Memberi jaminan kepastian bahwa sumber informasi tidak diakses oleh orang yang
tidak berhak/ bertanggung jawab
Dari tujuan dasar itu dapat kami jabarkan bahwa disaat kita mengirim info penting antar personal
dalam urusan bisnis maupun untuk client, kita mendapat jaminan bahwa info itu tidak dapat
dibuka pihak lain. Hal tersebut sangatlah penting mengingat dalam dunia bisnis kita sering
saling menjatuhkan satu sama lain. Keamanan dalam E- commerce juga harus mampu
memberikan jaminan data ataupun info yang kita kirim tidak terjadi penduplikatan sehingga
penerima bisa menerima data tersebut sesuai aslinya. Selain tersebut di atas juga kita dapat
diberikan jaminan bahwa hanya kita sang pemilik lah yang bisa mengakses yang kita miliki dan
juga jaminan kepastian sumber info kita tidak di akses orang yang tidak berhak kecuali kita
membukanya secara free.
62
internet-intranet
63
internet-intranet
Menurut kami konsep system keamanan merupakan suatu dasar penerapan teknologi
untuk mencapai tujuan tujuan tertentu dengan menggunakan system keamanan. Dengan
mempelajari konsep system keamanan ini,kami dapat mengeetahui tujuan-tujuan konsep
dasar keamanan.
Konsep system dasar keamanan memiliki tujuan-tujuan seperti :
Confidentally.Yang berarti Menjamin apakah informasi yang dikirim tersebut tidak dapat
dibuka atau tidak dapat diketahui oleh orang lain yang tidak berhak
Integrity: Menjamin konsistensi data tersebut apakah masih utuh sesuai aslinya atau tidak,
sehingga upaya orang-orang yang tidak bertanggung jawab untuk melakukan penduplikatan dan
perusakan data bisa dihindari.
Availability: Menjamin pengguna yang sah agar dapat mengakses informasi dan sumber
miliknya sendiri.
Legitimate Use: Menjamin kepastian bahwa sumber tidak digunakan oleh orang- orang
yang tidak bertanggung jawab.
Disamping tujuan-tujuan tersebut diatas,konsep system keamanan juga memiliki bidangbidang utama yang mencakup Sistem Keamanan Komunikasi (Communications security),
Keamanan Komputer (Computer security), Keamanan secara fisik.
- Sistem Keamanan Komunikasi merupakan perlindungan terhadap informasi ketika
di kirim dari sebuah sistem ke sistem lainnya.
- Keamanan Komputer (Computer security) adalah perlindungan terhadap sistem
informasi komputer itu sendiri.
- Keamanan secara fisik seperti pengamanan oleh penjaga keamanan, pintu yang
terkunci, sistem control fisik lainnya, dan sebagainya.
Keamanan secara fisik juga memiliki beberapa pengamanan seperti keamanan personal
dan keamanan administrative.
64
internet-intranet
65
internet-intranet
diam-diam yang akan melakukan penyerangan pada waktu yang telah ditentukan.
Communications Monitoring: penyerang dapat melakukan monitoring semua
informasi rahasia.
-
- komunikasi yang terjadi dikarenakan sesuatu yang bersifat senagja, kecelakaan ataupun
kesalahan teknis lainnya.
Safeguard
Beberapa tindakan yang dilakukan safeguard yaitu:
- Mencegah munculnya ancaman sebelum benar-benar terealisasi
- Meminimalisasikan kemungkinan terjadinya ancaman tersebut.
- Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi.
66
internet-intranet
Confidentiality (kerahasiaan)
Tiga hal diatas adalah komponen yang biasanya rentan terhadap threats (ancaman) sehingga
perlu adanya sebuah system pencegahan yang harus dilakukan agar terlindungi dari
ancaman pihak pihak lain yang dapat merugikan.
Safeguards (Pengamanan) meliputi control fisik, mekanisme, kebijaksanaan dan prosedur
yang melindungi informasi berharga dari ancaman-ancaman yang mungkin timbul setiap
saat. Diantaranya adalah :
o Vulnerabilities (Lubang-lubang kemaan yang bisa ditembus). Ini diakibatkan system
keamanan situs yang lemah sehingga pihak pihak dari luar dapat dengan mudah menyusup
dalam situs dan dapat saja melakukan kegiatan kegiatan yang merugikan.
o Risk (Resiko kerugian) merupakan perkiraan nilai kerugian yang ditimbulkan oleh
kemungkinan adanya attack yang sukses. Ini termasuk dalam sistem pencegahan dan
penanggulangan threats (ancaman).
o Risk Analysis (Analisa Kerugian) merupakan proses yang menghasilkan suatu
keputusan apakah pengeluaran yang dilakukan terhadap safeguards benar - benar bisa
menjamin tingkat keamanan yang diinginkan. Ini merupakan proses pertimbangan
dan perhitungan baik serta buruknya sebuah sistem keamanan yang akan di gunakan
nantinya, sehingga proses ini menjadi sangat penting untuk kedepannya.
Threats (Ancaman):
67
internet-intranet
68
internet-intranet
1. Keamanan Komunikasi
2. Keamanan Komputer
3. Keamanan secara fisik
4. Keamanan personal
5. Keamanan administrasi
6. Keamanan media yang digunakan
69
internet-intranet
Keamanan Komunikasi
Perlindungan terhadap informasi ketika dikirim dari sebuah sistem ke sistem lain. Sistem
keamanan ini mencegah terjadinya kebocoran informasi dan data kepada pihak lain yang tidak
bersangkutan yang bisa saja disalah gunakan.
Keamanan Komputer
Perlindungan terhadap sistem informasi komputer. Dengan menerapkan sistem pengaman
komputer sebagai contoh adalah penggunaan applikasi anti virus untuk lebih mengamankan data
data yang tersimpan dalam konputer dari ancaman yang mungkin datang.
Keamanan secara fisik
Satpam, pintu terkunci, sistem kontrol. Untuk keamanan ini tidak dipakai dalam sistem ecommerce.
Keamanan personal
Kepribadian operator (org2 yg mengoperasikan sistem). Hal ini perlu juga diwaspadai,
karena kadang kadang dalam pikiran seseorang dapat saja muncul pikiran yang tidak
baik. Itu karena lemahnya keimanan seseorang. Bisa juga diakibatkan oleh ketledoran dan
ketidak telitian operator yang bisa saja menimbulkan sebuah kesalahan dalam sebuah
sistem yang berakibat pada kerugian.
Keamanan administrasi
Pencatatan kejadian pada H/W atau S/W. Keamanan dalam hal ini sanagat tergantung
sekali dengan operator. Jadi untuk seorang yang bertugas dalam bidang administrasi
haruslah mempunyai konsentrasi yang tinggi, ketelitian, ketepatan dan daya ingat yang
bagus. Yaitu agar data yang akan dilaporkan atau dicatat tidak keliru / menyimpang.
Keamanan media yang digunakan
Harddisk, dan jaminan data tidak hilang. Tidak hanya harddisk tetapi juga semua sistem
yang ada atau yang akan digunakan sebagai media harus mempunyai spesifikasi yang
cukup agar memudahkan dalam pengoprasian sistem kerja.
70
internet-intranet
Perlindungan
Perlindungan yang dilakukan pada keamanan komunikasi dan Komputer.
1. Authentication service
Memberikan konfirmasi pengesahan terhadap identitas pengguna.
- Entity authentication. Pintu gerbang masuk pertama (password)
- Data origin authentication. Informasi sah/tidaknya sebuah identitas
3. Confidentiality Service
Memproteksi informasi yang kira-kira menjadi incaran akan disingkap oleh orang lain
Melindungi terhadap ancaman dari usaha orang yang akan mengubah data
71
internet-intranet
D. FIREWALL
Kami dapat mendeskripsikan bahwa firewall merupakan suatu
cara/sistem/mekanisme yang diterapkan baik terhadap hardware , software ataupun sistem
itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau
bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi
dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut dapat
merupakan sebuah workstation, server, router, atau local area network (LAN) anda.
Firewall digunakan atau diperuntukan yaitu untuk computer dan jaringan.
Komputer
Semua orang yang memiliki computer dan terhubung dengan jaingan internet,pasti
menginginkan semua komputernya terlindungi.
Jaringan
Jaringan komputer yang terdiri lebih dari satu buah komputer dan berbagai jenis topologi
jaringan yang digunakan, baik yang di miliki oleh perusahaan, organisasi dsb.
Saat kita menghubungkan sumberdaya perusahaan kita ke jaringan public seperti
internet,kita meletakan data-data dan system computer kita dalam keadaaan yang sangat
beresiko tinggi.Tanpa menggunakan firewall,baik keamanan data maupun integritas
data,erupakan sasaran empuk para hacker.Data-data kami ini kami ambil atau kutip dari
buku E-Commerce memahami perdagangan modern didunia maya.Dalam buku ini
dijelaskan firewall mengendalikan data-data serta system computer kita dari kerusaakan.. Dalam
hal ini,firewall dapat melindungi serangan-serangan pada protocol individual atau aplikasiaplikasi dan dapat secara efektif melindungi system computer kita dari
spoofing(program-program yang merusak dan menyamar sebgai aplikasi yang bermanfaat).
KARAKTERISTIK FIREWALL
1.Seluruh hubungan/kegiatan dari dalam ke luar , harus melewati firewall. Hal ini dapat
dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap jaringan
Lokal, kecuali melewati firewall. Banyak sekali bentuk jaringan yang memungkinkan.
72
internet-intranet
2.Hanya Kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan, hal ini
dapat dilakukan dengan mengatur policy pada konfigurasi keamanan lokal. Banyak sekali jenis
firewall yang dapat dipilih sekaligus berbagai jenis policy yang ditawarkan.
3.Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan. hal ini
berarti penggunaan sistem yang dapat dipercaya dan dengan Operating system yang relatif aman.
Firewall memilki keuntungan dan kekurangan.
Dari artikel dan buku-buku yang kami cari dan ambil intidarinya,kami dapat menyebutkan
bahwa keuntungan atau kebaikan firewall adalah :
Menjadi tumpuan untuk memfokuskan suatu sistem keamanan jaringan. Logikanya,
firewall adalah suatu ujung dari batas wilayah jaringan kita yang terhubung ke internet.
Semua trafik harus melalui firewall baik ke dalam maupun ke luar. Akan lebih mudah
apabila kita memfokuskan sistem keamanan kita pada satu titik daripada menyebarkan beberapa
teknologi keamanan jaringan pada satu wilayah kita sekaligus.
Merupakan perwujudan dari kebijakan sistem keamanan suatu jaringan. Misalnya kita hanya
memperbolehkan akses file transfer (FTP Service) dari internet ke salah satu server kita,
maka firewall bisa menjadi watchdog (anjing penjaga) yang akan melarang atau
menolak semua trafik dari internet ke site kita kecuali untuk file transfer saja.
Mencatat trafik secara efisien. Karena semua trafik baik ke luar maupun ke dalam
pasti melalui firewall, maka firewall akan menyediakan suatu tempat dan layanan untuk
menyimpan aktivitas trafik serta memberikan report yang berguna bagi kita.
Membatasi akses antar komputer di intranet kita. Terkadang, firewall menjadi
pemisah antar bagian dari jaringan intranet kita. Misalnya, di suatu perusahaan ada dua
jaringan yaitu jaringan untuk bagian keuangan dan bagian teknik. Dalam hal ini firewall akan
menjadi pemisah antara kedua jaringan tersebut. Dengan begitu kebijakan keamanan
jaringan adalah membatasi akses untuk masing-masing departemen.
Selain hal-hal yang bisa dilakukan oleh firewall, maka ada juga hal-hal yang tidak dapat
dilakukan oleh firewall, yaitu:
73
internet-intranet
Melindungi jaringan dari orang dalam yang jahat (malicious insider). Firewall
hanya akan melindungi data atau informasi yang akan dicuri oleh penyusup yang
terhubung ke sistem melalui media internet atau intranet. Namun apabila ada orang dalam yang
memang berniat untuk mengambil data secara ilegal dengan maksud jahat, maka firewall
tidak dapat melindunginya. Karena bisa jadi orang dalam atau malicious insider tersebut
melakukannya dengan cara pemaksaan secara fisik, misalnya mencuri data dengan cara
membongkar komputer secara paksa. Atau memang pelakunya adalah "orang penting"
yang mempunyai hak akses istimewa pada sistem kita dan tidak kita duga sama sekali.
Melindungi suatu site dari suatu koneksi yang tidak melewati firewall. Misalnya
topologi jaringan kita hanya menerapkan firewall untuk koneksi yang ke internet saja,
padahal masih ada koneksi kita yang terhubung ke tempat lain tanpa melalui firewall. Maka
dalam hal ini firewall tidak bisa melindunginya.
Tidak dapat melindungi dari suatu serangan yang dilakukan dengan cara baru dan
kompleks yang tidak dapat dikenali oleh firewall. contoh kasusnya adalah: suatu serangan
dengan teknik DOS (Denial of Service) dapat ditahan karena sudah dikenal oleh firewall.
Namun dalam seiring kemajuan teknologi, serangan dengan teknik ini berkembang menjadi
teknik DDOS (Distributed Denial of Service). Penyerang melakukan penyerangan ke suatu
site dengan menggunakan "jasa" site lain yang sudah dikuasainya. Misalnya, score keeper
akan menyerang site kita secara bersamaan dari beberapa site yang sudah menjadi korbannya
terlebih dahulu. Firewall tidak dapat menahan serangan dengan teknik DDOS apabila
tidak dilakukan upgrade terlebih dahulu.
Melindungi sistem dari virus. Firewall sangat sulit untuk melindungi sistem dari
serangan virus karena firewall sangat sulit untuk melakukan hal-hal sebagai berikut:
o Mengenali bahwa paket data yang lewat merupakan bagian dari suatu program aplikasi.
o Menetapkan bahwa paket data yang lewat adalah suatu karakteristik dari suatu virus.
74
internet-intranet
Menganalisa suatu perubahan pada paket data yang lewat adalah akibat dari
suatu virus.
Tantangan E-Commerce
Penerapan E-Commerce di Indonesia mengalami banyak tantangan. Hal ini dikarenakan
E-Commerce berbeda dengan perniagaan /
perdagangan biasa, maksudnya adalah
kebanyakan hal-hal yang diperjual-belikan tidak hanya berwujud barang seperti
perdagangan yang kita kenal selama ini. Oleh karena itu E-Commerce memiliki beberapa
75
internet-intranet
2. Pengembangan swadaya
3. Memanfaatkan Open Source Software khususnya untuk e-commerce
4. Zen Cart (www.zen-cart.com),
5. phpshop (www.phpshop.org)
6. Virtue Mart ,Komponen Joomla. (www.virtuemart.net)
7. Dan masih banyak lagi
Hambatan E-Commerce
Hambatan E-Commerce diantara lain :
1. Internet bust! Hancurnya bisnis Internet
2. Infrastruktur telekomunikasi yang masih terbatas dan mahal
3. Delivery channel
4. Kultur dan Kepercayaan (trust)
5. Munculnya jenis kejahatan baru
76
internet-intranet
Internet Bust!
Maksudnya banyaknya masyarakat Indonesia yang berpikiran bahwa E-Commerce merupakan
bisnis yang cepat mendatangkan uang tanpa mengerti tentang konsep dasar tentang ECommerce itu sendiri, sehingga menyebabkan hancurnya bisnis Internet di Indonesia. Hal
ini juga dipengaruhi oleh banyak model bisnis yang belum terbukti namun ramai-ramai
diluncurkan. Akhirnya hancur dengan matinya banyak perusahaan dotcom. Hal ini
menyebabkan sebagian orang yang pernah merasa gagal dalam berbisnis E- Commerce
lebih berhati-hati dalam menjalankan bisnis itu lagi, selain itu mereka juga mencari
peluang lain untuk membuat model bisnis baru yang lebih menguntungkan lagi.
Infrastruktur Telekomunikasi
Infrastruktur Telekomunikasi di Indonesia masih terbatas dan harganya masih relatif lebih
mahal, padahal e-commerce bergantung kepada infrastruktur telekomunikasi, ditambah
pula kawasan Indonesia yang sangat luas sehingga mempersulit pengadaan infrastruktur
telekomunikasi karena mebutuhkan biaya yang amat banyak.
Delivery Channel
Banyak konsumen yang ditakutkan hilangnya barang mereka di jalan, hal ini dikarenakan
tindak kriminal Indonesia masih tinggi., atau adanya masalah dalam ketepatan waktu dalam
pengiriman barang karena masalah jarak yang dituju.
Kultur & Kepercayaan
Orang Indonesia belum terbiasa berbelanja dengan menggunakan catalog,
maksudnya masih harus secara fisik melihat / memegang barang yang dijual. Ditambah lagi
kepercayaan antara penjual & pembeli masih tipis
sehingga kepercayaan kepada
pembayaran elektronik masih kurang. Hal inilah yang menghambat penggunaan kartu
kredit
77
internet-intranet
78
internet-intranet
79
internet-intranet
Latihan Soal.
1. Apa konsep dasar dari sistem keamanan e-commerce !
2. Jelaskan tujuan dari konsep dasar sistem keamanan e-commerce ?
3. Apa yang dilakukan untuk melindungi kemanan dan komputer terhadap serangan dari
para hacker !
4. E-commerce memiliki karakteristik yang khas. Jelaskan karakteristik tersebut !
5. Apa yang dimaksud dengan internet bust !
(Download Lebih Lengkap)
Tag :
Download Materi Kuliah Teknik Informatika, Teknik Informatika/Ilmu Komputer, Otomata dan
Pengantar Kompilasi , E-Commerce, Internet, E-Commerce, Keamanan Sistem E-Commerce
Poskan Komentar
what is your comment?. ^^
Posting Lebih Baru Posting Lama Beranda
Langganan: Poskan Komentar (Atom)
Site Info
Parameter Blog
Rate My Blog
Lainnya
Beasiswa
Dalam Negeri Luar Negeri
Berita Pendidikan
Dalam Negeri Luar Negeri Tips Kuliah
Safety Riding
Recent Post
Fren-List Banner
Web Directory
Search Engine Submission - AddMe Safety Blogcatalog Free web directory Free RSS Feeds
Directory Web Directory for Free! This site is listed under Drivers Directory seo tool LINK ADD
URL Seo Friendly Web Directory Free web directory Directory Storm Directory Dmegs Web
Directory
Fren-List Link
Amalia-Amel Aryes-Novianto Atif-Romeo BlogSaiin Budaya Download PCMAV go blog go
ilmuGRAFIS Iklan baris gratis tanpa daftar ~..lovtoshr..~ lawlet-anime moevils Summer Lock
Download Materi Kuliah
Blogger template Simple n' Sweet by Ourblogtemplates.com 2009
Back to TOP
Home
About
RSS
manlukman
Just another WordPress.com site
Hey there! Thanks for dropping by manlukman! Take a look around and grab the RSS feed to
stay updated. See you around!
Uncategorized
Sistem Manajement Keamanan Informasi ( ISMS), rata-rata digunakan para manajer untuk
mengukur, memonitor dan mengendalikan keamanan informasi mereka. Manajemen Keamanan
Informasi ini memberikan perlindungan informasi dan penghitungan asset yang ada.
Manajemen Keamanan Informasi ini mempunyai tiga komponen kunci dalam menyediakan
jaminan layanan keamanan informasi diantaranya :
Kerahasiaan memastikan bahwa informasi dapat diakses hanya untuk mereka yang authorised
untuk mempunyai akses.
Dalam mencapai keamanan informasi ini, satu perangkat kendali, bisa digunakan menjadi suatu
kebijakan, struktur organisasi, atau perangkat lunak yang berfungsi sebagai prosedur untuk
diterapkan. Perangkat kendali ini harus dapat memastikan sasaran hasil keamanan secara spesifik
bagi kita dan pelanggan pada umumnya.
Salah satu contoh hasil survey yang dilakukan oleh ISBS, yang menunjukkan mengapa format
informasi apapun penting bagi bisnis suatu perusahaan, dan persepsi perusahaan terhadap resiko
yang mungkin melanggar keamanannya.
Menurut Survei Pelanggaran Keamanan Informasi ( ISBS), yang dilakukan terhadap beberapa
organisasi / perusahaan . Salah satu penemuan yang paling mengejutkan dalam ISBS 2000
adalah bahwa :
31%, organisasi yang diwawancarai , mereka tidak memiliki informasi apapun yang mereka
pertimbangkan untuk menjadi kritis dan sensitive secara alamiah bagi bisnis mereka ,
58%, organisasi yang diwawancarai, keamanan informasi dipertimbangkan untuk suatu
permasalahan bisnis penting, hanya satu dari tujuh telah melakukan suatu kebijakan yang
menggambarkan sistem manajemen keamanan informasi mereka.
Uraian pelanggaran keamanan ini menunjukkan sebagian besar usaha keamanan informasi
adalah dipusatkan pada ancaman eksternal, ancaman yang utama datang dari dalam organisasi.
Kesalahan Operator dan kegagalan tenaga manusia adalah dua sumber pelanggaran keamanan
paling besar. Virus memperoleh 16% tentang peristiwa keamanan, sedang akses yang
unauthorised eksternal memperoleh 2%.
Demikian juga survey dilakukan ISBS terhadap 1000 orang manajer sebagai penanggung jawab
keamanan informasi organisasinya. Ini adalah penemuan kunci Keamanan Informasi Survei
Pelanggaran 2000:
Pada Part 3.1 Kode Praktek mengatakan bahwa Manajemen perlu menetapkan suatu arah
kebijakan yang jelas dan menunjukkan dukungan terhadap keamanan informasi melalui isu dan
pemeliharaan dari suatu kebijakan keamanan informasi terhadap organisasi.
Tujuan ISO 17799 adalah untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset
informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. Jaminan dicapai
melalui Kontrol / pengendalian bahwa manajemen diciptakan dan dipelihara di dalam organisasi.
Untuk menjalankannya, ISO 17799 menggambarkan suatu proses atas penyelesaian dengan
menyediakan basis untuk keseluruhan Sistem Manajemen Keamanan Informasi (ISMS).
Faktor pokok dari proses ini adalah sebagai berikut:
Gambarkan suatu kebijakan keamanan
Gambarkan lingkup ISMS
Lakukan suatu penilaian resiko
Atur resiko itu
Pilih sasaran hasil kendali dan mengendalikan untuk diterapkan
Siapkan suatu statemen yang dapat dipakai (applicabilas).
Dan dibawah ini adalah flowchart dari ISMS :
Derajat tingkat jaminan keamanan diperlukan untuk dicapai melalui suatu pengendalian bahwa
manajemen menciptakan dan memelihara organisasi. Pengaturan ke sepuluh kontrol / kendali
yang ada pada ISO 17799 digunakan untuk mengimplementasikan suatu program keamanan
informasiyang sukses, yaitu dengan:
Security Organisation
Personnel Security
Keamanan Personil Staff harus dilatih, relevan dengan area yang mendukung kebijakan
keamanan ( mengidentifikasi pelanggaran atas kebijakan, staff vetting, persetujuan kerahasiaan
dan tanggung-jawab individu untuk tugas spesifik).
Cek Keamanan dapat dilaksanakan pada suatu basis reguler, dengan semua orang di dalam
organisasi itu.
Phisik dan Keamanan Lingkungan Safe-Keeping informasi, di semua lingkungan di mana itu
digunakan atau disimpan, harus dikendalikan dan dimonitor. Keuntungannya :Resiko informasi
gagal / kehilangan melalui pencurian, banjir dan lain lain adalah merupakan minimised.
Komputer Dan Keamanan Jaringan Prosedur yang didokumentasikan harus menunjukkan yang
sekarang dan informasi baru, aman dari kerugian, atau penyingkapan.
Keuntunggannya : Suatu program acara keamanan berkesinambungan pada tempatnya untuk
melindungi informasi elektronik
Kendali Akses Sistem.Penekanan tertentu ditempatkan pada operasi sistem yang in-house dan
rata-rata dengan masukan untuk system yang diperoleh. Keuntunggannya : Akses Unauthorised
ke informasi dapat dikendalikan.
Pengembangan Sistem dan Pemeliharaan Semua sistem baru harus diuji dan dikendalikan dari
lingkungan. Keuntungannya : Pintu belakang mengakses ke informasi sekarang via suatu
sistem baru harus dicegah.
Perencanaan Kesinambungan Bisnis harus disiapkan dan yang dibaharui untuk menilai orang
agar dapat dipercaya setia di dalam sekarang dan lingkungan kerja yang ditinjau kembali.
Keuntungannya : Kesadaran dari semua resiko keamanan potensial dapat dikendalikan dan
dicapai.
Compliance
Pemenuhan Kebijakan Keamanan harus teraudit untuk memastikan bahwa itu mematuhi
peraturan dan kebutuhan. Keuntunggannya : Undang-undang. Resiko penuntutan untuk yang
tidak memenuhi adalah minimised.
(Source http://www.nqa.com)
Maka bagi Perusahaan yang sudah mengembang;kan suatu Sistem Manajemen Keamanan
Informasi ( ISMS) dapat menyesuaikan diri dengan ISO 17799 dan menunjukkan suatu
komitmen keamanan informasi. Sertifikasi ini akan memberi kunci keuntungan organisasi /
perusahaan atas pesaing dengan menyediakan kredibilitas tambahan tidak ternilai. Ini
memungkinkan suatu organisasi untuk membuat suatu statemen publik kemampuan dan akan
juga memberi organisasi itu kepercayaan di dalam integritas dan keamanan tentang sistem
kepunyaan dan prosesnya sebagai yang terukur .
Adapun manfaat proses keamanan informasi dalam Standard ISO 17799 bagi perusahaan
adalah sebagai berikut:
Suatu metodologi tersusun yang dikenali
Proses yang digambarkan untuk mengevaluasi, menerapkan, memelihara, dan mengatur
keamanan informasi
Satu set kebijakan dikhususkan, standard, prosedur, dan petunjuk
Sertifikasi mengijinkan organisasi untuk mempertunjukkan status keamanan informasi mereka
sendiri
Menunjukkan Sertifikasi Penelitian
Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk mengukur, mengatur dan
mengendalikan informasi yang penting kepada operasi system mereka. Pada gilirannya ini dapat
mendorong kearah kepercayaan pelanggan, yang lebih efisien dan
sistem internal efektif serta suatu tanda kelihatan dari kesanggupan suatu organisasi .
c. Sertifikasi ISMS
Sertifikasi Pihak ketiga menawarkan suatu pandangan yang tidak memihak dari sistem keamanan
perusahaan, Hal ini memudahkan dalam melakukan usaha / bisnis; tentunya akan mendorong
dan memungkinkan organisasi untuk masuk ke hubungan uasaha / bisnis , dengan
mempromosikan memungut manajemen keamanan informasi sesuai ke bidang uasaha / bisnis
demi kepentingan bisnis global secara keseluruhan.
Sertifikasi dari ISMS seluruhnya sifatnya sukarela/fakultatif. Organisasi yang mana dengan
sukses melengkapi sertifikasi proses itu, mempunyai kepercayaan lebih besar di dalam
manajemen keamanan informasi mereka dan akan mampu menggunakan sertifikat itu untuk
membantu, meyakinkan bisnis bersekutu dengan siapa yang mereka berbagi informasi. Sertifikat
membuat suatu statemen kemampuan publik, dan mengijinkan organisasi untuk
menyimpan/pelihara secara detil tentang sistem keamanan rahasianya .
Recent entries
o
Meta
Register
Log in
Entries RSS
Comments RSS
Discuss
Get Inspired
Get Polling
Get Support
Learn WordPress.com
WordPress Planet
WordPress.com News
Pages
o
About
Monthly archives
o
March 2011
Beranda
Tentang Kami
Berita
Tutorial
Kuliah
Examiner). Melalui kombinasi keahlian dibidang audit sistem informasi dan fraud audit,
diharapkan dapat mengungkap cyber crime secara cermat dan cepat. Saat ini kita perlu
mengembangkan disiplin khusus yaitu computer forensic, hal ini menjadi sangat penting
mengingat cyber crime melalui kejahatan komputer (computer fraud) semakin meluas dan
canggih.
Proses, Unsur dan Faktor Pemicu Fraud
Proses timbulnya fraud biasanya terdiri dari 3 (tiga) macam, yaitu pencurian (theft) dari
sesuatu yang berharga (cash, inventory, tools, supplies, equipment atau data), konversi
(conversion) asset yang dicuri kedalam cash dan pengelabuhan / penutupan (concealment)
tindakan kriminal agar tidak dapat terdeteksi. Unsur-unsur fraud antara lain sekurangkurangnya melibatkan dua pihak (collussion), tindakan penggelapan/penghilangan atau false
representation dilakukan dengan sengaja, menimbulkan kerugian nyata atau potensial atas
tindakan pelaku fraud. Meskipun organisasi / perusahaan secara hukum dapat menuntut para
pelaku fraud, namun ternyata tidak mudah usaha untuk menangkap para pelaku fraud,
mengingat pembuktiannya relatif sangat sulit. Apalagi apabila fraud tersebut termasuk
perbuatan kolusi dalam computer fraud. Penyebab timbulnya fraud berupa segitiga fraud (the
fraud triangle), sebagai berikut :
The Fraud Triangle
Penyebab / faktor pemicu fraud dibedakan atas 3 (tiga) hal yaitu :
* Tekanan (Unshareable pressure/ incentive) yang merupakan motivasi seseorang untuk
melakukan fraud. Motivasi melakukan fraud, antara lain motivasi ekonomi, alasan emosional
(iri/cemburu, balas dendam, kekuasaan, gengsi) dan nilai (values).
* Adanya kesempatan / peluang (Perceived Opportunity) yaitu kondisi atau situasi yang
memungkinkan seseorang melakukan atau menutupi tindakan tidak jujur.
* Rasionalisasi (Rationalization) atau sikap (Attitude), yang paling banyak digunakan adalah
hanya meminjam (borrowing) asset yang dicuri.
Fraud dapat dikatagorikan atas 3 (tiga) macam sbb. :
* Penyalahgunaan wewenang/jabatan (Occupational Frauds); kecurangan yang dilakukan oleh
individu- individu yang bekerja dalam suatu organisasi untuk mendapatkan keuntungan
pribadi.
* Kecurangan Organisatoris (Organisational Frauds); kecurangan yang dilakukan oleh organisasi
itu sendiri demi kepentingan/keuntungan organisasi itu.
* Skema Kepercayaan (Confidence Schemes). Dalam kategori ini, pelaku membuat suatu
skema kecurangan dengan menyalahgunakan kepercayaan korban.
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem
informasi, akan terus meningkat dikarenakan beberapa hal, antara lain:
* Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer
semakin meningkat. Sebagai contoh saat ini mulai bermunculan aplikasi bisnis seperti on-line
banking, electronic commerce (e-commerce), Electronic Data Interchange (EDI), dan masih
banyak lainnya.
* Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan
lebih banyak operator dan administrator yang handal. Padahal mencari operator dan
administrator yang handal adalah sangat sulit.
* Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan
masalah interoperability antar vendor yang lebih sulit ditangani.
* Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang
mencoba-coba bermain atau membongkar sistem yang digunakannya.
* Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan
telekomunikasi yang sangat cepat.
Jenis-Jenis Fraud
Jenis-jenis fraud yang sering terjadi di suatu organisasi (perusahaan) pada umumnya dapat
dibedakan atas 3 (tiga) kategori :
* Pemalsuan (Falsification) data dan tuntutan palsu (illegal act). Hal ini terjadi karena pelaku
fraud secara sadar dan sengaja memalsukan suatu fakta, laporan, penyajian atau klaim yang
mengakibatkan kerugian keuangan atau ekonomi dari para pihak yang menerima laporan atau
data palsu tersebut.
* Penggelapan kas (embezzlement cash), pencurian persediaan/aset (Theft of inventory /
asset) dan kesalahan (false) atau misleading catatan dan dokumen.
* Kejahatan Komputer (Computer fraud).
Computer fraud adalah kejahatan / kecurangan dengan memanfaatkan teknologi komputer
sebagai sarana pengolahan data / informasi. Computer fraud termasuk salah satu kejahatan
kerah putih (white collar crime). White collar crime adalah kegiatan yang salah atau
serangkaian dari tindakan yang dilakukan tanpa tindakan secara non-fisik dan rahasia atau
tipu muslihat untuk mendapatkan uang atau property,untuk menghindari pembayaran atau
kehilangan uang atau property, atau untuk mendapatkan bisnis termasuk keuntungan pribadi.
Computer fraud meliputi tindakan ilegal yang mana pengetahuan tentang teknologi komputer
adalah sangat esensial untuk perpetration, investigation atau prosecution. Dengan
menggunakan sebuah komputer seorang fraud perpetrator dapat mencuri lebih banyak dalam
waktu lebih singkat dengan usaha yang lebih kecil. Pelaku fraud telah menggunakan berbagai
metode untuk melakukan Computer fraud .
Jenis-jenis Computer Fraud
Pengkategorian Computer fraud melalui penggunaan model pemrosesan data (data processing
model), dapat dirinci sbb :
* Cara yang paling sederhana dan umum untuk melaksanakan fraud adalah mengubah
computer input.
* Computer fraud dapat dilakukan melalui penggunaan sistem (dalam hal ini Processor) oleh
yang tidak berhak, termasuk pencurian waktu dan jasa komputer serta penggunaan komputer
untuk keperluan diluar job deskripsi pegawai.
* Computer fraud dapat dicapai dengan mengganggu perangkat lunak (software) yang
mengolah data perusahaan atau Computer istruction . Cara ini meliputi mengubah software,
membuat copy ilegal atau menggunakannya tanpa otorisasi (unauothorized).
* Computer fraud dapat dilakukan dengan mengubah atau merusak data files organisasi /
perusahaan atau membuat copy, menggunakan atau melakukan pencarian terhadap data
tanpa otorisasi.
* Computer fraud dapat dilaksanakan dengan mencuri atau menggunakan secara tidak benar
system output.
Pencegahan Computer Fraud
Salah satu cara untuk mencegah timbulnya computer fraud adalah dengan merancang sebuah
sistem yang dilengkapi dengan internal control yang cukup memadai sehingga computer fraud
sukar dilakukan oleh pihak luar maupun orang dalam perusahaan. Selain itu manajemen
perusahaan harus memiliki komitmen untuk selalu meningkatkan budaya integritas (culture of
integrity). Mengingat computer fraud dewasa ini semakin meningkat, metode dan cara untuk
melindungi perusahaan dari computer fraud masih sangat terbatas, secara hukum Indonesia
belum ada cyber law yang dapat dijadikan payung bagi petugas polisi dan aparat terkait
lainnya untuk bertindak dan saat ini masih menggunakan KUHP umum. Berikut beberapa cara
perlindungan yang dapat dilakukan oleh organisasi / perusahaan untuk melindungi /
mencegah timbulnya computer fraud, yaitu:
*
*
*
*
*
*
*
*
*
Personnel screening.
Definisi pekerjaan (job defined).
Pemisahan tugas (segregration of duties).
Etika profesional (professional ethics)
Lisensi (license)
System design control
Physical access security
Electronic access security.
Internal control and edit.
Computer fraud harus dicegah sebelum terjadi, merupakan tanggung jawab manajemen untuk
menciptakan lingkungan yang kondusif sehingga dapat mencegah terjadinya computer fraud.
Pendeteksian fraud oleh Internal Auditor
Pada awalnya perhatian utama internal auditor adalah langsung mendeteksi terjadinya
computer fraud. Namun fungsi internal auditor ternyata lebih bersifat protektif dan detektif
daripada konstruktif. Berdasarkan Statement on Internal Auditing Standards (SIAS). Ada 4
(empat) fungsi dan tanggung jawab dari internal auditor dalam menghadapi fraud, yaitu :
Pencegahan computer fraud
Tanggung jawab utama pencegahan computer fraud berada pada pihak manajemen. Tanggung
jawab internal auditor terletak pada audit dan evaluasi kelengkapan dan keefektifan tindakan
yang dijalankan managemen untuk memenuhi kewajibannya
organisasi (perusahaan) mana saja, maka manajemen perusahaan harus mengambil langkahlangkah komprehensif untuk mencegah timbulnya computer fraud antara lain melalui
peningkatan internal control, review sistem & prosedur serta peningkatan integritas moral
karyawan dan manajemen perusahaan.
2. Auditor internal maupun auditor independen bertanggung jawab untuk melakukan
pencegahan (prevention), pendeteksian (detection) serta penginvestigasian (investigation)
terhadap computer fraud.
3. Salah satu jenis audit yang dapat dilakukan oleh auditor internal maupun auditor
independen untuk melakukan pencegahan, pendeteksian serta penginvestigasian terhadap
computer fraud adalah melalui audit sistem informasi atau EDP audit.
Sumber: alexandermarpaung.blogspot.com
posted by anita
Next
This is the most recent post.
Previous
UU ITE Republik Indonesia Tentang Cyber Crime
Recent Posts
Kejahatan dunia maya atau Cyber Crime sekarang berada diurutan kedua setelah
kejahatan narkoba dilihat dari keuntungan materi yang diperolehnya bag...Read more
Rabu, 03 November 2010 "YLKI meminta BI untuk mengubah klausul kontrak kartu
kredit yang dianggap merugikan konsumen." YLKI menyayangkan marakny...Read more
0 komentar:
Poskan Komentar
Popular Posts
Archive
2013 (11)
o
Oktober (9)
Hacker Account
September (2)
Label
CyberCrime
Hacker
Tentang Kami
UU ITE
Yudhi Trianto
Video
Copyright 2016 Etika Ilmu Teknologi Informasi All Right Reserved
Blogger Designed by IVYthemes | MKR Site
Posts RSS | Comments RSS
Akuntansi
Selasa, 14 Oktober 2014
KEAMANA SISTEM INFORMASI
dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan pelanggaran
keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, dan digunakan
untuk menghasilkan laporan.
Tujuan
Analisis kerentanan sistem dalam arti mengacu
yang relevan dan eksposur kerugian yang
Desain sistem
Implementasi sistem
telah didesain.
Mengoperasikan sistem dan menaksir
efektivitas dan efisiensi.
Membuat perubahan sebagaimana diperlukan
sesuai dengan kondisi yang ada
Tujuan fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan laporan analisis
kerentanan dan ancaman. Tujuan fase kedua adalah untuk mendesain serangkaian ukuran
pengendalian risiko yang komprehensif, termasuk ukuran keamanan untuk mencegah kerugian
dan rencana kontingensi untuk menangani kerugian pada saat kerugian tersebut harus terjadi.
Secara kolektif, keempat fase tersebut disebut manajemen risiko sistem informasi. Manajemen
risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan risiko sistem
komputer.
Desain sistem
pengendalian sistem
Risiko
Pencurian data
Kecurangan dan
($)
700.000.000
1.200.000.000
0.050
0.025
35.000.000
30.000.000
serangan virus
Sabotase
Perubahan file
Perubahan program
Pencurian peralatan
2.500.000.000
400.000.000
80.000.000
15.000.000
0.010
0.050
0.020
0.100
25.000.000
20.000.000
1.600.000
1.500.000
Bencana alam
100.000.000
Gambar 5.1 Laporan Analisis Ancaman
0.008
800.000
Interupsi bisnis
Kerugian perangkat lunak
Kerugian data
Kerugian perangkat keras
Kerugian fasilitas
Kerugian jasa dan personel
Jika pendekatan kuantitatif digunakan, biaya dapat diestimasi menggunakan satu dari banyak
metode, termasuk replacement cost, service denial, kewajiban kepada pihak ketiga (yang
disebabkan oleh ketidakmampuan perusahaan memenuhi suatu kontrak), dan interupsi bisnis.
nilai data yang dicuri, dan pelaku utama dapat dikenai hukuman penjara satu sampai dengan lima
tahun.
National Commission on Fraudulent Financial Reporting (Treadway Commission)
mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan manajemen
merupakan kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk
menipu investor dan kreditor melalui pelaporan keuangan yang menyesatkan. Kecurangan
semacam ini dilakukan oleh mereka yang memiliki posisi cukup tinggi di dalam organisasi
sehingga memungkinkan mereka melanggar pengendalian akuntansi. Memang bisa saja
manajemen melakukan kesalahan lain yang memiliki potensi untuk merugikan karyawan atau
investor, namun biasanya istilah kecurangan namajemen mengacu pada manipulasi laporan
keuangan.
Undang-Undang Keamanan Komputer Internasional
Canada
Kode Kriminal 301.2 (1). Penggunaan Komputer tanpa Otoritas legal,
menetapkan pinalti criminal sampai dengan 10 tahun untuk kecurangan
Denmark
Firlandia
Perancis
Switserland
diri sendiri.
Gambar 5.2 Undang-Undang Keamanan Komputer Internasional
Treadway Commission mendefinisikan kejahatan pelaporan keuangan sebagai perilaku sengaja
atau tidak sengaja, entah dengan melakukan sesuatu atau lalai melakukan sesuatu, yang
menghasilkan laporan keuangan yang secara material menyesatkan. Komisi memelajari 456
kasus siding terhadap auditor. Kecurangan manajemen ditemukan pada separuh dari total kasus
tersebut. Komisi mengamati bahwa sistem informasi berbasis komputer menggandakan potensi
penyalahgunaan atau rekayasa informasi sehingga meningkatkan risiko kecurangan dalam
peloporan keuangan.
Pengguna
Pengguna terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang lain
karena area fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak pengguna
memiliki akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing perusahaan.
Dalam beberapa kasus, pengguna memiliki kendali terhadap input komputer yang cukup penting,
seperti memo kredit, kredit rekening, dan lain sebagainya.
Penyusup
Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak yang legal
merupakan penyusup. Penyusup yang menyerang sistem informasi sebagai sebuah kesenangan
dan tantangan dikenal dengan nama hacker.
Tipe lain dari penyusup mencakup:
1. Unnoticed Intruder Seorang pelanggan bisa berjalan masuk ke dalam area yang tidak dijaga dan
melihat data yang sensitif di dalam komputer personal yang sedang tidak ada orangnya. Seorang
hacker bisa saja masuk ke dalam sistem dan merusak website perusahaan.
2. Wiretapper Sebagian besar dari informasi diproses oleh komputer perusahaan melewati kabel.
Sebagian informasi ditransmisikan hanya dari satu ruang ke ruang lain. Informasi yang lain
mungkin saja ditransmisikan antarnegara melalui internet. Jaringan ini rentan terhadap
kemungkinan wiretapping (penyadapan). Penyadapan ini bisa dilakukan, bahkan dengan
peralatan yang tidak mahal seperti sebuah tape recorder dan sepotong kabel yang memungkinkan
terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi penyadapan.
3. Piggybacker Salah satu jenis penyadapan canggih, dengan metode ini, penyadap menyadap
informasi legal dan menggantinya dengan informasi yang salah.
4. Impersonating Intruder Adalah individu-individu tertentu yang bertujuan melakukan kecurangan
terhadap perusahaan. Salah satu tipe penyusup menggunakan user ID dan password yang
diperoleh dengan cara yang tidak legal untuk mengakses sumber daya elektronik perusahaan.
5. Eavesdroppers CRT (cathode-ray tubes) standar yang banyak digunakan di unit display video
menghasilkan interferensi elektomagnetik pada suatu frekuensi yang dapat ditangkap sengan
seperangkat televisi sederhana.
Dalam banyak kasus kejahatan komputer, manipulasi input merupakan metode yang biasa
digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa
saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
Mengubah Program
Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan
kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian
pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak
perusahaan besar memiliki metode pengujian program yang dapat digunakan untuk mendeteksi
adanya perubahan dalam program.
Mengubah File Secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong proses
normal untuk menginputkan data ke dalam program komputer. Jika hal ini terjadi, hasil yang
dituai adalah bencana.
Pencurian Data
Pencurian data merupakan salah satu masalah yang cukup serius dalam dunia bisnis hari ini.
Dalam industri dengan tingkat persaingan yang sangat tinggi, informasi kuantitatif dan kualitatif
terkait dengan salah seorang pesaing merupakan salah satu informasi yang cukup diburu.
Pengadilan sejak lama telah mengakui bahwa data yang tersimpan dalam komputer perusahaan
merupakan data pribadi yang tidak dapat digunakan tanpa izin dari perusahaan yang
bersangkutan. Lebih jauh, individu-individu dengan akses terhadap e-mail, dapat dengan mudah
menyalin informasi rahasia dan mengirim informasi tersebut ke luar perusahaan lewat internet.
Dengan menggunakan metode tersebut, penyusup dapat mencuri sejumlah besar informasi hanya
dalam hitungan menit.
Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat
lunak dapat menyebabkan kebangkrutan suatu perusahaan. Karyawan yang tidak puas,
khususnya yang telah dipecat, biasanya merupakan pelaku sabotase utama. Sabotase telah
menjadi isu besar dalam perdagangan web. Pada satu sisi, biaya tahunan yang dikeluarkan untuk
keamanan elektronik lebih dari $6 miliar. Pda sisi lain, keberhasilan hacker menyerang website
semakin meningkat. Bahkan perusahaan besar dengan sistem yang canggih pun harus menjadi
korban. Hampir setiap hari media keuangan secara terus menerus melaporkan kasus hacker yang
berhasil mengambil alih Website perusahaan.
Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan
sumber daya komputer organisasi untuk kepentingan pribadi. Luasnya permasalahan tersebut,
seperti tipe kejahatan komputer yang lain, tidak terlalu diketahui. Namun, sangat mungkin
masalah ini terjadi di banyak perusahaan.
E. Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian. Pembangunan lingkungan pengendalian yang bagus tergantung pada tujuh faktor yaitu:
1. Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang tinggi
dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Tidak peduli
seberapa canggih suatu sistem, pasti selalu ada cara untuk mengganggu keamanan sistem. Oleh
karena itu, garis pertahanan yang utama adalah suasanan kesadaran akan pentingnya keamanan.
Menciptakan suasana semacam ini dapat dilakukan dengan banyak cara.
Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuan pendidikan
keamanan adalah agar setiap karyawan memiliki kepedulian terhadap keamanan. Keamanan
harus diperlakukan dengan sangat serius. Semua pelanggaran harus mengakibatkan adanya rasa
bersalah dalam diri karyawan. Mereka yang memegang tanggung jawab harus memberikan
teladan yang baik.
Peraturan keamanan harus selalu dimonitor. Jika tidak, sistem akan mudah dilupakan.
Hubungan yang baik harus selalu dibina dengan seluruh karyawan. Moral yang rendah dapat
menyeb abkan tingginya probabilitas terjadinya kecurangan. Komunikasi yang baik dengan
karyawan dapat mengurangi masalah rendahnya moral.
2. Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya diorganisasi di
bawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan fungsi
pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputasi. Hal ini menimbulkan
banyak masalah dalam upaya membuat dan menjaga pola otoritas dan wewenang yang jelas.
Satu hal yang penting adalah, harus dibuat satu garis wewenang yang jelas untuk menentukan
siapa yang bertanggung jawab mengambil keputusan terkait dengan perangkat lunak akuntansi
dan prosedur akuntansi. Harus ada orang yang bertanggung jawab terhadap sistem keamanan
komputer.
3. Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui
pemilihan auditor internal. Idealnya, auditor internal seharusnya memiliki pengalaman yang baik
terkait dengan keamanan komputer dan bertindak sebagai chief computer security officer. Dalam
situasi apa pun, individu-individu tersebut harus melapor secara periodic kepada komite audit
mengenai semua fase sistem keamanan komputer.
4. Aktivitas Pengendalian Manajemen
Penting untuk membangun pengendalian terkait dengan penggunaan dan pertanggung jawaban
semua sumber daya sistem komputer dan informasi.
5. Fungsi Audit Internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi
kebutuhan yang terus berubah. Chief security officer harus membangun kebijakan keamanan
yang relevan dengan sistem yang ada saat ini dan relevan dengan perubahan sistem yang terjadi.
Semua modifikasi sistem, baik perangkat keras, perangkat lunak, atau personalia, harus
diimplementasikan sesuai dengan kebijakan keamanan yang telah dibuat.
6. Kebijakan dan Praktik Personalia
Pemisahan tugas, supervise yang memadai, rotasi pekerjaan, vakasi wajib, dan penge-cekan
ganda semua merupakan praktik personalia yang penting. Peraturan yang terpenting barangkali
adalah memisahkan pekerjaan pengguna komputer dan persona-lia sistem komputer.
7. Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hokum dan regulasi local, federal, dan Negara
bagian. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data, termasuk data
terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka, personalia dan
pemerintah. Hukum dan regulasi ini juga mengatur pengiriman informasi ke negara lain.
F. Keamanan Internet
Topik mengenai keamanan internet menuntut perhatian khusus karena koneksi perusahaan
dengan internet memberi peluang bagi perusahaan untuk menjadi sasaran setiap hacker yang ada
di dunia. Internet menciptakan jendela elektronik bagi dunia luar yang mengeliminasi semua
isolasi fisik sumber daya informasi perusahaan. Oleh karena itu, semua lapisan pemisahan fisik
yang terkait dengan pendekatan akses berlapis guna menciptakan keamanan sistem, tidak
sepenuhnya dapat mengamankan sistem informasi perusahaan. Kerentanan terkait dengan
internet dapat muncul akibat kelemahan-kelemahan berikut ini:
1. Kerentanan Sistem Operasi
Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya, setiap kelemahan di
dalam keamanan sistem operasi juga menjadi kelemahan keamanan web server. Untuk alasan
inilah administrator keamanan harus pertama dan terpenting mengamankan sistem operasi.
Masalahnya, tidak ada sistem operasi yang bebas dari serangan. Hacker selalu menemukan
kelemahan baru di dalam sistem operasi. Oleh karena itu, administrator harus secara konstan
memonitor bulletin keamanan yang dipublikasikan oleh vendor sistem operasi dan oleh jasa
advisory pihak ketiga. Sebagai contoh, Microsoft selalu memperbarui informasi keamanan untuk
Windows melalui webside perusahaan di www.microsoft.com/.
2. Kerentanan Web Server
Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu
memonitor buletin terkait dengan informasi dan pembaruan keamanan perihal konfigurasi web
server. Pengawasan informasi terkini semacam ini penting karena web server dan web browser
lebih sering mengalami pembaruan dibandingkan sistem operasi.
asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya perusahaan
yang tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.
hitungan jam setelah terjadinya suatu bencana. Disisi lain, perencanaan bisa saja
mengindikasikan aktivitas dan jasa lain yang harus dibangun dalam hitungan hari, minggu, atau
bulan setelah terjadinya suatu bencana.
Strategi dan Prosedur Pemulihan
Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perenca-naan
ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga, pada saat bencana
benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang harus
melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut harus dilaku-kan.
Pusat Respons Darurat
Pada saat terjadi bencana, semua wewenang pengolahan data dan operasi komputer dialihkan
kepada tim respons darurat, yang dipimpin oleh direktur operasi darurat. Individu-individu ini
memimpin jalannya perencanaan pemulihan dari pusat operasi darurat, sebuah tempat yang
memang ditetapkan sebelumnya.
Prosedur Eskalasi
Prosedur eskalasi menyatakan kondisi seperti ini apa yang mengharuskan perlunya pengumuman terjadinya bencana, siapa yang harus mengumumkan, dan siapa orang yang harus diberi
tahu tentang adanya bencana.
Rencana Relokasi Karyawan
Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya memindahkan
karyawan ke lokasi cadangan. Hal ini memerlukan perencanaan ynag hati-hati karena banyak
karyawan sulit dipindahkan dalam sementara waktu.
Rencana Penggantian Karyawan
Kemungkinan perusahaan kehilangan karyawan pada saat terjadinya bencana juga perlu
dipertimbangkan. Penggantian seorang karyawan dengan kemampuan yang tinggi merupakan
satu hal yang tidak mudah. Penggantian karyawan semacam ini memerlukan pelatihan yang
sangat ekstensif.
Perencanaan Penyelamatan
Dalam beberapa bencana, perusahaan masih dapat menyelamatkan peralatan dan catatan yang
berharga dari kerugian lebih lanjut, jika perusahaan dapat mengambil tindakan yang tepat secara
cepat. Sebagai contoh, sebuah bangunan yang kehilangan atap pada saat terjadi topan badai akan
menyebabkan bangunan tersebut menghadapi risiko kehujanan. Dalam situasi semacam ini,
kerugian dapat diminimalkan jika tindakan penyelamatan segera dilakukan.
Perencanaan Pengujian Sistem dan Pemeliharaan Sistem
Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat. Oleh karena itu, setiap
perencanaan pemulihan dari bencana mesti diuji setiap enam bulan sekali. Perencanaan yang
kadaluwarsa atau tidak teruji barangkali tidak dapat dijalankan pada saat bencana benar-benar
terjadi.
KESIMPULAN
Sistem keamanan sistem informasi merupakan subsistem organisasi yang berperan mengendalikan risiko khusus terkait dengan sistem informasi terkomputerisasi. Sistem keamanan
dikembangkan dengan menerapkan pendekatan siklus hidup tradisional, seperti analisis sistem,
desain sistem, implementasi sistem, serta operasi, evaluasi, dan pengendalian sistem.
Ada dua pendekatan utama untuk menganalisis kerentanan dan ancaman sistem dalam
perencanaan keaman komputer. Dalam pendekatan kuantitatif untuk menaksir risiko, seperti
eksposur kerugian dihitung dengan mengalikan biaya kerugian setiap item eksposur dengan
probabilitas terjadinya eksposur tersebut. Pendekatan kualitatif guna menaksir risiko mendaftar
dan meranking (secara subjektif) tingkat kerentanan dan ancaman sistem, dengan tujuan untuk
menentukan kontribusi item eksposur terhadap kerugian perusahaan secara total.
Kerentanan adalah suatu kelemahan dan sistem komputer, dan ancaman adalah potensi
eksploitasi suatu kerentanan. Berbagai hukum, regulasi, dan publikasi mengarah kepada masalah
kejahatan komputer. Keberhasilan serangan terhadap suatu sistem komputer mensyaratkan akses
ke perangkat keras, file data yang sensitive, atau program-program yang penting. Setiap orang
yang punya akses keperalatan data komputer atau file tanpa otorisasi legal, adalah penyusup. Ada
berbagai jenis penyusup, seperti: unnoticed intruder, impersonating intruder, wiretapper,
piggybacker, dan eavesdropper. Paling tidak ada enam cara untuk melakukan kejahatan
komputer, yaitu manipulasi input, pengubahan program, pengubahan file secara langsung,
pencurian data, sabotase, dan penyalagunaan atau pencurian sumber daya komputer.
Sabotase merupakan satu hal yang sangat berbahaya bagi setiap instalasi sistem. Ada banyak
cara untuk merusak instalasi. Program komputer dapat digunakan untuk menjalankan sabotase.
Masalah yang potensial adalah bom logika, kuda Troya, program virus, dan worm. Pengendalian
ancaman dapat dilakukan dengan mengimplementasikan ukuran-ukuran keamanan dan perencanaan kontingensi. Ukuran keamanan fokus pada pencegahan dan pendeteksian ancaman.
Perencanaan kontingensi fokus pada perbaikan kerusakan sebagai dampak terjadinya suatu
ancaman. Lingkungan pengendalian organisasi merupakan dasar keefektifan seluruh sistem
pengendalian.
Cara utama yang dapat ditempuh untuk mencegah terjadinya kecurangan dan sabotase adalah
dengan menerapkan pengendalian akses berlapis.
Pengelolaan risiko bencana mencakup pencegahan dan perencanaan kontingensi. Pencegahan
bencana merupakan langkah pertama pengelolaan risiko bencana. Rencana pemulihan dari
bencana harus diimplementasikan pada level tertinggi di dalam perusahaan. Rencana tersebut
disetujui oleh komite dewan direksi sebagai bagian dari perencanaan keamanan komputer secara
umum.
DAFTAR PUSTAKA
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi, Edisi 9, ANDI
Yogyakarta, 2006
Diposkan oleh handy watung di 20.28
Kirimkan Ini lewat EmailBlogThis!Berbagi ke TwitterBerbagi ke FacebookBagikan ke Pinterest
2 komentar:
1.
Rizky Amalia16 Maret 2016 07.21
Komentar ini telah dihapus oleh pengarang.
Balas
2.
Rizky Amalia16 Maret 2016 07.23
thank you soOo much :) maaaakaaasiiihhh,, membantu banget :)
Balas
Muat yang lain...
Posting Lama Beranda
Langganan: Poskan Komentar (Atom)
Popular Posts
SLIDE1
Popular Posts
header-menu
Beranda
Mengenai Saya
handy watung
Lihat profil lengkapku
Blogger templates
Blogroll
Blogger news
Template Awesome Inc.. Diberdayakan oleh Blogger.
Let's Safety Riding !
tips dan trik safety riding, otomotif keren dan aman, pengalaman seputar safety riding, event dan
kejadian tentang safety riding.
Keamanan Sistem E-Commerce | Download Materi Kuliah Teknik Informatika/Ilmu
Komputer
>> Sabtu, 06 November 2010
A. TUJUAN DASAR KEAMANAN
Keamanan adalah sebuah upaya yang dilakukan untuk meminimalisir sebuah
kerusakan yang terjadi pada sebuah sistem. Keamanan juga di buat untuk
membentengi semua gangguan yang di buat secara sengaja maupan tidak
sengaja. Keamanan dalam sistem informasi bisa diartikan sebagai suatu
perlindungan untuk membetengi sebuah sistem. Dan menghindarkan system
itu dari spyware maupun virus virus dan juga pengrusakan oleh hacker
maupun cracker. Tujuan dasar keamanan pada E-coomerce sendiri maupun
dalam internet dan Sistem Informasi menurut kami dapat kami rangkum,
menjadi beberapa poin :
Dari tujuan dasar itu dapat kami jabarkan bahwa disaat kita mengirim info penting
antar personal dalam urusan bisnis maupun untuk client, kita mendapat jaminan
bahwa info itu tidak dapat dibuka pihak lain. Hal tersebut sangatlah penting
mengingat dalam dunia bisnis kita sering saling menjatuhkan satu sama lain.
Keamanan dalam E- commerce juga harus mampu memberikan jaminan data
ataupun info yang kita kirim tidak terjadi penduplikatan sehingga penerima
bisa menerima data tersebut sesuai aslinya. Selain tersebut di atas juga kita
dapat diberikan jaminan bahwa hanya kita sang pemilik lah yang bisa mengakses
yang kita miliki dan juga jaminan kepastian sumber info kita tidak di akses orang
yang tidak berhak kecuali kita membukanya secara free.
62
internet-intranet
63
internet-intranet
64
internet-intranet
65
internet-intranet
Safeguard
Beberapa tindakan yang dilakukan safeguard yaitu:
- Mencegah munculnya ancaman sebelum benar-benar terealisasi
- Meminimalisasikan kemungkinan terjadinya ancaman tersebut.
- Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi.
66
internet-intranet
Confidentiality (kerahasiaan)
Tiga hal diatas adalah komponen yang biasanya rentan terhadap threats (ancaman)
sehingga perlu adanya sebuah system pencegahan yang harus dilakukan
agar terlindungi dari ancaman pihak pihak lain yang dapat merugikan.
Safeguards (Pengamanan) meliputi control fisik, mekanisme, kebijaksanaan dan
prosedur
yang melindungi informasi berharga dari ancaman-ancaman yang mungkin
timbul setiap saat. Diantaranya adalah :
o Vulnerabilities (Lubang-lubang kemaan yang bisa ditembus). Ini
diakibatkan system keamanan situs yang lemah sehingga pihak pihak dari luar
dapat dengan mudah menyusup dalam situs dan dapat saja melakukan kegiatan
kegiatan yang merugikan.
o Risk (Resiko kerugian) merupakan perkiraan nilai kerugian yang ditimbulkan
oleh kemungkinan adanya attack yang sukses. Ini termasuk dalam sistem
67
internet-intranet
68
internet-intranet
pihak lainnya.
1. Keamanan Komunikasi
2. Keamanan Komputer
3. Keamanan secara fisik
4. Keamanan personal
5. Keamanan administrasi
6. Keamanan media yang digunakan
69
internet-intranet
Keamanan Komunikasi
Perlindungan terhadap informasi ketika dikirim dari sebuah sistem ke sistem lain.
Sistem keamanan ini mencegah terjadinya kebocoran informasi dan data kepada
pihak lain yang tidak bersangkutan yang bisa saja disalah gunakan.
Keamanan Komputer
Perlindungan terhadap sistem informasi komputer. Dengan menerapkan sistem
pengaman komputer sebagai contoh adalah penggunaan applikasi anti virus untuk
lebih mengamankan data data yang tersimpan dalam konputer dari ancaman
yang mungkin datang.
Keamanan secara fisik
Satpam, pintu terkunci, sistem kontrol. Untuk keamanan ini tidak dipakai dalam
sistem e- commerce.
Keamanan personal
Kepribadian operator (org2 yg mengoperasikan sistem). Hal ini perlu juga
diwaspadai, karena kadang kadang dalam pikiran seseorang dapat saja
muncul pikiran yang tidak baik. Itu karena lemahnya keimanan seseorang. Bisa
juga diakibatkan oleh ketledoran dan ketidak telitian operator yang bisa saja
menimbulkan sebuah kesalahan dalam sebuah sistem yang berakibat pada
kerugian.
Keamanan administrasi
Pencatatan kejadian pada H/W atau S/W. Keamanan dalam hal ini sanagat
tergantung sekali dengan operator. Jadi untuk seorang yang bertugas dalam
bidang administrasi haruslah mempunyai konsentrasi yang tinggi, ketelitian,
ketepatan dan daya ingat yang bagus. Yaitu agar data yang akan dilaporkan atau
dicatat tidak keliru / menyimpang.
Keamanan media yang digunakan
Harddisk, dan jaminan data tidak hilang. Tidak hanya harddisk tetapi juga
semua sistem yang ada atau yang akan digunakan sebagai media harus
mempunyai spesifikasi yang cukup agar memudahkan dalam pengoprasian sistem
kerja.
70
internet-intranet
Perlindungan
Perlindungan yang dilakukan pada keamanan komunikasi dan Komputer.
1. Authentication service
3. Confidentiality Service
Memproteksi informasi yang kira-kira menjadi incaran akan disingkap oleh orang
lain
71
internet-intranet
D. FIREWALL
Kami dapat mendeskripsikan bahwa firewall merupakan suatu
cara/sistem/mekanisme yang diterapkan baik terhadap hardware , software ataupun
sistem
itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring,
membatasi atau
bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan
pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya.
Segmen tersebut dapat merupakan sebuah workstation, server, router, atau local
area network (LAN) anda.
Firewall digunakan atau diperuntukan yaitu untuk computer dan jaringan.
Komputer
KARAKTERISTIK FIREWALL
1.Seluruh hubungan/kegiatan dari dalam ke luar , harus melewati firewall.
Hal ini dapat dilakukan dengan cara memblok/membatasi baik secara fisik semua
akses terhadap jaringan Lokal, kecuali melewati firewall. Banyak sekali bentuk
jaringan yang memungkinkan.
72
internet-intranet
luar. Akan lebih mudah apabila kita memfokuskan sistem keamanan kita pada satu
titik daripada menyebarkan beberapa teknologi keamanan jaringan pada satu
wilayah kita sekaligus.
Merupakan perwujudan dari kebijakan sistem keamanan suatu jaringan.
Misalnya kita hanya memperbolehkan akses file transfer (FTP Service) dari
internet ke salah satu server kita, maka firewall bisa menjadi watchdog
(anjing penjaga) yang akan melarang atau menolak semua trafik dari
internet ke site kita kecuali untuk file transfer saja.
Mencatat trafik secara efisien. Karena semua trafik baik ke luar maupun
ke dalam pasti melalui firewall, maka firewall akan menyediakan suatu
tempat dan layanan untuk menyimpan aktivitas trafik serta memberikan report
yang berguna bagi kita.
Membatasi akses antar komputer di intranet kita. Terkadang, firewall
menjadi
pemisah antar bagian dari jaringan intranet kita. Misalnya, di suatu
perusahaan ada dua jaringan yaitu jaringan untuk bagian keuangan dan bagian
teknik. Dalam hal ini firewall akan menjadi pemisah antara kedua jaringan
tersebut. Dengan begitu kebijakan keamanan jaringan adalah
membatasi akses untuk masing-masing departemen.
Selain hal-hal yang bisa dilakukan oleh firewall, maka ada juga hal-hal yang tidak
dapat
dilakukan oleh firewall, yaitu:
73
internet-intranet
sekali.
Melindungi suatu site dari suatu koneksi yang tidak melewati firewall.
Misalnya
topologi jaringan kita hanya menerapkan firewall untuk koneksi yang ke
internet saja, padahal masih ada koneksi kita yang terhubung ke tempat lain tanpa
melalui firewall. Maka dalam hal ini firewall tidak bisa melindunginya.
Tidak dapat melindungi dari suatu serangan yang dilakukan dengan cara baru
dan
kompleks yang tidak dapat dikenali oleh firewall. contoh kasusnya adalah:
suatu serangan dengan teknik DOS (Denial of Service) dapat ditahan karena
sudah dikenal oleh firewall. Namun dalam seiring kemajuan teknologi, serangan
dengan teknik ini berkembang menjadi teknik DDOS (Distributed Denial of
Service). Penyerang melakukan penyerangan ke suatu site dengan
menggunakan "jasa" site lain yang sudah dikuasainya. Misalnya, score keeper
akan menyerang site kita secara bersamaan dari beberapa site yang sudah
menjadi korbannya terlebih dahulu. Firewall tidak dapat menahan serangan
dengan teknik DDOS apabila tidak dilakukan upgrade terlebih dahulu.
Melindungi sistem dari virus. Firewall sangat sulit untuk melindungi sistem
dari serangan virus karena firewall sangat sulit untuk melakukan hal-hal sebagai
berikut:
o Mengenali bahwa paket data yang lewat merupakan bagian dari suatu
program aplikasi.
o Menetapkan bahwa paket data yang lewat adalah suatu karakteristik dari
suatu virus.
74
internet-intranet
Menganalisa suatu perubahan pada paket data yang lewat adalah akibat dari
suatu virus.
Tantangan E-Commerce
75
internet-intranet
2. Pengembangan swadaya
3. Memanfaatkan Open Source Software khususnya untuk e-commerce
4. Zen Cart (www.zen-cart.com),
5. phpshop (www.phpshop.org)
6. Virtue Mart ,Komponen Joomla. (www.virtuemart.net)
7. Dan masih banyak lagi
Hambatan E-Commerce
Hambatan E-Commerce diantara lain :
1. Internet bust! Hancurnya bisnis Internet
2. Infrastruktur telekomunikasi yang masih terbatas dan mahal
3. Delivery channel
4. Kultur dan Kepercayaan (trust)
5. Munculnya jenis kejahatan baru
76
internet-intranet
Internet Bust!
Maksudnya banyaknya masyarakat Indonesia yang berpikiran bahwa E-Commerce
merupakan bisnis yang cepat mendatangkan uang tanpa mengerti tentang
konsep dasar tentang E-Commerce itu sendiri, sehingga menyebabkan
hancurnya bisnis Internet di Indonesia. Hal ini juga dipengaruhi oleh banyak
model bisnis yang belum terbukti namun ramai-ramai diluncurkan. Akhirnya
hancur dengan matinya banyak perusahaan dotcom. Hal ini menyebabkan
sebagian orang yang pernah merasa gagal dalam berbisnis E- Commerce
lebih berhati-hati dalam menjalankan bisnis itu lagi, selain itu mereka juga
mencari peluang lain untuk membuat model bisnis baru yang lebih menguntungkan
lagi.
Infrastruktur Telekomunikasi
Infrastruktur Telekomunikasi di Indonesia masih terbatas dan harganya masih relatif
lebih mahal, padahal e-commerce bergantung kepada infrastruktur
telekomunikasi, ditambah pula kawasan Indonesia yang sangat luas sehingga
mempersulit pengadaan infrastruktur telekomunikasi karena mebutuhkan biaya
yang amat banyak.
Delivery Channel
Banyak konsumen yang ditakutkan hilangnya barang mereka di jalan, hal ini
dikarenakan tindak kriminal Indonesia masih tinggi., atau adanya masalah dalam
ketepatan waktu dalam pengiriman barang karena masalah jarak yang dituju.
77
internet-intranet
Perkembangan E-Commerce
Perkembangan e-commerce di Indonesia sendiri telah ada sejak tahun 1996,
dengan berdirinya Dyviacom Intrabumi atau D-Net (www.dnet.net.id) sebagai
perintis transaksi online. Wahana transaksi berupa mal online yang disebut D-Mall
(diakses lewat D-Net) ini telah menampung sekitar 33 toko online/merchant. Produk
yang dijual bermacam-macam, mulai dari makanan, aksesori, pakaian, produk
perkantoran sampai furniture. Selain itu, berdiri pula http://www.ecommerce-
78
internet-intranet
79
internet-intranet
Latihan Soal.
1. Apa konsep dasar dari sistem keamanan e-commerce !
Tag :
Download Materi Kuliah Teknik Informatika, Teknik Informatika/Ilmu Komputer,
Otomata dan Pengantar Kompilasi , E-Commerce, Internet, E-Commerce, Keamanan
Sistem E-Commerce
Poskan Komentar
Link ke posting ini
Parameter Blog
Rate My Blog
Safety Riding
Recent Post
Fren-List Banner
Web Directory
Search Engine Submission - AddMe Safety Blogcatalog Free web directory Free RSS
Feeds Directory Web Directory for Free! This site is listed under Drivers Directory
seo tool LINK ADD URL Seo Friendly Web Directory Free web directory Directory
Storm Directory Dmegs Web Directory
Fren-List Link
Amalia-Amel Aryes-Novianto Atif-Romeo BlogSaiin Budaya Download PCMAV go blog
go ilmuGRAFIS Iklan baris gratis tanpa daftar ~..lovtoshr..~ lawlet-anime moevils
Summer Lock Download Materi Kuliah
Home
About
RSS
manlukman
Just another WordPress.com site
Hey there! Thanks for dropping by manlukman! Take a look around and grab the RSS feed to
stay updated. See you around!
Uncategorized
Kerahasiaan memastikan bahwa informasi dapat diakses hanya untuk mereka yang authorised
untuk mempunyai akses.
Integritas melindungi kelengkapan dan ketelitian informasi dan memproses metoda.
Ketersediaan memastikan bahwa para pemakai authorised mempunyai akses ke informasi dan
berhubungan dengan asset ketika diperlukan.
Dalam mencapai keamanan informasi ini, satu perangkat kendali, bisa digunakan menjadi suatu
kebijakan, struktur organisasi, atau perangkat lunak yang berfungsi sebagai prosedur untuk
diterapkan. Perangkat kendali ini harus dapat memastikan sasaran hasil keamanan secara spesifik
bagi kita dan pelanggan pada umumnya.
Salah satu contoh hasil survey yang dilakukan oleh ISBS, yang menunjukkan mengapa format
informasi apapun penting bagi bisnis suatu perusahaan, dan persepsi perusahaan terhadap resiko
yang mungkin melanggar keamanannya.
Menurut Survei Pelanggaran Keamanan Informasi ( ISBS), yang dilakukan terhadap beberapa
organisasi / perusahaan . Salah satu penemuan yang paling mengejutkan dalam ISBS 2000
adalah bahwa :
31%, organisasi yang diwawancarai , mereka tidak memiliki informasi apapun yang mereka
pertimbangkan untuk menjadi kritis dan sensitive secara alamiah bagi bisnis mereka ,
58%, organisasi yang diwawancarai, keamanan informasi dipertimbangkan untuk suatu
permasalahan bisnis penting, hanya satu dari tujuh telah melakukan suatu kebijakan yang
menggambarkan sistem manajemen keamanan informasi mereka.
Uraian pelanggaran keamanan ini menunjukkan sebagian besar usaha keamanan informasi
adalah dipusatkan pada ancaman eksternal, ancaman yang utama datang dari dalam organisasi.
Kesalahan Operator dan kegagalan tenaga manusia adalah dua sumber pelanggaran keamanan
paling besar. Virus memperoleh 16% tentang peristiwa keamanan, sedang akses yang
unauthorised eksternal memperoleh 2%.
Demikian juga survey dilakukan ISBS terhadap 1000 orang manajer sebagai penanggung jawab
keamanan informasi organisasinya. Ini adalah penemuan kunci Keamanan Informasi Survei
Pelanggaran 2000:
Pada Part 3.1 Kode Praktek mengatakan bahwa Manajemen perlu menetapkan suatu arah
kebijakan yang jelas dan menunjukkan dukungan terhadap keamanan informasi melalui isu dan
pemeliharaan dari suatu kebijakan keamanan informasi terhadap organisasi.
Tujuan ISO 17799 adalah untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset
informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. Jaminan dicapai
melalui Kontrol / pengendalian bahwa manajemen diciptakan dan dipelihara di dalam organisasi.
Untuk menjalankannya, ISO 17799 menggambarkan suatu proses atas penyelesaian dengan
menyediakan basis untuk keseluruhan Sistem Manajemen Keamanan Informasi (ISMS).
Faktor pokok dari proses ini adalah sebagai berikut:
Gambarkan suatu kebijakan keamanan
Gambarkan lingkup ISMS
Lakukan suatu penilaian resiko
Atur resiko itu
Pilih sasaran hasil kendali dan mengendalikan untuk diterapkan
Siapkan suatu statemen yang dapat dipakai (applicabilas).
Dan dibawah ini adalah flowchart dari ISMS :
Derajat tingkat jaminan keamanan diperlukan untuk dicapai melalui suatu pengendalian bahwa
manajemen menciptakan dan memelihara organisasi. Pengaturan ke sepuluh kontrol / kendali
yang ada pada ISO 17799 digunakan untuk mengimplementasikan suatu program keamanan
informasiyang sukses, yaitu dengan:
Security Organisation
Personnel Security
Keamanan Personil Staff harus dilatih, relevan dengan area yang mendukung kebijakan
keamanan ( mengidentifikasi pelanggaran atas kebijakan, staff vetting, persetujuan kerahasiaan
dan tanggung-jawab individu untuk tugas spesifik).
Cek Keamanan dapat dilaksanakan pada suatu basis reguler, dengan semua orang di dalam
organisasi itu.
Phisik dan Keamanan Lingkungan Safe-Keeping informasi, di semua lingkungan di mana itu
digunakan atau disimpan, harus dikendalikan dan dimonitor. Keuntungannya :Resiko informasi
gagal / kehilangan melalui pencurian, banjir dan lain lain adalah merupakan minimised.
Komputer Dan Keamanan Jaringan Prosedur yang didokumentasikan harus menunjukkan yang
sekarang dan informasi baru, aman dari kerugian, atau penyingkapan.
Keuntunggannya : Suatu program acara keamanan berkesinambungan pada tempatnya untuk
melindungi informasi elektronik
Kendali Akses Sistem.Penekanan tertentu ditempatkan pada operasi sistem yang in-house dan
rata-rata dengan masukan untuk system yang diperoleh. Keuntunggannya : Akses Unauthorised
ke informasi dapat dikendalikan.
Pengembangan Sistem dan Pemeliharaan Semua sistem baru harus diuji dan dikendalikan dari
lingkungan. Keuntungannya : Pintu belakang mengakses ke informasi sekarang via suatu
sistem baru harus dicegah.
Perencanaan Kesinambungan Bisnis harus disiapkan dan yang dibaharui untuk menilai orang
agar dapat dipercaya setia di dalam sekarang dan lingkungan kerja yang ditinjau kembali.
Keuntungannya : Kesadaran dari semua resiko keamanan potensial dapat dikendalikan dan
dicapai.
Compliance
Pemenuhan Kebijakan Keamanan harus teraudit untuk memastikan bahwa itu mematuhi
peraturan dan kebutuhan. Keuntunggannya : Undang-undang. Resiko penuntutan untuk yang
tidak memenuhi adalah minimised.
(Source http://www.nqa.com)
Maka bagi Perusahaan yang sudah mengembang;kan suatu Sistem Manajemen Keamanan
Informasi ( ISMS) dapat menyesuaikan diri dengan ISO 17799 dan menunjukkan suatu
komitmen keamanan informasi. Sertifikasi ini akan memberi kunci keuntungan organisasi /
perusahaan atas pesaing dengan menyediakan kredibilitas tambahan tidak ternilai. Ini
memungkinkan suatu organisasi untuk membuat suatu statemen publik kemampuan dan akan
juga memberi organisasi itu kepercayaan di dalam integritas dan keamanan tentang sistem
kepunyaan dan prosesnya sebagai yang terukur .
Adapun manfaat proses keamanan informasi dalam Standard ISO 17799 bagi perusahaan
adalah sebagai berikut:
Suatu metodologi tersusun yang dikenali
Proses yang digambarkan untuk mengevaluasi, menerapkan, memelihara, dan mengatur
keamanan informasi
Satu set kebijakan dikhususkan, standard, prosedur, dan petunjuk
Sertifikasi mengijinkan organisasi untuk mempertunjukkan status keamanan informasi mereka
sendiri
Menunjukkan Sertifikasi Penelitian
Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk mengukur, mengatur dan
mengendalikan informasi yang penting kepada operasi system mereka. Pada gilirannya ini dapat
mendorong kearah kepercayaan pelanggan, yang lebih efisien dan
sistem internal efektif serta suatu tanda kelihatan dari kesanggupan suatu organisasi .
c. Sertifikasi ISMS
Sertifikasi Pihak ketiga menawarkan suatu pandangan yang tidak memihak dari sistem keamanan
perusahaan, Hal ini memudahkan dalam melakukan usaha / bisnis; tentunya akan mendorong
dan memungkinkan organisasi untuk masuk ke hubungan uasaha / bisnis , dengan
mempromosikan memungut manajemen keamanan informasi sesuai ke bidang uasaha / bisnis
demi kepentingan bisnis global secara keseluruhan.
Sertifikasi dari ISMS seluruhnya sifatnya sukarela/fakultatif. Organisasi yang mana dengan
sukses melengkapi sertifikasi proses itu, mempunyai kepercayaan lebih besar di dalam
manajemen keamanan informasi mereka dan akan mampu menggunakan sertifikat itu untuk
membantu, meyakinkan bisnis bersekutu dengan siapa yang mereka berbagi informasi. Sertifikat
membuat suatu statemen kemampuan publik, dan mengijinkan organisasi untuk
menyimpan/pelihara secara detil tentang sistem keamanan rahasianya .
Related
Konsep Sistem Informasi Manajemen
MANAJEMEN SISTEM INFORMASI PENDIDIKAN
Tugas Sistem Informasi Manajemen
Comments RSS feed
Leave a Reply
Recent entries
o Tugas Sistem Informasi Manajemen
o Sistem Informasi Manajemen Sekolah E-School
o SISTEM MANAJEMEN KEAMANAN INFORMASI
o Sistem Informasi Manajemen pada Perusahaan
o MANAJEMEN SISTEM INFORMASI PENDIDIKAN
o Sistem Informasi Manajemen II
o Peranan Teknologi Informasi di Bidang Manajemen/Bisnis dan Perbankan
o Struktur Sistem Informasi Manajemen
o Konsep Sistem Informasi Manajemen
o Sistem Informasi Manajeman (SIM)
o Learn WordPress.com
o WordPress Planet
o WordPress.com News
Pages
o About
Monthly archives
o March 2011
Create a free website or blog at WordPress.com. | The Motion Theme.
[ Back to top ]
Follow
Follow manlukman
Get every new post delivered to your Inbox.
Build a website with WordPress.com
LAISA NURIN
d. Dokumentasi dan
e. Supplies
2. Aset Logika
a. Data / Informasi dan
b. Sofware (Sistem dan Aplikasi)
Adjust Control
2. Aset Logika
a. Data / Informasi dan
b. Sofware (Sistem dan Aplikasi)
Adjust Control
Aset Sistem Informasi harus dilindungi melalui sistem keamanan yang baik. Sebut dan jelaskan
langkah-langkah utama pelaksanaan program keamanan tsb ?
Aset Sistem Informasi yang harus di lindungi melalui sistem keamanan dapat diklasifikasikan
menjadi 2 yaitu (lihat gambar 6.1) :
1. Aset Fisik, meliputi :
a. Personnel
b. Hardware (termasuk media penyimpanan, dan periperalnya)
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika
a. Data / Informasi dan
b. Sofware (Sistem dan Aplikasi)
Adjust Control
Aset Sistem Informasi harus dilindungi melalui sistem keamanan yang baik. Sebut dan jelaskan
langkah-langkah utama pelaksanaan program keamanan tsb ?
Aset Sistem Informasi yang harus di lindungi melalui sistem keamanan dapat diklasifikasikan
menjadi 2 yaitu (lihat gambar 6.1) :
1. Aset Fisik, meliputi :
a. Personnel
b. Hardware (termasuk media penyimpanan, dan periperalnya)
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika
a. Data / Informasi dan
b. Sofware (Sistem dan Aplikasi)
Adjust Control
Follow Us on Twitter!
"Join Us on Facebook!
RSS
Contact
Blog search
UNIVERSITAS GUNADARMA
Translate
Select Language
news studentsite
Gunadarma BAAK News
Popular Posts
KONFLIK ORGANISASI
Konflik adalah suatu proses antara dua orang atau lebih dimana salah satu pihak berusaha
menyingkirkan pihak lain dengan cara menghancurka...
KEPEMIMPINAN (LEADERSHIP)
1.
Umum Kepemimpinan (leadership) adalah kemampuan seseorang (yaitu
pemimpin) untuk mempengaruhi orang lain (yaitu yang dipimpin atau...
INFLASI
Nama
: Laisa Nurin Mentari Npm
: 13110955 Kelas
MAKALAH INFLASI BAB I. PENDAHUL...
: 2ka04
Cara Untuk mengamankan Suatu Sistem Informasi Sudah Terlindungi Dengan Baik
Soal Pretest Untuk mengamankan suatu Sistem Informasi menurut anda apa saja yang
perlu dilindungi? Cara untuk mengontrol bahwa sistem...
Labels
SI-Perbankan (1)
SI-SDM (2)
Popular Posts
KONFLIK ORGANISASI
Konflik adalah suatu proses antara dua orang atau lebih dimana salah satu pihak berusaha
menyingkirkan pihak lain dengan cara menghancurka...
KEPEMIMPINAN (LEADERSHIP)
1.
Umum Kepemimpinan (leadership) adalah kemampuan seseorang (yaitu
pemimpin) untuk mempengaruhi orang lain (yaitu yang dipimpin atau...
INFLASI
Nama
: Laisa Nurin Mentari Npm
: 13110955 Kelas
MAKALAH INFLASI BAB I. PENDAHUL...
Total Pageviews
172543
Pages
Beranda
Link
http://bapsi.gunadarma.ac.id
http://career.gunadarma.ac.id
http://community.gunadarma.ac.id
http://ejournal.gunadarma.ac.id
http://elearning.gunadarma.ac.id
http://helpdesk.gunadarma.ac.id
http://ilab.gunadarma.ac.id
http://lepkom.gunadarma.ac.id
http://library.gunadarma.ac.id
http://mediacenter.gunadarma.ac.id
http://nustaffsite.gunadarma.ac.id
http://ocw.gunadarma.ac.id
: 2ka04
http://repository.gunadarma.ac.id
http://seminar.gunadarma.ac.id
http://staffsite.gunadarma.ac.id
http://ugpedia.gunadarma.ac.id
http://vclass.gunadarma.ac.id
http://wartawarga.gunadarma.ac.id
Blog archive
2014 (29)
2013 (57)
o November (7)
o Juli (15)
o Mei (22)
o Maret (3)
o Februari (10)
2012 (25)
2011 (15)
2010 (2)
Latest Tweets
...searching twitter...
Theme by Site5.
Experts in Web Hosting.
Copyright 2011 Diary/Notebook Theme by Site5.com. All Rights Reserved. by TNB
;
LAISA NURIN
I Am Strong Because I Know My Weaknesses I Am Beautiful Because I Am Aware Of My Flaws
I Am Fearless Because I Learnt To Recognise I Am Wish Because I Learn From My Mistakes I
Can Laugh Because I Have Known Sadness
Adjust Control
9. Governmnets
10. Environmentalist (Harassment (gangguan), unfavorable publicity)
11. Criminals/hackers (theft, sabotage, espionage, extortion)
Sumber ancaman Internal :
1. Management, contoh kesalahan dalam penyediaan sumber daya, perencanaan dan control yang
tidak cukup.
2. Employee, contoh Errors, Theft (pencurian), Fraud (penipuan), sabotase, extortion
(pemerasan), improper use of service (penggunaan layanan yg tidak sah)
3. Unreliable system, contoh Kesalahan H/W, kesalahan S/W, kesalahan fasilitas.
Penilaian Kemungkinan Ancaman (Threats LikeIihood Assessment)
Contoh, perusahaan asuransi dapat menyediakan informasi tentang kemungkinan terjadinya
kebakaran api dalam satu waktu periode tertentu.
Analisis Ekspose (Exposures analysis)
Tahap analisis ekspose terdiri dari 4 tugas yaitu :
1. Identification of the controls in place
2. Assessment of the reliability of the controls in place
3. Evaluation of the likelihood that a threat incident will be successful
4. Assess the resulting loss if the threat is successful
Lihat gbr. 6.5. Tugas utama tahap analisis ekspose dan gbr.5.6. Ancaman, keandalan kontrol,
cakupan control, dan ekspose.
Adjust Control
Aset Sistem Informasi harus dilindungi melalui sistem keamanan yang baik. Sebut dan jelaskan
langkah-langkah utama pelaksanaan program keamanan tsb ?
Aset Sistem Informasi yang harus di lindungi melalui sistem keamanan dapat diklasifikasikan
menjadi 2 yaitu (lihat gambar 6.1) :
1. Aset Fisik, meliputi :
a. Personnel
b. Hardware (termasuk media penyimpanan, dan periperalnya)
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika
a. Data / Informasi dan
b. Sofware (Sistem dan Aplikasi)
Adjust Control
Aset Sistem Informasi harus dilindungi melalui sistem keamanan yang baik. Sebut dan jelaskan
langkah-langkah utama pelaksanaan program keamanan tsb ?
Aset Sistem Informasi yang harus di lindungi melalui sistem keamanan dapat diklasifikasikan
menjadi 2 yaitu (lihat gambar 6.1) :
1. Aset Fisik, meliputi :
a. Personnel
b. Hardware (termasuk media penyimpanan, dan periperalnya)
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika
a. Data / Informasi dan
b. Sofware (Sistem dan Aplikasi)
Adjust Control
Follow Us on Twitter!
"Join Us on Facebook!
RSS
Contact
Blog search
UNIVERSITAS GUNADARMA
Translate
Select Language
news studentsite
Gunadarma BAAK News
Popular Posts
KONFLIK ORGANISASI
Konflik adalah suatu proses antara dua orang atau lebih dimana salah satu pihak berusaha
menyingkirkan pihak lain dengan cara menghancurka...
KEPEMIMPINAN (LEADERSHIP)
1.
Umum Kepemimpinan (leadership) adalah kemampuan seseorang (yaitu
pemimpin) untuk mempengaruhi orang lain (yaitu yang dipimpin atau...
INFLASI
Nama
: Laisa Nurin Mentari Npm
: 13110955 Kelas
MAKALAH INFLASI BAB I. PENDAHUL...
: 2ka04
Cara Untuk mengamankan Suatu Sistem Informasi Sudah Terlindungi Dengan Baik
Soal Pretest Untuk mengamankan suatu Sistem Informasi menurut anda apa saja yang
perlu dilindungi? Cara untuk mengontrol bahwa sistem...
Labels
SI-Perbankan (1)
SI-SDM (2)
Popular Posts
KONFLIK ORGANISASI
Konflik adalah suatu proses antara dua orang atau lebih dimana salah satu pihak berusaha
menyingkirkan pihak lain dengan cara menghancurka...
KEPEMIMPINAN (LEADERSHIP)
1.
Umum Kepemimpinan (leadership) adalah kemampuan seseorang (yaitu
pemimpin) untuk mempengaruhi orang lain (yaitu yang dipimpin atau...
INFLASI
Nama
: Laisa Nurin Mentari Npm
: 13110955 Kelas
MAKALAH INFLASI BAB I. PENDAHUL...
Total Pageviews
172543
Pages
Beranda
Link
http://bapsi.gunadarma.ac.id
http://career.gunadarma.ac.id
http://community.gunadarma.ac.id
http://ejournal.gunadarma.ac.id
http://elearning.gunadarma.ac.id
http://helpdesk.gunadarma.ac.id
http://ilab.gunadarma.ac.id
http://lepkom.gunadarma.ac.id
http://library.gunadarma.ac.id
http://mediacenter.gunadarma.ac.id
http://nustaffsite.gunadarma.ac.id
http://ocw.gunadarma.ac.id
: 2ka04
http://repository.gunadarma.ac.id
http://seminar.gunadarma.ac.id
http://staffsite.gunadarma.ac.id
http://ugpedia.gunadarma.ac.id
http://vclass.gunadarma.ac.id
http://wartawarga.gunadarma.ac.id
Blog archive
2014 (29)
2013 (57)
o November (7)
o Juli (15)
o Mei (22)
o Maret (3)
o Februari (10)
2012 (25)
2011 (15)
2010 (2)
Latest Tweets
...searching twitter...
Theme by Site5.
Experts in Web Hosting.
Copyright 2011 Diary/Notebook Theme by Site5.com. All Rights Reserved. by TNB
; Beranda
SPAS
MIVO TV
Download MP3
Sudut Teknologi
B.ENGLISH
Cerita Rakyat
Download Mp3
Ilmu Komputer
Kesehatan
Lain-Lain
manajement
MATEMATIKA
my lirik
perusahaan dari berbagai ancaman. Aset-aset yang dapat dimaksud ke dalam sistem informasi
dapat kategorikan sebagai berikut:
Personel
Hardware
Software aplikasi
Sistem software
Data
Fasilitas
Penunjang
Misalnya Tapes, CD, DVD, disk pack, kertas, tinta printer atau pita.
Ancaman Terhadap Perusahaan
Ancamah adalah suatu aksi atau kejadian yang dapat merugikan perusahaan yang
mengakibatkan kerugian bias berupa uang /biaya, tenaga upaya, kemungkinan berbisnis
(business opportunity), reputasi nama baik, dan paling parah dapat membuat organisasi pailit.
Ancaman ini dapat dikategorikan sebagai berikut :
Hardware failure
Dikarenakan oleh misalnya padamnya ("byar pet") listrik, kortsleting, disk crashes..
Software failure
Dikarenakan oleh kesalahan sistem operasi, kesalahan program update, tidak cukup dan
memadainya uji coba program.
Kegagalan SDM
Kegagalan ini dikarenakan misalnya sangat minimnya training bagi personel, personel yang sangat
pasif dan tidak memiliki inisiatif, kemasabodoan,tidak loyal,tidak memiliki rasa memiliki (sense
of belonging).
Alam
Dikarenakan oleh misalnya cuaca panas atau dingin yang tidak normal, banjir, gas, proyektil,
gempa, letusan gunung.
Keuangan
Eksternal
Internal
Alangkah berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem atau subsiste
yang bertanggung jawab atas keamanan sistem dan data yang dipakainya. Ia berhak untu
mengajukan permintaan atas pengembangan sistem lebih lanjut atau pembetulan di dala sistem
yang menyangkut bagiannya. Personel ini merupakan contact person dengan bagia ICT
(Information and Communication Technology). Contohnya : pemilik dapat menentukan siapa
saja yang dapat mengakses ke sistem informasi tertentu dan sejauh mana
wewenang/otoritas yang dapat diberikan kepada yang berkepentingan. Permohonan
pengaksesan ini harus dapat dijustifikasikan oleh pemoho dan manajer terkait.
Tergantung dari bidang yang ditekuni perusahaan harus mematuhi undang-undang yang
telah ditetapkan yang berkaitan dengan proteksi data, computer crime, dan hak cipta.
Contohnya: bank yang menggunakan komputer harus mematuhi peraturan yang dikeluarkan
oleh Bank Sentral, misalnya untuk pengiriman uang.
Dengan meningkatnya proses transaksi secara online & real time dan terkoneksi sistem
jaringan internasional, transaksi akan terlaksana hanya dalam hitungan beberapa detik
dengan tidak pertemuan manusia secara langsung. Apabila transaksi semacam ini terja di
kesalahan tidak dapat langsung diperbaiki atau akan menyita banyak waktu dan upaya untuk
memperbaikinya. Antisipasi dan pencegahan dengan tindakan keamanan yang ketat akan
memberikan garansi atas integritas, kelanjutan, dan kerahasiaan transaksi yang terjadi serta
meyakinkan untuk proses audit. Tindakan pencegahan tambahan harus diimplementasikan agar
dapat mendeteksi dan melaporkan kesalahan yang terjadi sehingga segala bentuk
kejanggalan dapat dikoreksi secepat mungkin. Contohnya : transaksi semi'lcam ini biasanya
terjadi pada perbankan misalnya pemindahan dana melalui ATM (Automatic Teller
Machine/Anjungan Tunai Mandiri). Apabila dibandingkan dengan misalnya pemesanan
barang yang tidak langsung dapat dikirim, kesalahan pemesanan masih dapat dikoreksi
misalnya melaluin telpon yang akan ditindaklanjuti dengan konfirmasi secara tertulis.
User harus dapat meyakinkan kebutuhannya untu mengakses ke sistem sesuai dengan
prinsip 11Need to Know". Pemilk sistem harus bertanggung jawab atas pemberian akses ini.
Contohnya: untuk pemrosesan sistem penggajian, personel bagian terkait tidak diperbolehkan
untuk mengakses data hasil penjualan dari setiap personel bagian pemasaran. Atau tidak
semua personel bagian personalia diperbolehkan untuk memiliki akses ke data penggajian
karyawan.
Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di
sistem komputer .
Sistem komputer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai
demi kepentingan bisnis perusahaan. Data perusahaan hanya diperbolehkan dipakai untuk
bisnis perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan
terhadap data tersebut. Contohnya :data atau informasi mengenai penjualan tidak
diperkenankan untuk disebarluaskan kepada yang tidak berkepentingan.
Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh perusahaan,
maka perusahaan harus dilindungi oleh keamanan atas informasi perusahaan. Di dalam
kontrak harus didefinisikan agar pihak ketiga mematuhi peraturan dan keamanan sistem
informasi perusahaan. Manajemen harus bertanggung jawab agar pihak ketiga mematuhi dan
mengikuti peraturan keamanan yang telah dirumuskan. Contohnya : apabila pengembangan
sistem informasi dilakukan oleh pihak ketiga/software house, sudah tentu pada uji coba
akhir harus memakai data yang sesungguhnya. Data ini tidak diperbolehkan oleh pihak ketiga
di-copy dan disebarluaskan atau output baik yang berbentuk hardcopy maupun softcopy
dipakai sebagai contoh untuk perusahaan lain apalagi untuk pesaing
Perubahan terhadap sistem informasi harus melalui prosedur yang berlaku untuk
pengembangan dan implementasi sistem baru. Setiap permintaan perubahan program harus
disertai alasan yang kuat ser.ta keuntungan yang ia akan dapatkan dan pemohon harus
dapat meyakini manajer terkait dan pemilik sistem mengenai perubahan ini. Oleh karena
itu, sangat penting apabil semua pihak yang terkait harus menandatangani "change request"
sebelum kegiatan ini dimulai. Harus pula diingat bahwa perubahan program akan memakan
biaya dan waktu juga.
Contoh : tidak dibenarkan apabila pemakai secara individu meminta perubahan terhadap
sistem dengan tidak sepengetahuan dari pemilik sistem. Dalam prakteknya hal ini sangat
sering terjadi. semua perubahan harus melalui prosedur change request, sehingga ICT
memiliki dokumentasipan bukti yang lengkap untuk menghindari permasalahan di kemudian
hari. Pihak ICT harus dapat dengan tegas menolak permintaan user apabila permintaan tidak
disertai dengan change request.
Sistem yang akan dibangun harus memakai bahasa pemrograman yang telah ditetapkan.
Tidk dibenarkan apabila programmer membuatnya dengan bermacam-macam bahasa
pemrograman; Begitu pula dengan sistem database yang digunakan, harus memiliki
keseragaman. Patut dipertimbangkan semua resiko keamanan bersama penanggulangannya di
dalam sistem. Sebelum sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi
dan menilai keandalan keamanan di dalam aplikasi tersebut. Apabila akan menyeleksi paket
sistem aplikasi aspek sistem keamanannya merupakan bagian yang sangat penting dan
menentukan.
Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan
memakai kode identitasnya (User-/D)
Semua pemakai harus berhati-hati menyimpan password User-10-nya. Semua aktivitas yang
dilakukan dengan 10 ini akan terekam di dalam audit-trail. Pemakai tidak dapat memungkiri
bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhdap perusahaan.
Kesalahan beserta bukti ini dapat mengakibatkan peringatan atau pemutusan hubungan
kerja terhadap pemilik User-ID ini. Oleh karena itu, simpan password sebaik mungkin dan
jangan misalnya menempelkan di tempat di mana semua orang yang t;idak berwenang
dapat membacanya. Apabila pemakai merasa bahwa ada orang yang tidak berwenang telah
mengetahui password-nya, langkah terbaik adalah langsung mengganti password-nya.
3. Strategi Keamanan Sistem informasi
Dengan munculnya komputer dan teknologi informasi di lingkungan organisasi, asset
perusahaan akan bertambah sehingga diperlukan sebuah pemikiran untuk melindunginya
yang merupakan sebuah keharusan atau kewajiban. lntegritas, kerahasiaan dan ketersediaan
informasi menjadi penting apabila perusahaan masih tetap ingin berkompetisi di dalam dunia
bisnis.
Prinsip pertama adalah integritas (integrity) informasi. Apabila pelanggan datang ke toko
untuk membeli barang, namun tidak menemukannya maka ia akan mendatangi pramuniaga
dan menanyakan tentang barang tersebut. Pramuniaga tersebut akan memeriksa di komputer
akan ketersediaan barang yang diminati dan mendapat informasi bahwa barang tersebut
masih ada katakan 10 buah. Bersama dengan pramuniaga pelanggan pergi ke tempat barang
tersebut diletakkan, namun kenyataan barang tersebut tidak dapat ditemukan. Dengan contoh
ini maka pelanggan dapat menilai bagaimana integritas informasi data toko tersebut meskipun
memakai komputer. Apabila kejadian ini sering terjadi, maka kepercayaan pelanggan akan
berkurang terhadap toko tersebut.
Prinsip kedua adalah kerahasiaan (confidentiality) informasi. Menurut ISO 17799,
kerahasiaan adalah memastikan informasi hanya dapat diakses oleh orang yang berwenang
atau bagi orang yang memiliki otoritas. Untuk menjaga kerahasiaan, informasi yang bersifat
rahasia harus tetap dilindungi. Apapun alasannya informasi ini hanya diperuntukan untuk
orang-orang tertentu. Bagaimana perasaan seorang nasabah bank apabila informasi data
perbankannya dapat diketahui oleh orang lain atau bagaimana perasaan seorang karya wan
apabila semua rekan kerjanya mengetahui gaji y(!ng ia terima.
_Prinsip ketiga adalah ketersediaan (availability) informasi. ISO 17799 mendefinisika
ketersediaan sebagai kepastian tersedianya informasi pada saat yang dibutuhkan oleh orang yang
memiliki wewenang untuk mengetahuinya atau mengakses data. Tampaknya sangat gampang
namun banyak faktor yang dapat mengganggunya. Beberapa faktor yang dapat dikemukakan
misalnya kerusakan Hardware, users yang jahat (malicious users), penyusup dari luar perusahaan
yang berusaha menghancurkan data perusahaan, virus dan sebagainya.
3.1. Model ISO 17799
Di atas telah disinggung mengenai ISO 17799 dan sekarang timbul pertanyaan apa
sebetulnya ISO 17799. ISO 17799 adalah standar keamanan sistem informasi yang telah diakui oleh
dunia dan disahkan pada tahun 2000, dimana ia mengalami revisi pada tahun 2005 (ISO/IEC
17799 2005 yang juga disebut ISO/IEC 27002 2005).
Keuntungan yang dapat diambil dari standarisasi ini antara lain metodologi yang terstruktur
dan telah diakui oleh dunia in.ternasional, proses yang terdefinisi dengan baik, kebijakan dan
prosedur dapat disesuaikan dengan kondisi organisasi dan lain-lain.ISO 17799 terdiri dari:
1. Business Continuity Planning.
Business Continuity Planning merupakan langkah yang dilakukan pada saat terjadi ganggu atau
bencana (disaster) sehingga tidak mengganggu atau menginterupsi aktivitas dan proses bisnis.
2. System Control Access.
3.
4.
5.
6.
7.
8.
9.
10.
3.2.
1.
Security Organization.
Tujuan Security Organization adalah membahas bagaimana mengelola keamanan sistem
keamanan di dalam organisasi sendiri, menjaga agar sistem tidak dapat diakses oleh pihak
ketiga. Selain itu, pembahasan mengenai bagaimana mengurus keamanan informasi jikalau
pemroses pengolahan data diberikan kepada pihak ketiga.
Computer and Network Management.
Tujuan Computer and Network Management adalah :
Memastikan agar fasilitas pengoperasian informasi dapat berjalan Iancar dan benar
Memperkecil kemungkinan untuk kegagalan sistem(failure)
Melindungi integritas software dan informasi
Memastikan akan ketersediaan fasilitas komunikasi
Melindungi jaringan dan infrastruktur pendukungnya
Menjamin agar tidak ada informasi yang hilang, disalahgunakan, dan dimodifikasi pada saat
pertukaran informasi antar organisasi.
Asset Classification and Control.
Tujuan Asset Cl ossification and Control adalah untuk membahas proteksi yang tepat bagi
aset perusahaan dan memastikan agar aset informasi memiliki tingkat keamanan yang tepat dan
baik.
Security Policy.
Tujuan Security Policy adalah memberikan arahan dan bantuan kepada manajemen
mengenai keamanan sistem informasi.
Dampak Teknologi lnformasi
Dampak dari penggunaan komputer yang merupakan alat bantu di dunia bisnis
dengan meningkatkan efisiensi dalam hal pemberian informasi yang lebih cepat dan
akurat, telah menciptakan masalah tambahan untuk pemeriksaan dan pengontrolan, yang
sebelumnya belum pernah ada atau terpikirkan.
Sentralisasi Data.
Sebelum zaman komputer, masing-masing departemen di dalam perusahaan bertanggun
jawab sendiri atas data masing-masing. lnformasi yang masih berupa kertas-kertas akan
disimpan di dalam lemari arsip atau lebih parah lagi disimpan di dalam laci masing-masin
karyawan yang menanganinya.
Pengaksesan Data.
Pengaksesan informasi dapat lebih mudah dilakukan baik dari dalam maupun dari luar
organisasi. Dengan adanya kemajuan tekhnologi, informasi yang awalnya hanya ditujukan
untuk perorangan sekarang sudah dapat diakses oleh kayawan organisasi yang bersangkutan
(tergantung kewenangannya) dengan memanfaatkan terminal-terminal- di dalam jaringan
organisasi terkait. Dengan adanya jaringan nirkabel/wireless pengguna dapat mengakses data dimana
mereka berada, apakah itu dari kendaraan yang ia tumpangi atau dari pusat
perbelanjaan/mall. Oleh karena itu, pengontrol akses terhadap informasi perusahaan seorang
merupakan satu pekerjaan sendiri dan sangat rumit.
5.
6.
beberapa tahun yang lalu,pengembang sistem hanyci dapat dilakukan oleh para program Namun
dengan kemajuan pengetahuandan bahasa komputer yang sekarang tersedia, para pemakai
sudah dapat memahami bahasa tersebut. Tidak jarang ditemukan pemakai dapat membuat
program sendiri dengan cara belajar sendiri dengan bantuan buku panduan manual.Namun
kualitas program dibuat tidak sebanding dengan hasil buatan programmer yang telah memiliki
ketrampilan khusus, karena pembuatan program tidak terstruktur dan tidak menerapkan
metodologi tertentu.
7.
8.
9.
a)
b)
c)
d)
e)
f)
Dari media cetak kita telah banyak membaca tentang hacking, virus dan kecurangan
yang menggugah kewaspadaan pihak manajemen untuk meningkatkan kebutuhan
keamanan sistem informasi. Oleh karena itu, masalah yang akan dihadapi antara lain :
Seberapa jauh keamanan harus diterapkan.
Berapa biaya yang harus dikeluarkan.
Apakah dampak yang akan timbul dengan menerapkan ekstra keamanan dalam hal
efisiensi dan fleksibiitas dari sistem komputer.
Pertanyaan ini dapat dijawab secara menyeluruh dengan mempertimbangkan
pengaruh dan resiko dimana bisnis perusahaan yang digeluti untuk menerapkan sistem
komputerisasi. Setelah membicarakan hal-hal yang terkait dengan teknologi komputer
yang disebutkan sebelumnya, strategi keamanan sistem informasi dibutuhkan karena :
Tidak dapat dipungkiri lagi bahwa informasi yang dihasilkan oleh komputer merupakan
hal yang penting untuk menyukseskan bisnis.
Teknologi baru telah mengubah pola lingungan bisnis, termasuk ancaman dan serangan
dari ll.iar lingkungan.
Keamanan sistem informasi merupakan kunci keberhasilan untk menggunakan alat bantu
baik dalam bentuk Hardware maupun software dalam berbisnis baru dan pemrosesannya.
Keamanan sistem informasi bukanlah sekedar masalah pengendalian dari sisi teknologi
dengan menggunakan baik Hardware maupun software, namun penerapan kebijakan dan
standar yang memadai akan menentukan arah keamanan sistem informasi.
Bisnis secara elektronik membutuhkan kepercayaan bisnis.
Bisnis perusahaan sangat tergantung dengan ICT.
g) Banyak faktor yang membutuhkan pendekatan secara terintegrasi
Posted by Abanx Gian at 1:45 PM
Email ThisBlogThis!Share to TwitterShare to FacebookShare to Pinterest
Labels: Ilmu Komputer
No comments:
Post a Comment
Newer Post Older Post Home
Lencana Facebook
Sang Penghapus Jejak
Blog Archive
2015 (51)
2014 (12)
o June (11)
o January (1)
2013 (41)
2012 (44)
Total Pageviews
194,628
About Me
Abanx Gian
lahir di Tanjung Aur,02 februari 1992. nama lengkap I.I.Sugianto,anak ke 3 dari 4
bersaudara kandung,,,,, masih dlam perjalanan kuliah di STMIK ABQ Bengkulu
Selatan
View my complete profile
Followers
Copyright 2016 SANG PENGHAPUS JEJAK. Designed for radiostation.org emichiganpages.com, eminnesotapages.com, emississippipages.com
K
A
J
E
J
S
U
P
A
H
G
N
E
P
G
N
A
S
Facebook
Twitter
LinkedIn
GooglePlus
more
0
IT Risk Video
Gallery
12345
Tweet ITGID