KEAMANAN SISTEM INFORMASI

Sistem keamanan informasi berbentuk suatu subsistem dalam suatu organisasi yang bertugas
untuk mengendalikan resiko terkait dengan sistem berbasis komputer.
Siklus hidup sistem keamanan informasi
Sistem keamanan informasi yang bebasis komputer dikembangkan dengan penerapan :
- Metode analisis, sebagai analis kerentanan sistem dalam arti ancaman yang relevan
dan eksposur kerugian yang terkait dengan ancaman tersebut.
- Desain sistem, sebagai desain ukuran keamanan dan rencana kontingensi untuk
mengendalikan eksposur kerugian yang teridentifikasi.
- Implementasi sistem, sebagai penerapan ukuran keamanan yang telah didesain.
- Operasi, evaluasi, dan pengendalian sistem sebagai taksiran efektifitas dan efisiensi
dan perubahan yang diperlukan sesuai kondisi yang ada.
Keempat tahapan diatas disebut sebagai manajemen resiko sistem informasi.
Sistem keamanan informasi dalam organisasi
Dalam organisasi, sebuah sistem keamanan informasi dapat efektif bila dikelola oleh Chief
Securiity Officer (CSO). Dengan tugas utamanya adalah memberikan laporan yang diberikan
langsung kepada dewan direksi demi terciptanya independensi untuk mendapatkan
persetujuan dewan direksi. Laporan tersebut mencakup keempat tahapan diatas.
Menganalisis kerentanan dan ancaman
Dalam melakukan analisis ini terdapat dua pendekatan, yaitu :
- Pendekatan kuantitatif untuk menaksir resiko, caranya dengan menghitung setiap
eksposur kerugian sebagai hasil kali biaya kerugian setiap item eksposur dengan
kemungkinan terjadinya eksposur tersebut. Kesulitan yang ada pada penerapan
pendekatan ini adalah :
1. Kesulitan dalam mengidentifikasi biaya yang relevan untuk setiap item kerugian
dan menaksir probabilitas terjadinya eksposur tersebut. Hal ini terjadi karena
estimasi melibatkan biaya estimasi biaya interupsi bisnis yang sulit diprediksi
atau penggantian komputer lama yang biayanya tentu tidak sebanding dengan
komputer baru.
2. Estimasi kemungkinan kerugian melibatkan prediksi masa yang akan datang,
sedangkan prediksi tersebut sulit dilakukan apalagi terkait dengan teknologi yang
berkembang dengan cepat.
- Pendekatan kualitatif, metodenya secara sederhana merinci daftar kerentana dan
ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut
berdasarkan kontribusi setiap item tersebut terhadap total eksposur kerugian perusahaan
tersebut.
Pada praktiknya, seringkali kedua pendekatan ini diterapkan secara bersamaan, dengan
cakupan are analisis yaitu ;
1

Interupsi bisnis,
Kerugian perangkat lunak,
Kerugian data,
Kerugian perangkat keras,
Kerugian fasilitas,dan
Kerugian jasa dan personel.

Kerentanan dan Ancaman

- Kerentanan merupakan kelemahan yang ada dalam suatu sistem.
- Ancaman merupakan suatu potensi eksploitasi suatu kerentanan yang ada, ancaman
dibedakan dalam 2 jenis :
Ancaman aktif, mencakup pada kecurangan sistem informasi dan sabotase
komputer.
Ancaman pasif, mencakup kegagalan sistem (kegagalan komponen
peralatan sistem), termasuk bencana alam.
Tingkat Keseriusan Kecurangan Sistem Informasi
Kejahatan yang berbasis komputer termasuk bagian dari kejahatan umum kerah putih.
Keamanan sistem informasi merupakan masalah internasional, dan banyak Negara
memiliki undang-undang yang ditujukan pada masalah keamanan komputer. National
Commission on Fraudulent Financial Reporting (Treadway Commision) mengaitkan
kecurangan manajemen dengan kejahatan komputer, kecurangan manajemen merupakan
kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk
menipu investor dan kreditor melalui laporan keuangan yang menyesatkan. Kecurangan
seperti ini biasanya kecurangan manajemen.
Individu yang dapat menjadi ancaman bagi sistem informasi
Serangan terhadap sistem informasi memerlukan akses pada hardware, file data yang
sensitive, atau program yang kritis. Terdapat tiga kelompok yang memiliki perbedaan
kemampuan dalam akses hal tersebut diatas, yaitu :
- Personel sistem, kerap kali merupakan ancaman yang potensial karena mereka diberi
wewenang akses terhadap data dan program yang sensitive. Yang meliputi personel
pemeliharaan sistem, programmer, operator jaringan, personel administrasi sistem
informasi, dan karyawan pengendali data.
- Pengguna, hanya mendapatkan akses yang terbatas namun tetap saja mereka masih
memiliki cara melakukan kecurangan.
- Penyusup, tidak diberikan akses sama sekali tetapi pihak ini seringkali bertindak
cerdas yang bias menimbulkan kerugian yang sangat besar pada perusahaan. Tipe lain
dari penyusup ini antara lain :
Unnoticed intruder, penyusup (hacker) yang masuk kedalam area yang
tidak dijaga dan melihat data yang sensitive dalam komputer personal yang
tidak dijaga, bahkan bias saja masuk ke sistem dan merusak website
perusahaan.
Wiretapper, penyadapan yang dilakukan pada saat transfer informasi baik
itu yang melalui media internet atau sebagainya.
Piggybacker, penyadapan yang dilakukan dengan mengambil informasi
yang legal dan menggantinya dengan yang salah.
2

 Impersonating intruder, adalah individu yang melakukan kecurangan

terhadap perusahaan. Dengan menggunakan user ID dan password yang
diperoleh dengan cara yang tidak legal untuk mengakses sumber daya
elektronik perusahaan.
Eavesdroppers Cathode-ray Tubes (CRT) standar yang banyak
digunakan diunit display video menghasilkan interferensi elektromagnetik
pada satu frekuensi yang dapat ditangkap dengan se-perangkat televisi
sederhana.
Ancaman Aktif dalam Sistem informasi
Berikut ini adalah enam metode yang dapat digunakan untuk melakukan kecurangan
sistem informasi, yang meliputi :
1. Manipulasi Input, metode ini mensyaratkan kemampuan teknis yang paling
minimal dimana seseorang yang tidak memiliki kemampuan atau pengetahuan
mengenai cara operasi sistem komputer dapat saja mengubah input.
2. Mengubah program, metode ini jarang digunakan sebab dalam melakukannya
karena dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah
orang yang terbatas. Namun banyak perusahaan yang telah memiliki program
khusus untuk menguji adanya perubahan dalam program.
3. Mengubah file secara langsung, indvidu-individu tertentu menemukan cara
untuk memotong proses normal untuk menginput data kedalam program
komputer, jika hal ini yang terjadi maka bencana yang didapat.
4. Pencurian data, merupakan salah satu masalah yang sangat tinggi yang cukup
serius dalam dunia bisnis hari ini. Persaingan yang terjadi memungkinkan adanya
pencurian data baik yang kuantitatif dan kualitatif. Sejumlah informasi yang
ditransmisikan antar perusahaan melalui internet, informasi yang seperti ini rentan
terhadap pencurian pada saat transmisi dan bias saja disadap.
5. Sabotase, akan membahayakan sistem informasi. Sabotase ada kalanya
menggunakan program komputer, bila menggunakan metode ini sering disebut
bom logika.
6. Penyalahgunaan atau pencurian sumber daya informasi, biasa terjadi pada
saat karyawan menyalahgunakan sumber daya komputer organisasi untuk
kepentingan pribadi.

Sistem Keamanan Sistem Informasi

Sistem keamanan komputer merupakan bagian dari struktur pengendalian internal perusahan
secara keseluruhan. Dengan kata lain, elemen dasar pengendalian internal menjadi aspek
penting sistem keamanan komputer. Keamanan sistem informasi merupakan sebuah aplikasi
prinsip-prinsip pengendalian internal yang secara khusus digunakan untuk mengatasi
masalah-masalah dalam sistem informasi.
Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian,
pembangunan lingkungan pengendalian yang bagus tergantung pada delapan faktor, yaitu :
3

1. Filosofi manajemen dan gaya operasi, menyangkut nilai moral yang tinggi dan
suatu lingkungan kondusif untuk mendukung terwujudnya keamanan. Dengan kata
lain, walaupun dengan sistem keamanan yang canggih namun yang terpenting tetap
diperlukan kesadaran akan arti pentingnya keamanan tersebut.
2. Struktur Organisasi, memerlukan adanya bagian yang bertanggungjawab terhadap
sistem keamanan komputer tersebut.
3. Dewan Direksi dan Komitenya, menyangkut penunjukan individu kompeten untuk
bertanggungjawab akan sistem keamanan komputer.
4. Metode pembagian otoritas dan tanggungjawab, pembagian tugas,
tanggungjawab, dan wewenang harus didelegasikan dengan baik dan tergambar
secara jelas dalam struktur organisasi.
5. Aktivitas Pengendalian Manajemen, terkait dengan penganggaran biaya yang
efektif dan efisien dalam melakukan suatu rancangan sumber daya sistem komputer
dan informasi.
6. Fungsi audit internal, sebagai auditor akan sistem keamanan komputer dengan
konstan dan dimodifikasi untuk memenuhi kebutuhan yang terus berubah dan
membuatkan kebijakan keamanan yang harus teruji kesesesuaian dan
keefektifannya.
7. Kebijakan dan praktik personalia, menyangkut pemisahan tugas, supervise yang
memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan ganda merupakan praktik
personalia yang penting. Sehingga diperlukan peraturan dan kebijakan menyangkut
perbedaan tugas-tugas tersebut.
8. Pengaruh eksternal, menyangkut sistem informasi perusahaan yang sesuai dengan
hukum dan regulasi lokal, federal, dan Negara bagian. Hukum dan regulasi ini
mengatur keamanan dan privasi berbagai tipe data, termasuk data terkait dengan
pelanggan dan kredit mereka, pelanggan dan riwayat mereka, personalia dan
pemerintah.
Pengendalian Ancaman Aktif
Untuk pencegahan ancaman ini dapat dengan menerapkan tahap-tahap pengendalian akses
yang akan memisahkan penyusup dari sasaran yang potensial mereka. Pada langkah
pertamanya, membangun pengendalian akses dengan mengelompokkan semua data dan
peralatan sesuai dengan tingkat kepentingan dan tingkat kerentanan data dan peralatan
tersebut. Pengelompokan pengendalian tersebut adalah sebagai berikut :
1. Pengendalian lokasi, bertujuan untuk memisahkan secara individu secara fisik
yang tidak berwenang dengan sumber daya komputer. Semua pengguna
diwajibkan menggunakan tanda identifikasi keamanan, setiap peralatan komputer
dan datanya yang sensitive harus diberikan pintu lengkap dengan kuncinya yang
terprogram agar dapat menolak akses dengan kunci yang tidak memiliki hak
akses.
Kompleks pengolahan data harus dilokasikan pada tempat yang terisolasi yang
dikelilingi oleh tembok guna meminimalkan akses individu tak berwenang ke
lokasi tersebut. Serangan terhadap pustaka data dan ruangan kritis lainnya dapat
diminimalkan dengan penjagaan yang ketat. Yang dapat dilakukan dengan
4

penggunan pitu ganda untuk tempat penyimpanan perangkat komputer, yang dapat
diakses dengan kode atau password serta identifikasi khusus yang hanya dapat
diakses oleh pihak terkait saja dan jika ada orang lain yang memiliki akses
terbatas pada lokasi maka akan memiliki hambatan untuk masuk pada lokasi
tersebut.
Untuk komputer personal, perlakuannya dengan membatasi booting hanya
dari harddisk internal dan jaringan serta hanya dapat diakses dengan password.
Untuk proteksi akan virus secara pembatasan fisik, dilakukan dengan
menyediakan workstation yang tidak memiliki harddisk dan diskdrive dengan
tujuan workstation hanya dapat menggunakan disk dalam jaringan dan perangkat
lunak dan data tersimpan di server pusat. Selain itu dapat pula menggunakan
sistem operasi yang ROM-based serta penggunaan kabel fisik yang anti sadap.
2. Pengendalian akses sistem, merupakan pengendalian dalam bentuk perangkat
lunak yang didesain untuk mencegah penggunaan sistem oleh pengguna yang
illegal. Dengan tujuan untuk mengecek keabsahan pengguna dengan
menggunakan sarana seperti ID pengguna, password, IP, dan perangkat-perangkat
keras.
3. Pengendalian akses file, bertujuan mencegah akses illegal ke data dan file
program. Pengendalian akses file yang paling fundamental adalah pembuatan
petunjuk dan prosedur legal untuk mengakses dan mengubah file. Batasan khusus
harus diberikan pada programmer yang memang memiliki pengetahuan untuk
mengubah program dengan syarat programmer harus menunjukkan persetujuan
tertulis. Setiap program yang penting harus disimpan pada file yang terkunci,
mengindikasikan bahwa program tetap dapat dijalankan namun tidak dapat dilihat
atau diubah dan hanya keamanan yang dapat mengetahui password untuk
membuka file program.
Pengendalian Ancaman Pasif
Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati listrik.
Pengendalian terhadap ancaman ini dapat berupa pengendalian preventif maupun korektif.
Sistem Toleransi Kesalahan
Metode yang digunakan untuk menangani kegagalan komponen sistem adalah
pengawasan dan redundancy. Toleransi kesalahan dimaksudkan apabila salah satu
sistem gagal , bagian yang redundant akan segera mengambil alih dan sistem dapat
terus beroperasi tanpa interupsi. Toleransi kesalahan dapat diterapkan pada berbagai
interupsi yang tergolong ancaman pasif ini. Sebagai contoh, bila terjadi mati listrik
maka dapat diantisipasi dengan penggunaan UPS (Uninteriptable Power Supply).
Memperbaiki Kesalahan : Backup File
Terdapat 3 jenis backup file yaitu :
5

1. Backup penuh, membuat semua backup file yang ada dalam satu disk.
Masing-masing file memiliki sebuah archive bit tang diset ke angka 0
selama proses backup, dan akan berubah menjadi archive bit 1 bila file
tersebut mengalami perubahan.
2. Backup incremental, membakup semua file dengan nilai archive bit 1,
kapan saja file tersebut mengalami perubahan. Dan selama proses backup,
setiap file akan diset pada archive bit 0.
3. Backup diferensial, dasarnya sama dengan backup incremental namun
perbedaannya pada proses backup archive file tidak diset menjadi 0.

Keamanan Internet
Koneksi perusahaan dengan dunia internet akan memberi peluang pada bagi perusahaan
menjadi sasaran setiap hacker yang ada di dunia.
Kerentanan yang menyangkut dengan koneksi internet ini dapat muncul akibat dari
kelemahan-kelemahan berikut ini :
1. Sistem operasi atau konfigurasi sistem operasi, sistem operasi merupakan
bagian yang paling utama dan terpenting yang harus dijamin keamanannya oleh
administrator. Namun masalahnya, tidak ada sistem operasi yang dapat bebas dari
serangan sebab hacker selalu menemukan kelemahan baru didalam sistem operasi.
2. Kerentanan Web Server, web server serupa dengan sistem operasi dalam arti
pengelola web server perlu memonitor bulletin terkait dengan informasi dan
pembaruan perihal konfigurasi server. Konfigurasi ini dapat mempengaruhi
keamanan web server
3. Kerentanan Jaringan Privat, pada waktu Web server ditempatkan pada
komputer host yang terkoneksi pada berbagai komputer melalui jaringan LAN.
Dalam keadaan seperti ini hacker dapat menyerang satu komputer melalui satu
komputer yang lain. Dengan cara mengirimkan surat elektronik yang disertai
program kuda Troya ke komputer perantara tersebut. Program kuda Troya ini
secara otomatis akan terinstal pada saat pengguna membuka surat elektronik
tersebut. Program ini akan memungkinkan hacker mengendalikan komputer dari
jarak jauh.
4. Kerentanan Berbagai Program Server, adakalanya komputer host sustu web
menjalankan erver-server yang lain seperti FTP server. Masalahnya setiap
tambahan server akan menambah pula resiko yang akan terjadi. Salah satu server
cacat atau lemah manka akan membuka jalan bagi hacker untuk menyerang
server-server yang lainnya.
5. Prosedur Keamanan Umum, memaksudkan pentingnya keamanan yang baik
secara keseluruhan.setiap kesalahan dan perkecualian harus di-log kedalam file
yang dijamin aman. Namun hacker tetap saja akan berusaha mengubah file log,
dengan cara menuliskan log dikomputer yang berbeda namun dapat diantisipasi
dengan penggunaan firewall.
Pengelolaan Resiko Bencana
6

Pengelolaan ini memperhatikan perencanaan dan pencegahjan kontijensi. Kedua hal ini
dejabarkan sebagai berikut :
1. Pencegahan kontingensi terjadinya bencana,
Bagian ini merupakan langkah awal pengelolaan resiko akibat suatu bencana.
Bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan
dan perencanaan keamanan yang baik, sebagai contoh adanya bencana alam
berupa gempa harus diantisipasi dan menjadi pertimbangan pada saat membangun
gedung.
2. Perencanaan kontingensi untuk mengatasi bencana,
Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi
didalam perusahaan dengan kata lain harus mendapat persetujuan dari dewan
direksi sebagai bagian perencanaan keamanan komputer secara umum. Langkah
pertamanya adalah adanya dukungan dari manajemen senior dan penetapan
komite perencanan. Desain dari perencanaan mencakup tiga komponen utama,
yaitu :
Menaksir kebutuhan penting perusahaan, yang mencakup perangkat
keras, perangkat lunak, peralatan listrik, peralatan pemeliharaan,ruang
gedung, catatan yang vital, dan sumber daya manusia.
Daftar prioritas pemulihan berdasarkan kebutuhan perusahaan,
pemulihan terhadap terjadinya bencana akan memakan waktu yang relative
lama sehingga perlu dibuatkan daftar prioritas terkait dengan aktivitas
perusahan yang paling penting.
Strategi dan Prosedur pemulihan, mengindikasikan persiapan dan reaksi
akan terjadinya suatu bencana, apabila terjadi suatu bencana maka telah
direncankan apa yang harus dilakukan, siapa, bagaimana melakukannya
dan berapa lama waktu yang dibutuhkan. Hal-hal tersebut menyangkut
pada :
o Pusat respons darurat,
o Prosedur ekskalasi,
o Menentukan pemrosesan komputer alternative,
o Rencana relokasi karyawan,
o Perencanaan penyelamatan,
o Perencanan pengujian sistem dan pemeliharan sistem.