetaui pengertian dari keamanan sistem informasi.
2. Untuk mengetahui aspek-aspek yang mempengaruhi keamanan sistem
informasi.
3. Untuk mengetahui kebijakan apa yang akan dilakukan untuk mengatasi masalah
keamanan sistem informasi.

BAB II
PEMBAHASAN

A. DEFINISI KEAMANAN TEKNOLOGI INFORMASI


Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat
mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki
arti fisik.
Raymond Mc.Load (2007) mengistilahkan keamanan informasi digunakan untuk
mendeskripasikan perlindungan baik peralatan komputer dan nonkomputer, fasilitas, data
dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
B. ASPEK KEAMANAN TEKNOLOGI INFORMASI
Didalam keamanan sistem informasi melingkupi empat aspek, yaitu privacy,
integrity, authentication, dan availability. Selain keempat hal di atas, masih ada dua
aspek lain yang juga sering dibahas dalam kaitannya dengan electronic commerce,
yaitu access control dan non-repudiation.
1. Privacy / Confidentiality
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga
informasi dari orang yang tidak berhak mengakses. Privacy lebih kearah datadata yang sifatnya privat sedangkan confidentiality biasanya berhubungan dengan
data yang diberikan ke pihak lain untuk keperluan tertentu (misalnya sebagai
bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan
tertentu tersebut.
Contoh hal

untuk

keperluan

yang berhubungan dengan privacy adalah e-mail seorang

pemakai (user) tidak boleh dibaca oleh administrator. Contoh confidential


information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal
lahir, social security number, agama, status perkawinan, penyakit yang pernah
diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin
diproteksi penggunaan dan penyebarannya. Contoh lain dari confidentiality adalah
daftar pelanggan dari sebuah Internet Service Provider (ISP).
2. Integrity
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin
pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah
informasi tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah email dapat saja ditangkap (intercept) di tengah jalan, diubah isinya (altered,
tampered, modified), kemudian diteruskan ke alamat yang dituju. Dengan kata lain,

integritas dari informasi sudah tidak terjaga. Penggunaan

enkripsi

dan

digital

signature, misalnya, dapat mengatasi masalah ini.


Salah satu contoh kasus trojan horse adalah distribusi paket program TCP
Wrapper(yaitu program populer yang dapat digunakan untuk mengatur dan membatasi
akses TCP/IP) yang dimodifikasi oleh orang yang tidak bertanggungjawab. Jika anda
memasang program yang berisi trojan horse tersebut, maka ketika anda merakit
(compile) program tersebut, dia akan mengirimkan eMail kepada orang tertentu
yang kemudian memperbolehkan dia masuk ke sistem anda.
3. Authentication
Aspek ini berhubungan dengan metoda untuk menyatakan bahwa informasi betulbetul asli, orang yang mengakses atau memberikan informasi adalah betul-betul
orang yang dimaksud, atau server yang kita hubungi adalah betul-betul server
yang asli.
Masalah pertama, membuktikan keaslian dokumen, dapat dilakukan dengan
teknologi
digunakan

watermarking
untuk

dan

menjaga

digital

signature.

intelectual

Watermarking

property,

yaitu

juga

dengan

dapat

menandai

dokumen atau hasil karya dengan tanda tangan pembuat. Masalah kedua biasanya
berhubungan dengan access control, yaitu berkaitan dengan pembatasan orang
yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan
bukti

bahwa

menggunakan

memang

dia adalah

password,biometric

pengguna
(ciri-ciri

yang

khas

sah,
orang),

misalnya
dan

dengan

sejenisnya.

Penggunaan teknologismart card,saat ini kelihatannya dapat meningkatkan keamanan


aspek

ini. Secara

umum,

proteksi

authentication dapat menggunakan digital

certificates. Authentication biasanya diarahkan kepada pengguna, namun tidak pernah


ditujukan kepada server atau mesin.
4. Availability
Aspek availability atau ketersediaan berhubungan dengan ketersediaan
informasi ketika dibutuhkan. Sistem informasi yang diserang atau dijebol dapat
menghambat atau meniadakan akses ke informasi. Contoh hambatan adalah serangan
yang sering disebut dengan denial of service attack (DoS attack), dimana server
dikirimi permintaan (biasanya palsu) yang bertubi- tubi atau permintaan yang diluar
perkiraan sehingga tidak dapat melayani permintaan lain atau bahkan sampai down,
hang, crash. Contoh lain adalah adanya mailbomb, dimana seorang pemakai
dikirimi e-mail bertubi-tubi (katakan ribuan e-mail) dengan ukuran yang besar
3

sehingga sang pemakai tidak


mengakses

dapat

membuka

e-mailnya

atau

kesulitan

e-mailnya (apalagi jika akses dilakukan melalui saluran telepon).

Bayangkan apabila anda dikirimi 5000 email dan anda harus mengambil
(download) email tersebut melalui telepon dari rumah.
5. Access Control
Aspek ini berhubungan dengan cara pengaturan akses kepada informasi. Hal
ini biasanya berhubungan dengan klasifikasi data (public, private, confidential,
top

secret)

&

user

(guest,

admin,

top

manager,

dsb.), mekanisme

authentication dan juga privacy. Access control seringkali dilakukan dengan


menggunakan kombinasi userid/password atau dengan menggunakan mekanisme
lain (seperti kartu, biometrics).
6. Non-repudiation
Aspek ini menjaga agar seseorang tidak dapat menyangkal telah melakukan
sebuah transaksi. Sebagai contoh, seseorang yang mengirimkan email untuk memesan
barang tidak dapat menyangkal bahwa dia telah mengirimkan email tersebut.
Aspek ini sangat penting dalam hal electronic commerce. Penggunaan digital
signature, certifiates, dan teknologi kriptografi secara umum dapat menjaga aspek ini.
Akan tetapi hal ini masih harus didukung oleh hukum sehingga status dari digital
signature itu jelas legal. Hal ini akan dibahas lebih rinci pada bagian tersendiri.

C. MANAJEMEN KEAMANAN INFORMASI


Mengidentifikasi
Ancaman

Tolok ukur
Menentukan kebijakan
keamanan informasi

Mengidentifikasi
Risiko

Mengimplementasikan
pengendalian

Menentukan kebijakan
Keamanan informasi
Mengimplementasikan
Pengendalian

D. ALAT MANAJEMEN KEAMANAN


Menurut James AO brien(2005), alat yang bisa digunakan dalam memanajemen
keamanan resiko adalah VPN, Firewall, Protocol Keamanan Jaringan, Enkripsi,
4

Pengendalian Akses, Alat Software keamanan, Sistem Proxy, Otentikasi dan Pengendalian
Penerobos.
1. VPN (Virtual Private Network) merupakan koneksi jaringan terenkripsi yang
menggunakan tunnel yang aman diantara ujung-ujung koneksi melalui internet atau
jaringan lain,seperti WAN.
2. Firewall merupakan sebuah peranti keamanan yang berada diujung koneksi internet
dan berfungsi sebagai internet border security officer (petugas keamanan perbatasan
internet).
3. Protocol keamanan jaringan disebut TCP/IP (Transmission Control Protocol/Internet
Protocol) merupakan protokol standar yang dirancang untuk digunakan dalam
hubungan antar komputer baik itu LAN maupun WAN.
4. Enkripsi data telah menjadi cara penting untuk melindungi data dan sumber daya
jaringan komputer lainnya dengan menggunakan komputer terutama di internet,
intranet,dan ekstranet.
5. Alat software keamanan merupakan perangkat lunak yang digunakan untuk
melindungi software-software yang digunakan.
6. Agen/Sistem proxy digunakan untuk mengamankan jaringan pribadi yang
dihubungkan ke sebuah jaringan publik.
7. Otentikasi adalah verifikasi apakah seorang itu adalah orang yang berhak, biasanya
melibatkan username, password,dll.
8. Pengendalian penerobosansistem informasi adalah metode dan alat yang berusaha
untuk memastikan akurasi, validasi, dan kebenaran aktivitas sistem informasi.
E. KEJAHATAN

KOMPUTER

YANG

BERHUBUNGAN

DENGAN

SISTEM

INFORMASI
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan
sistem informasi, akan terus meningkat dikarenakan beberapa hal, antara lain:
1. Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan
komputer semakin meningkat. Sebagai contoh saat ini mulai bermunculan
aplikasi bisnis seperti on-line banking, electronic commerce (e-commerce),
Electronic Data Interchange (EDI), dan masih banyak lainnya. Bahkan aplikasi ecommerce akan menjadi salah satu aplikasi pemacu di Indonesia. Demikian pula
di berbagai penjuru dunia aplikasi e- commerce terlihat mulai meningkat.
2. Desentralisasi (dan distributed) server menyebabkan lebih banyak sistem
yang

harus

ditangani.

Hal

ini

membutuhkan lebih

banyak operator dan

administrator yang handal yang juga kemungkinan harus disebar di seluruh


lokasi. Padahal mencari operator dan administrator yang handal adalah sangat
sulit.
5

3. Transisi dari single vendor ke multi-vendor sehingga lebih banyak sistem atau
perangkat yang harus dimengerti dan masalah interoperability antar vendor yang
lebih sulit ditangani. Untuk memahami satu jenis perangkat dari satu vendor
saja sudah susah, apalagi harus menangani berjenis-jenis perangkat.
4. Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak
pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya
(atau sistem milik orang lain). Jika dahulu akses ke komputer sangat sukar, maka
sekarang komputer sudah merupakan barang yang mudah diperoleh dan banyak
dipasang di sekolah serta rumah-rumah.
5. Mudahnya diperoleh software untuk menyerang komputer dan jaringan komputer.
Banyak tempat di Internet yang menyediakan software yang langsung
diambil

(download)

Graphical

User

dan

langsung digunakan

Interface (GUI)

yang

untuk menyerang

dapat
dengan

mudah digunakan.Beberapaprogram,

seperti SATAN, bahkan hanya membutuhkan

sebuah

web

browser

untuk

menjalankannya. Sehingga, seseorang yang dapat menggunakan web browser


dapat menjalankan program penyerang (attack).
6. Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer
dan telekomunikasi yang sangat cepat. Hukum yang berbasis ruang dan waktu
akan mengalami kesulitan untuk mengatasi masalah yang justru terjadi pada
sebuah sistem yang tidak memiliki ruang dan waktu. Semakin kompleksnya
sistem

yang

digunakan,

yang digunakan

seperti

semakin besarnya program (source code)

sehingga semakin besar

probabilitas

terjadinya

lubang

keamanan (yang disebabkan kesalahan pemrograman, bugs).


7. Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan
jaringan komputer yang global seperti Internet. Hal ini membukaakses dari seluruh
dunia. (Maksud dari akses ini adalah sebagai target dan juga sebagai penyerang.)
Potensi sistem informasi yang dapat dijebol dari mana-mana menjadi lebih besar.
F. KLASIFIKASI KEJAHATAN KOMPUTER
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke
yang hanya mengesalkan (annoying). Menurut David Icove berdasarkan

lubang

keamanan, keamanan dapat diklasifikasikan menjadi empat, yaitu:


1. Keamanan yang bersifat fisik (physical security), termasuk akses orang ke
gedung, peralatan, dan media yang digunakan. Beberapa bekas penjahat komputer
(crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untuk mencari
berkas-berkas yang mungkin memiliki informasi tentang keamanan.
6

Misalnya pernah diketemukan coretan password atau manual yang dibuang tanpa
dihancurkan. Wiretapping atau hal-hal yang berhubungan dengan akses ke kabel
atau komputer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Denial of
service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat diterima oleh
pemakai juga dapat dimasukkan ke dalam kelas ini. Denial of service dapat dilakukan
misalnya dengan mematikan peralatan atau membanjiri saluran komunikasi dengan
pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah banyaknya
jumlah pesan). Beberapa waktu yang lalu ada lubang keamanan dari implementasi protokol TCP/IP yang dikenal dengan istilah Syn Flood Attack, dimana sistem (host)
yang dituju dibanjiri oleh permintaan sehingga dia menjadi terlalu sibuk dan bahkan
dapat berakibat macetnya sistem (hang).
2. Keamanan yang berhubungan dengan orang (personel), termasuk identifikasi,
dan

profil

resiko

dari

orang

yang

mempunyai

akses (pekerja). Seringkali

kelemahan keamanan sistem informasi bergantung kepada manusia (pemakai dan


pengelola). Ada sebuah teknik yang dike- nal dengan istilah social engineering
yang sering digunakan oleh kriminal untuk berpura-pura sebagai orang yang
berhak mengakses informasi. Misalnya kriminal ini berpura-pura sebagai pemakai
yang lupa passwordnya dan minta agar diganti menjadi kata lain.
3. Keamanan dari data dan media serta teknik komunikasi (communi- cations).
Yang termasuk di dalam kelas ini adalah kelemahan dalam software yang
digunakan untuk mengelola data. Seorang kriminal dapat memasang virus atau trojan
horse sehingga dapat mengumpulkan infor- masi (seperti password) yang semestinya
tidak berhak diakses.
4. Keamanan dalam operasi, termasuk prosedur yang digunakan untuk mengatur
dan mengelola sistem keamanan, dan juga termasuk prosedur setelah serangan (post
attack recovery).
Kejahatan komputer (computer crime) didefinisikan oleh Asosiation of Information
Technology Professionals(AITP) dalam bukunya James AO Brien(2007) meliputi:
1. Penggunaan, akses, modifikasi dan pengaturan hardware, software,data atau sumber
daya jaringan secara tidak sah.
2. Pemberian informasi secara tidak sah.
3. Pembuatan copy software secara tidak sah.
4. Mengingkari akses pemakai akhir ke hardware, software, data atau sumber daya
jaringannya sendiri.
5. Menggunakan atau berkonspirasi untuk menggunakan sumber daya komputer atau
jaringan untuk secara illegal mendapatkan informasi atau properti terwujud.
Adapun macam-macam dari kejahatan komputer secara umum antara lain:
7

1.
2.
3.
4.
5.
6.

Hacking,
Penggunaan yang tidak sah di tempat kerja,
Penipuan di internet,
Mengupload data yang tidak benar dan tidak etis,
Memalsukan data-data dokumen penting,
Dan lain-lain.

G. KEBIJAKAN KEAMANAN
Setelah mengidentifikasi risiko utama sistem, maka perusahaan perlu untuk
mengembangkan sebuah kebijakan keamanan untuk melindungi aset perusahaan.
Kebijakan keamanan (security policy)terdiri atas pernyataan peringkat risiko informasi,
mengidentifikasi tujuan keamanan yang dapat diterima, dan mengidentifikasi mekanisme
untuk mencapai tujuan tersebut.
Sebuah kebijakan penggunaan yang dapat diterima mendefinisikan penggunaan
sumber daya informasi perusahaan dan perlengkapan komputer, meliputi komputer
desktop dan laptop, perangkat nirkabel, telepon, dan internet yang dapat diterima.
Kebijakan tersebut sebaiknya menjelaskan kebijakan perusahaan terkait privasi,
tanggungjawab pengguna dan penggunaan pribadi dari perlengkapan komputer dan
jaringan.
Kebijakan keamanan juga mencakup penetapan manajemen identitas. Manajemen
identitas terdiri atas proses bisnis dan peralatan perangkat lunak untuk mengidentifikasi
pengguna yang sah pada sistem dan mengendalikan akses mereka terhadap sumber daya
sistem. Manajemen ini meliputi kebijakan untuk mengidentifikasidan memberi ijin bagi
pengguna sistem dari kategori yang berbeda , menetapkan bagian sistem atau porsi dari
sistem mana saja yang dapat diakses oleh pengguna, serta proses dan teknologi untuk
autentisitas pengguna dan perlindungan identitas mereka.

BAB III
PENUTUP
8

A. KESIMPULAN
1. keamanan informasi adalah bagaimana kita dapat mencegah

penipuan

(cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem


yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik.
2. Didalam keamanan sistem informasi melingkupi empat aspek, yaitu privacy,
integrity, authentication, dan availability. Selain keempat hal di atas, masih ada
dua aspek lain yang juga sering dibahas dalam kaitannya dengan electronic
commerce, yaitu access control dan non-repudiation.
3. Kebijakan keamanan (security policy)terdiri atas pernyataan peringkat risiko
informasi, mengidentifikasi tujuan keamanan yang dapat diterima, dan
mengidentifikasi mekanisme untuk mencapai tujuan tersebut. Kebijakan
keamanan juga mencakup penetapan manajemen identitas.
B. SARAN

BAB IV
DAFTAR PUSTAKA
A. DAFTAR PUSTAKA
9

1. Taufik, Rohmat.2013.Sistem Informasi Manajemen.Yogyakarta : Graha Ilmu.


2. Kenneth C. Laudon dan Jane P. Laudon. 2015. Sistem Informasi Manajemen,
Mengelola Perusahaaan Digital. Jakarta Selatan : Penerbit Salemba Empat.

10

Anda mungkin juga menyukai