BAB 9 KEAMANAN INFORMASI KEAMANAN INFORMASI - digunakan untuk mendeskripsikan perlindungan baik peralatan komputer maupun non komputer,

fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Tujuan Keamanan Informasi Kerahasiaan, perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang. Contohnya: piutang dagang, pembelian, dan utang dagang. Ketersediaan, adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya. Contohnya: sistem informasi sumber daya manusia dan sistem informasi eksekutif Integritas, semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang direpresentasikannya. Tujuan ini dipenuhi dengan cara menjalankan proses manajemen keamanan informasi (Information Security Management-ISM) setiap hari dan manajemen keberlangsungan bisnis agar operaional perusahaan terus berjalan setelah bencana atau pelanggaran keamanan terjadi. Manajemen Keamanan Informasi Keamanan informasi, aktifitas untuk menjaga agar sumber daya informasi tetap aman. Sedangkan, aktifitas untuk menjaga agar perusahaan dan sumber daya inflormasinya tetap berfungsi setelah adanya bencana disebut Manajemen Keberlangsungan Bisnis (Business Continuity Management -BCM) MANAJEMEN KEAMANAN INFORMASI 1. Manajemen Keamanan Informasi terdiri dari 4 tahap: a. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan. b. Mendefinisikan resiko yang dapat di sebabkan oleh ancaman-ancaman tersebut. c. Menentukan kebijakan keamanan dan informasi. d. Mengimplementasikan pengendalian untuk mengatasi resiko-resiko tersebut. 2. Manajemen Risiko (Risk Management), dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya. 3. Tolok Ukur Keamanan Informasi (Information Sequrity Benchmark) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi. ANCAMAN (Information Security Threat) 1. Ancaman keamanan informasi adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. 2. Ancaman internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Sedangkan, ancaman eksternal adalah ancaman yang di luar perusahaan yang tidak ada hubungannya dengan internal seperti perusahaan lain yang sama produk dengan perusahaan kita atau bisa juga disebut pesaing dalam usaha. Jenis Ancaman Virus, hanyalah salah satu contoh jenis peranti lunak yang menyandang nama peranti lunak yang berbahaya (malicios software). Malicios dan malware, terdiri atas program program lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak di harapkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut berhenti. Ardware memunculkan pesan-pesan iklan yang mengganggu,dan spyware mengumpulkan data dari mesin pengguna. Program antispyware seringkali menyerang cookies,yaitu file teks kecil yang di letakkan perusahaan di hard drive pelanggan untuk mencatat minat belanja pelanggan mereka. RISIKO Risiko keamanan informasi didefinisikan sebagai potensi output yang tidak di harapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Risiko-risiko seperti ini di bagi menjadi 4 jenis, yaitu: 1. Pengungkapan informasi yang tidak terotoritas dan pencurian.

Suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memiliki akses., hasilnya adalah hilangnya informasi atau uang. Contoh : mata-mata industri dapat memperoleh informasi mengenai kompetisi yang beharga, dan kriminal komputer dapat menyeludupkan dana perusahaan. 2. Penggunaan yang tidak terotorisasi. Penggunaan ini terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh kejahatan komputer yang disebut Hacker yang memandang keamanan informasi sebagai suatu tantangan yang harus diatasi. Misalnya Hacker dapat memasuki jaringan komputer sebuah perusahaan, mendapat akses kedalam sistem telepon, dan melakukan sambungan telepon jarak jauh tanpa otorisasi. 3. Penghancuran yang tidak terotorisasi dan penolakan pelayanan. Seseorang dapat merusak atau menghancurkan hardware dan software perusahaan, sehingga menyebabkan operasional komputer perusahaan tidak berfungsi. 4. Modifikasi yang tidak terotorisasi. Perubahan dapat dilakukan pada data,informasi,dan peranti lunak perusahaan.beberapa perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan salah. Contohnya adalah perubahan nilai pada catatan akademis seorang siswa. PERSOALAN E-COMMERCE E-commerce (perdagangan elektronik) telah memperkenalkan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang dilakukan oleh gartner group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para peritel. E-Commerce dibandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung. Untuk mengatasi masalah ini, perusahaanperusahaan kartu kredit yang utama telah mengimplementasikan program yang di tujukan secara khusus untuk keamanan kartu kredit e-commerce. Kartu Kredit Sekali Pakai Pada september 2000, American Express mengumumkan sebuah kartu kredit sekali pakai. Kartu ini bekerja dengan cara: Saat pemegang kartu ingin membeli sesuatu secara online, ia akan memperoleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelanggan tersebut, yang di berikan kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran. Manajemen Risiko Manajemen risiko di identifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi. Risiko dapat dikelola dengan cara mengendalikaan atau menghilangkan risiko atau mengurangi risiko. Pendefinisian risiko terdiri atas empat langkah, yaitu: 1. Identifikasi aset-aset bisnis yang harus di lindungi dari risiko. 2. Menyadari risikonya. 3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi. 4. Menganalisis kelemahan perusahaan tersebut. KEBIJAKAN KEAMANAN INFORMASI Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program. Disini perusahaan menerapkan kebijakan keamanan dengan mengikuti pendekatan lima fase implementasi kebijakan keamanan, yaitu: 1. Fase 1 Inisiasi Proyek - Tim yang menyusun kebijakan keamanan yang dibentuk. 2. Fase 2 Penyusunan Kebijakan - Tim proyek berkonsultasi dengan semua pihak yang berminat & berpengaruh oleh proyek. 3. Fase 3 Konsultasi dan Persetujuan - Berkonsultasi dengan manjemen untuk memberitahukan temuannya. 4. Fase 4 Kesadaran dan Edukasi - Program pelatihan kesadaran dan edukasi dilaksanakan dalam unit organisasi. 5. Fase 5 Penyebarluasan Kebijakan - Disebarluaskan oleh seluruh unit organisasi dimana kebijakan dapat diterapkan.

Kebijakan terpisah dikembangkan untuk: Keamanan sistem informasi Pengendalian akses sistem Keamanan personel Keamanan lingkungan dan fisik Keamanan komunikasi data Klasifikasi informasi Perencanaan kelangsungan usaha Akuntabilitas manajemen PENGENDALIAN Pengendalian (control) adalah mekanisme yang di terapkan baik untuk melindungi perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadi. Pengendalian dibagi menjadi tiga (3) kategori, yaitu: 1. Teknis adalah pengendalian yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem. Pengendalian Akses dilakukan melalui 3 tahap: a. Identifikasi pengguna dapat berupa kata sandi, lokasi penggna seperti nomor telepon. b. Otentikasi pengguna dapat berupa ID card, memasukkan tanda tangan atau suara. c. Otorisasi pengguna pembacaan rekaman dari sebuah file. Identifikasi dan Otentikasi memanfaatkan profil pengguna, sedangkan Otorisasi memanfaatkan file pengendalian akses. 2. Formal, mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. 3. Informal, mencakup program-program pelatihan dan edukasi serta pembangunan manajemen. BAB 11 SISTEM PENDUKUNG PENGAMBILAN KEPUTUSAN Pemecahan Masalah (problem solving) terdiri atas respons terhadap hal yang berjalan dengan baik, serta terhadap hal yang berjalan dengan buruk dengan cara mendefinisikan masalah (problem) sebagai kondisi atau peristiwa yang berbahaya atau yang dapat membahayakan perusahaan, atau yang bermanfaat atau dapat memberi manfaat. Pembuatan Keputusan (decision making) yaitu tindakan memilih diantara berbagai alternatif solusi pemecahan masalah. Keputusan (decision) didefinisikan sebagai tindakan pilihan dan sering kali diperlukan untuk mengambil banyak keputusan dalam proses pemecahan satu masalah saja. Fase Pemecahan Masalah 1. Aktivitas Intelijen - Mencari disekitar lingkungan kondisi yang harus dipecahkan. 2. Aktivitas Perancangan - Menemukan, mengembangkan, dan menganalisis tindakan tindakan yang mungkin dilakukan. 3. Aktivitas Pemulihan - Memilih tindakan tertentu dari beberapa yang tersedia. 4. Aktivitas Pengkajian - Memeriksa pilihan-pilihan yang lalu. Kerangka Pikiran Pemecahan Masalah Kerangka berpikir yang berguna dalam pemecahan masalah, yaitu model sistem umum perusahaan dan model delapan elemen lingkungan. Model sistem umum, sebagai kerangka berfikir perusahaan sebagai suatu sistem, yang mengidentifikasi elemen-elemen penting yang harus ada serta aliran data, informasi, dan keputusan yang menghubungkan elemen-elemen tersebut. Model lingkungan untuk memahami lingkungan perusahaan dan interaksi antara perusahaan dan masing-masing elemen dalam bentuk aliran sumber daya. Memilih Solusi yang Baik Herry Mintzberg seorang ahli teori mamnajemen, telah mengidentifikasi tiga pendekatan. 1. Analisis Evaluasi pilihan-pilihan secara sistematis dengan mempertimbangkan konsekuensi pilihanpilihan tersebutpada tujuan organisasi. 2. Penilaian Proses pemikiran yang dilakukan oleh seorang manajer.

3. Penawaran Negoisasi antara beberapa manajer.

Struktur Permasalahan Masalah Terstruktur (structure problem) terdiri atas unsur dan hubungan antara berbagai elemen yang semuanya dipahami oleh orang yanng memecahkan masalah. Masalah yang tidak terstruktur (unstructured problem) adalah masalah yang tidak memiliki elemen atau hubungan antar elemen yang dipahami oleh orang yang memecahkan masalah. Masalah semiterstruktur (semistructured problem) adalah masalah yang terdiri atas beberapa elemen atau beberapa hubungan yang dipahami oleh si pemecah pemecah dan beberapa yang tidak dapat dipahami. Jenis Keputusan Putusan terprogram (programmed decision) bersifat relatif dan rutin dalam hal prosedur tertentu digunakan unuk menanganinya sehingga keputusan tersebut tidak perl;u dianggap de novo (baru) setiap kali terjadi. Keputusan yang tidak terprogram (nonprogrammed decision) bersifat baru tidak terstruktur , dan penuh konsekuensi. Pemodelan Matematika Model adalah abstraksi dari sesuatu. Model mewakili suatu objek atau aktivitas yang disebut entitas (entity). Manajer menggunakan model untuk mewakili permasalahan yang harus diselesaikan. Objek atau aktivitas yang menyebabkan masalah disebut dengan entitas. Terdapat empat jenis model : 1. Model Fisik - Merupakan gambaran tiga dimensi entitasnya. 2. Model Naratif - Merupakan gambaran entitas dengan kata-kata yang terucap atau tertulis. 3. Model Grafis - Merupakan gambaran entitas dengan abstraksi garis, simbol ataubentuk. 4. Model Matematis - Kebanyakan model matematika yang digunakan manajer bisnis sama kompleksnya dengan yang digunakan untuk menghitung EOQ. Kelas Model Matematis 1. Model Statis - Tidak melibatkan waktu sebagai salah satu variabel. Model Dinamis (dynamic model) menggambarkan prilaku entitas seiring dengan waktu, seperti gambar bergerak atau film. 2. Model Probabilitas - Model yang melibatkan probabilitas disebut. Jika tidak maka model tersebut adalah model deterministik (deterministic model). 3. Model Optimasi - Model yang memilih solusi tebaik dan berbagai alternatif yang diterapkan. Model suboptimizing ( suboptimizing model) yang sering sekali disebut model pemuas (satisficing model) memungkinkan seorang manajer untuk memasukan seperangkat keputusan. Simulasi Tindakan menggunakan model disebut dengan simulasi (simulation). Simulasi terjadi dalam skenario tertentu dan memprediksi dampak keputusan orang yang memecahkan masalah tersebut. Tekhnik Simulasi - Manajer biasanya melakukan model optimisasi hanya sekali. Model ini menghasilkan solusi terbaik yang menggunakan skenario tertentu dan variabel-variabel keputusan. Format Output Simulasi - Melibatkan berbagai elemen skenario dan variabel keputusan pada layar atau halaman yang sama seperti output merupakan praktik yang baik. Kelebihan Pemodelan Proses pemodelan dapat menjadi pengalaman belajar Kecepatan nproses simulasi memnungkinkan sejumlah besar alternatif dapat dipertimbangkan dengan cara memberikan kemampuan untuk mengevaluasi dampak keputusan dalam waktu yang singkat. Model memberikan kemampuan prediksi (kemampuan ke masa depan) Model tidak semahal upaya uji coba Kelemahan Pemodelan Kesulitan untuk membuat model sistem bisnis Kemampuan matem,atis tingkat tinggi

Kecerdasann Buatan (Artificial Intelligence- AI) adalah aktivitas penyediaan mesin seperti komputer dengan kemampuan untuk menampilkan perilaku yang akan diaggap sama cerdasnya dengan jika kemampuan tersebut ditampilkan oleh manusia.

Wilayah AI

Sistem Pakar (expert system) adalah program komputer yang berusaha untuk mewakili pengetahuan keahlian manusia dalam bentuk heuristik. Jaringan Saraf Tiruan (Neutral Networks) meniru fisiologi otak manusia. Jaringan ini mampu menemukan dan membedakan pola, sehingga membuatnya amat berguna dalam bisins di wilayah pengenalan suara dan pengenalan karakter optis. Algoritme genetik (genetic algorithms) menerapkan proses yang terkuat yang selamat untuk memungkinkan para pemecah masalah agar menghasilkan solusi masalah yang semakin lebih baik. Sebagai contoh, bankir investasi dapat menggunakan nya untuk memilih portfolio investasi yang terbaik bagi kliennya. Agen cerdas (intelligent agent) digunakkan untuk melakukan tugas yang berkaitan dengan komputer yang berulang-ulang. Salah satu contoh adalah data, dimana penemuan pengetahuan memungkinkan sistem gudang data untuk mengidentifikasi hubungan data yang sebelumnya tidak di kenal. Sistem Pendukung Pengambilan Keputusan Kelompok (Group Decision Support System - GDSS) adalah sistem berbasis komputer yang membantu sekelompok orang melakukan tugas (atau mencapai tujuan) yang sama dan memberikan antarmuka untuk digunakan bersama. Letak Lingkungan GDSS Jika anggota bertemu pada saat yang bersamaan, maka lokasi ini disebut pertukaran sinkron, salah satu contoh adalah pertemuan komite. Jika para anggota bertemu pada watu yang berbeda-beda, maka lokasi ini disebut Pertukaran asinkron, salah satu contohnya adalah saling berbalas komunikasi melalui e-mail ruang Keputusan.
1. Ruang Keputusan (decision room) - Adalah tempat sekelompok kecil orang bertemu langsung. 2. Jaringan Keputusan Wilayah Lokal - Jika tidak memungkinkan untuk sekelompok kecil orang untuk

bertemu langsung, maka para anggota dapat berinteraksi melalui LAN. Seorang anggota dapat memasukan komentar kedalam komputer dan melihat komentar yang diberikan anggota lain dilayar. 3. Sesi Legislatif - Jika kelompok yang ada terlalu besar untuk suatu ruangan keputusan maka akan dibutuhkan sesi legislatif. Ukuran yang besar akan membatasi komunikasi. Keempatan partisipasi secara rata oleh semua anggota kelompok menjadi berkurang atau waktu yang tersedia akan berkurang. Salah satu solusi untuk masalah ini adalah fasilitator memutuskan materi mana yang harus ditampilkan dilayar untuk dilihat seluruh kelompok. 4. Konferensi yang Dimediasi Komputer - Beberapa aplikasi virtual memungkinkan komunikasi antara kelompok-kelompok yang besar yang memiliki anggota yang terbesar diberbagai wilayah geografis. Aplikasi ini secara kolektif dikenal sebagai aplikasi konferensi jarak jauh, yang mencakup konferensi komputer, konferensi audio dan konferensi video.