OK

OK. Topik yang menarik.
Silakan dilanjutkan dan temukan studi kasus yang

sesuai dengan topik ini.
2016-05-30 7:57 GMT+07:00 AYU TIANA SILABAN <
132111772@students.mikroskil.ac.id>:
>
>
>
>
>
>
>
>
>
Topik :Manajemen Keamanan Sistem Informasi

Pembahasan spesifik : Keamanan Personel
Scope : mengenali aturan krusial yang dilakukan oleh pekerja dalam program
keamanan informasi. Mengingat bahwa ancaman terbesar datangnya dari
manusia(pihak eksternal maupun internal perusahaan)dan seperti yang telah
kita ketahui bahwa Manusia merupakan penghubung utama dalam program
keamanan informasi. untuk itu penting sekali mengenali aturan-aturan
krusial.
Let's Safety Riding !

tips dan trik safety riding, otomotif keren dan aman, pengalaman seputar safety riding, event dan
kejadian tentang safety riding.
Keamanan Sistem E-Commerce | Download Materi Kuliah Teknik

Informatika/Ilmu Komputer
>> Sabtu, 06 November 2010

A. TUJUAN DASAR KEAMANAN
Keamanan adalah sebuah upaya yang dilakukan untuk meminimalisir sebuah kerusakan yang
terjadi pada sebuah sistem. Keamanan juga di buat untuk membentengi semua gangguan
yang di buat secara sengaja maupan tidak sengaja. Keamanan dalam sistem informasi bisa
diartikan sebagai suatu perlindungan untuk membetengi sebuah sistem. Dan menghindarkan
system itu dari spyware maupun virus virus dan juga pengrusakan oleh hacker
maupun cracker. Tujuan dasar keamanan pada E-coomerce sendiri maupun dalam
internet dan Sistem Informasi menurut kami dapat kami rangkum, menjadi beberapa
poin :
Dapat memberikan jaminan informasi yang dikirim melalui internet tidak dapat dibuka
maupun diketahui oleh pihak yang tidak berhak.
Memberi jaminan konsistensi data informasi sesuai dengan data asli sehigga terhindar dari
penduplikatan dan perusakan data.
Terdapat jaminan bahwa hanya pengguna sah (orang yang berhak) saja yang bisa mengakses
informasi miliknya sendiri
Memberi jaminan kepastian bahwa sumber informasi tidak diakses oleh orang yang
tidak berhak/ bertanggung jawab
Dari tujuan dasar itu dapat kami jabarkan bahwa disaat kita mengirim info penting antar personal
dalam urusan bisnis maupun untuk client, kita mendapat jaminan bahwa info itu tidak dapat
dibuka pihak lain. Hal tersebut sangatlah penting mengingat dalam dunia bisnis kita sering
saling menjatuhkan satu sama lain. Keamanan dalam E- commerce juga harus mampu
memberikan jaminan data ataupun info yang kita kirim tidak terjadi penduplikatan sehingga
penerima bisa menerima data tersebut sesuai aslinya. Selain tersebut di atas juga kita dapat
diberikan jaminan bahwa hanya kita sang pemilik lah yang bisa mengakses yang kita miliki dan
juga jaminan kepastian sumber info kita tidak di akses orang yang tidak berhak kecuali kita
membukanya secara free.
62
internet-intranet
Dalam prakteknya, berbelanja di web memerlukan koneksi ke internet dan browser

yang mendukung transaksi elektronik yang aman, seperti Microsoft Internet Explorer dan
Netscape Navigator. Microsoft dan Netscape, bekerja sama dengan perusahaan kartu kredit
(Visa dan MasterCard), serta perusahaan-perusahaan internet security
(seperti VeriSign), telah membuat standar enkripsi khusus yang membuat transaksi
melalui web menjadi sangat aman. Bahkan, Visa dan MasterCard menyediakan jaminan
keamanan 100% kepada pengguna credit cardnya yang menggunakan e-com.
Yang menandakan suatu retailer web site aman atau tidak adalah adanya tanda khusus
yang muncul di status bar di bagian bawah layar browser. Pada IE, tanda yang muncul adalah
tanda gembok terkunci di pojok kanan status bar. Sedangkan pengguna Netscape Navigator, akan
melihat tanda kunci di pojok kiri status bar. Jika tanda-tanda tersebut muncul, berarti Anda
sedang ter-connect pada server yang aman. Walaupun begitu, karena standar yang dipakai
untuk secure connection ini relatif baru, belum semua cybershop menggunakan standar ini.
Kumpulan dari banyak cybershop yang telah terintegrasi dinamakan cybermall.
Beberapa cybermall akan mengecek terlebih dahulu legitimasi dari cybershop yang akan
masuk, sehingga dapat menghindari adanya cybershop yang palsu. Beberapa cybermall
juga menyediakan jasa-jasa tambahan, seperti billing atau tagihan yang tersentralisasi,
menjadikan proses belanja menjadi lebih mudah dan aman.

Sehingga dalam pelayanan E-commerce adanya sistem keamanan yang baik akan
sangat mempengaruhi kenyamanan pengguna cybershop. Dalam kenyataannya sistem
E-commerce sangat bervariatif jadi untuk kedepannya akan sangat diperlukan sebuah
sistem yang lebih baik lagi dari masa ke masa. Sehingga perkembangan E-commerce di
indonesia akan semakin maju dan memasyarakat.
63
internet-intranet
B. KONSEP DASAR KEAMANAN
Menurut kami konsep system keamanan merupakan suatu dasar penerapan teknologi
untuk mencapai tujuan tujuan tertentu dengan menggunakan system keamanan. Dengan
mempelajari konsep system keamanan ini,kami dapat mengeetahui tujuan-tujuan konsep
dasar keamanan.
Konsep system dasar keamanan memiliki tujuan-tujuan seperti :
Confidentally.Yang berarti Menjamin apakah informasi yang dikirim tersebut tidak dapat
dibuka atau tidak dapat diketahui oleh orang lain yang tidak berhak
Integrity: Menjamin konsistensi data tersebut apakah masih utuh sesuai aslinya atau tidak,
sehingga upaya orang-orang yang tidak bertanggung jawab untuk melakukan penduplikatan dan
perusakan data bisa dihindari.
Availability: Menjamin pengguna yang sah agar dapat mengakses informasi dan sumber
miliknya sendiri.
Legitimate Use: Menjamin kepastian bahwa sumber tidak digunakan oleh orang- orang
yang tidak bertanggung jawab.
Disamping tujuan-tujuan tersebut diatas,konsep system keamanan juga memiliki bidangbidang utama yang mencakup Sistem Keamanan Komunikasi (Communications security),
Keamanan Komputer (Computer security), Keamanan secara fisik.
- Sistem Keamanan Komunikasi merupakan perlindungan terhadap informasi ketika
di kirim dari sebuah sistem ke sistem lainnya.
- Keamanan Komputer (Computer security) adalah perlindungan terhadap sistem
informasi komputer itu sendiri.
- Keamanan secara fisik seperti pengamanan oleh penjaga keamanan, pintu yang
terkunci, sistem control fisik lainnya, dan sebagainya.
Keamanan secara fisik juga memiliki beberapa pengamanan seperti keamanan personal
dan keamanan administrative.
64
internet-intranet
- Keamanan media yang digunakan meliputi pengontrolan terhadap media

penyimpanan yang ada dan menjamin bahwa media penyimpanan yang mengandung informasi
sensitive tersebut tidak mudah hilang begitu saja.
Konsep dasar keamanan juga menyangkut keamanan untuk e-Commerce.seperti :
1. Security Policy (Kebijaksanaan keamanan yang digunakan) merupakan satu set aturan
yang diterapkan pada semua kegiatan-kegiatan pengamanan dalam security domain. Security
domain merupakan satu set sistem komunikasi dan computer yang dimiliki oleh organisasi yang
bersangkutan.
2. Authorization (Otorisasi) berupa pemberian kekuatan secara hukum untuk melakukan segala
aktifitasnya
3. Accountability (kemampuan dapat diakses) memberikan akses ke personal security.
4. A Threat (Ancaman yang tidak diinginkan) merupakan kemungkinankemungkinan

munculnya seseorang, sesuatu atau kejadian yang bias membahayakan aset-aset yang
berharga khususnya hal-hal yang berhubungan dengan confidentiality, integrity,
availability dan legitimate use.
5. An Attack (Serangan yang merupakan realisasi dari ancaman), pada system jaringan
computer ada dua macam attack, yaitu passive attack (misalnya monitoring terhadap segala
kegiatan pengiriman informasi rahasia yang dilakukan oleh orang-orang yang tidak berhak)
dan active attack (misalnya perusakan informasi yang dilakukan dengan sengaja dan
langsung mengena pada sasaran).
6. Safeguards (Pengamanan) meliputi control fisik, mekanisme, kebijaksanaan dan
prosedur yang melindungi informasi berharga dari ancaman-ancaman yang mungkin timbul
setiap saat.
Ancaman-ancamaan tersebut seperti Vulnerabilities (Lubang-lubang kemaan yang bisa
ditembus), Risk (Resiko kerugian) merupakan perkiraan nilai kerugian yang ditimbulkan
oleh kemungkinan adanya serangan yang sukses.
- Analisa Kerugian merupakan proses yang menghasilkan suatu keputusan apakah
pengeluaran yang dilakukan terhadap safeguards benarbenar bisa menjamin tingkat keamanan
yang diinginkan.
65
internet-intranet
System Penetration : orang-orang yang tidak berhak, mendapatkan akses
kesistem computer dan diperbolehkan melakukan segalanya.
- Authorization Violation: Ancaman berupa pelanggaran dan penayalahgunaan wewenang

legal yang dimiliki oleh seseoarang yang berhak.
- Planting: Ancaman yang terencana misalnya Trojan horse yang masuk secara
-
diam-diam yang akan melakukan penyerangan pada waktu yang telah ditentukan.
Communications Monitoring: penyerang dapat melakukan monitoring semua
informasi rahasia.
-
Denial of Service (DoS): Penolakan service terhadap client yang berhak.
Repudiation: Penolakan terhadap sebuah aktivitas transaksi atau sebuah
- komunikasi yang terjadi dikarenakan sesuatu yang bersifat senagja, kecelakaan ataupun
kesalahan teknis lainnya.
Safeguard
Beberapa tindakan yang dilakukan safeguard yaitu:
- Mencegah munculnya ancaman sebelum benar-benar terealisasi
- Meminimalisasikan kemungkinan terjadinya ancaman tersebut.
- Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi.
Macam-macam Security service safe guards :

- Authentication Service: Memberikan kepastian identitas pengguna.
- Access Control Services: Melindungi semua fasilitas dan sumber-sumber yang ada dari aksesakses yang tidak berhak.
- Confidentiality Service: Memberikan perlindungan terhadap informasi yang
berusaha disingkap oleh orang lain yang tidak berhak.
- Data Integrity Srevice: Perlindungan terhadap ancaman yang dapat mengubah data item
seandainya ini terjadi di dalam lingkungan security policy.
- Non-Repudiation Service: Melindungi user melawan ancaman yang berasal dari
user berhak lainnya. Ancaman tersebut dapat berupa kesalahan penolakan
66
internet-intranet
ketika transaksi atau komunikasi sedang terjadi.
C. JENIS KEAMANAN E-COMMERCE

Jenis jenis keamanan dalam e-commerce dibedakan dan dikelompokkan menurut jenis
kejahatan ataupun gangguan yang mungkin terjadi. Secure Electronic Commerce: e- Commerce
yang menggunakan prosedur system keamanan dan teknik-teknik untuk menghadapi
segala resiko yang terjadi. Fungsi fungsi umumnya antara lain:
o Authentication (Pembuktian keaslian)
o
Confidentiality (kerahasiaan)
Data integrity (integritas data)
Tiga hal diatas adalah komponen yang biasanya rentan terhadap threats (ancaman) sehingga
perlu adanya sebuah system pencegahan yang harus dilakukan agar terlindungi dari
ancaman pihak pihak lain yang dapat merugikan.
Safeguards (Pengamanan) meliputi control fisik, mekanisme, kebijaksanaan dan prosedur
yang melindungi informasi berharga dari ancaman-ancaman yang mungkin timbul setiap
saat. Diantaranya adalah :
o Vulnerabilities (Lubang-lubang kemaan yang bisa ditembus). Ini diakibatkan system
keamanan situs yang lemah sehingga pihak pihak dari luar dapat dengan mudah menyusup
dalam situs dan dapat saja melakukan kegiatan kegiatan yang merugikan.
o Risk (Resiko kerugian) merupakan perkiraan nilai kerugian yang ditimbulkan oleh
kemungkinan adanya attack yang sukses. Ini termasuk dalam sistem pencegahan dan
penanggulangan threats (ancaman).
o Risk Analysis (Analisa Kerugian) merupakan proses yang menghasilkan suatu
keputusan apakah pengeluaran yang dilakukan terhadap safeguards benar - benar bisa
menjamin tingkat keamanan yang diinginkan. Ini merupakan proses pertimbangan
dan perhitungan baik serta buruknya sebuah sistem keamanan yang akan di gunakan
nantinya, sehingga proses ini menjadi sangat penting untuk kedepannya.
Threats (Ancaman):
67
internet-intranet
o System Penetration : orang-orang yang tidak berhak, mendapatkan akses kesistem

computer dan diperbolehkan melakukan segalanya.
o Authorization Violation: Ancaman berupa pelanggaran atau penayalahgunaan
wewenang legal yang dimiliki oleh seseoarang yang berhak.
o Planting: Ancaman yang terencana misalnya Trojan horse yang masuk secara diam- diam
yang akan melakukan penyerangan pada waktu yang telah ditentukan.
o Communications Monitoring: penyerang dapat melakukan monitoring semua
informasi rahasia.
o Communications Tampering: penyerang mengubah informasi transaksi di tengah jalan
pada sebuah jaringan komunikasi dan dapat mengganti sistem server dengan yang palsu.
o Denial of Service (DoS): Penolakan service terhadap client yang berhak.
o Repudiation: Penolakan terhadap sebuah aktivitas transaksi atau sebuah komunikasi yang
terjadi dikarenakan sesuatu yang bersifat senagja, kecelakaan ataupun kesalahan teknis
lainnya.
Safeguards:
Yang dilakukan safeguards yaitu:
o Mencegah munculnya threats (ancaman) sebelum benar-benar terealisasi. Dengan
mempersiapkan system keamanan untuk pencegahan terjadinya ancaman.
o Meminimalisasikan kemungkinan terjadinya ancaman tersebut. Dengan memilih sistem
keamanan yang tepat sehingga kemungkinan akan terjadinya Threats
(ancaman) dapat diminimalisasi dengan sebaik baiknya.
o Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi. Dengan
mengoptimalkan system keamanan yang sudah ada, sehingga apabila threats
(ancaman) sudah benar benar terjadi dapat diantisipasi dan ditanggani sehingga
diharapkan tidak akan menimbulkan kerusakan kerugian yang besar.
Security service safe guards:
o Authentication Service: Memberikan kepastian identitas pengguna.
1. Entity authentication: contohnya password. Cara ini cukup membantu dalam
keotentikan dan keaslian data yang dirahasiakan.
68
internet-intranet
2. Data origin authentication: membuktikan sah tidaknya identitas dalam bentuk

pesan tertulis.
o Access Control Services: Melindungi semua fasilitas dan sumber-sumber yang ada dari
akses-akses yang tidak berhak. Dan yang dapat merugikan baik itu secara langsung
maupun tidak langsung.
o Confidentiality Service: Memberikan perlindungan terhadap informasi yang berusaha
disingkap oleh orang lain yang tidak berhak. Yaitu mencegah diambil atau dicurinya data data
dan informasi yang bersifat private yang tidak boleh diketahui oleh orang lain yang tidak
bersangkutan.
o Data Integrity Srevice: Perlindungan terhadap ancaman yang dapat mengubah data item
seandainya ini terjadi di dalam lingkungan security policy. Kasus tersebut termasuk dalam
kasus penipuan dan pemalsuan sehingga dapat berurusan langsung dengan pihak yang
berwenang untuk diproses sesuai dengan ketentuan yang ada.
o Non-Repudiation Service: Melindungi user melawan ancaman yang berasal dari user
berhak lainnya. Ancaman tersebut dapat berupa kesalahan penolakan ketika transaksi atau
komunikasi sedang terjadi. Ini mencegah terjadinya perubahan data original yang dilakukan
oleh orang orang dalam lingkup yang berwenang tetapi keputusan untuk merubah data
tersebut tidak melalui persetujuan dari pihak yang berwenang lainnya, jadi keputusan
tersebut diambil secara sepihak saja dan tentu saja itu bisa merugikan pihak pihak lainnya.
Contoh dari jenis jenis keamanan yang lainnya adalah :
1. Keamanan Komunikasi
2. Keamanan Komputer
3. Keamanan secara fisik
4. Keamanan personal
5. Keamanan administrasi
6. Keamanan media yang digunakan
69
internet-intranet
Keamanan Komunikasi
Perlindungan terhadap informasi ketika dikirim dari sebuah sistem ke sistem lain. Sistem
keamanan ini mencegah terjadinya kebocoran informasi dan data kepada pihak lain yang tidak
bersangkutan yang bisa saja disalah gunakan.
Keamanan Komputer
Perlindungan terhadap sistem informasi komputer. Dengan menerapkan sistem pengaman
komputer sebagai contoh adalah penggunaan applikasi anti virus untuk lebih mengamankan data
data yang tersimpan dalam konputer dari ancaman yang mungkin datang.
Keamanan secara fisik
Satpam, pintu terkunci, sistem kontrol. Untuk keamanan ini tidak dipakai dalam sistem ecommerce.
Keamanan personal
Kepribadian operator (org2 yg mengoperasikan sistem). Hal ini perlu juga diwaspadai,
karena kadang kadang dalam pikiran seseorang dapat saja muncul pikiran yang tidak
baik. Itu karena lemahnya keimanan seseorang. Bisa juga diakibatkan oleh ketledoran dan
ketidak telitian operator yang bisa saja menimbulkan sebuah kesalahan dalam sebuah
sistem yang berakibat pada kerugian.
Keamanan administrasi
Pencatatan kejadian pada H/W atau S/W. Keamanan dalam hal ini sanagat tergantung
sekali dengan operator. Jadi untuk seorang yang bertugas dalam bidang administrasi
haruslah mempunyai konsentrasi yang tinggi, ketelitian, ketepatan dan daya ingat yang
bagus. Yaitu agar data yang akan dilaporkan atau dicatat tidak keliru / menyimpang.
Keamanan media yang digunakan
Harddisk, dan jaminan data tidak hilang. Tidak hanya harddisk tetapi juga semua sistem
yang ada atau yang akan digunakan sebagai media harus mempunyai spesifikasi yang
cukup agar memudahkan dalam pengoprasian sistem kerja.
70
internet-intranet
Perlindungan
Perlindungan yang dilakukan pada keamanan komunikasi dan Komputer.
1. Authentication service
Memberikan konfirmasi pengesahan terhadap identitas pengguna.
- Entity authentication. Pintu gerbang masuk pertama (password)
- Data origin authentication. Informasi sah/tidaknya sebuah identitas
2. Access Control services

Melindungi semua fasilitas dan sumber-sumber yang ada, dari akses yang tidak berhak
3. Confidentiality Service
Memproteksi informasi yang kira-kira menjadi incaran akan disingkap oleh orang lain
4. Data integrity services
Melindungi terhadap ancaman dari usaha orang yang akan mengubah data
5. Non repudiation Service

Perlindungan terhadap user dari ancaman user yang berhak lainnya. Cookies
Unit informasi yang disimpan di komputer client dalam bentuk text file.
Diciptakan dan digunakan oleh server untuk mengingat informasi tentang user seperti
pilihan options, atau user ID.
Informasi dalam cookies dikirim oleh browser untuk dibaca server sebagai bagian
dari HTTP request.
Server memiliki akses untuk membuat, menginisialisasi dan mengubah parameter cookie.
o Masa habis berlaku (expiration time)
o User ID, password yang dienkripsi o Alamat server yang dituju, dsb
71
internet-intranet
D. FIREWALL
Kami dapat mendeskripsikan bahwa firewall merupakan suatu
cara/sistem/mekanisme yang diterapkan baik terhadap hardware , software ataupun sistem
itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring, membatasi atau
bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan pribadi
dengan jaringan luar yang bukan merupakan ruang lingkupnya. Segmen tersebut dapat
merupakan sebuah workstation, server, router, atau local area network (LAN) anda.
Firewall digunakan atau diperuntukan yaitu untuk computer dan jaringan.
Komputer
Semua orang yang memiliki computer dan terhubung dengan jaingan internet,pasti
menginginkan semua komputernya terlindungi.
Jaringan
Jaringan komputer yang terdiri lebih dari satu buah komputer dan berbagai jenis topologi
jaringan yang digunakan, baik yang di miliki oleh perusahaan, organisasi dsb.
Saat kita menghubungkan sumberdaya perusahaan kita ke jaringan public seperti
internet,kita meletakan data-data dan system computer kita dalam keadaaan yang sangat
beresiko tinggi.Tanpa menggunakan firewall,baik keamanan data maupun integritas
data,erupakan sasaran empuk para hacker.Data-data kami ini kami ambil atau kutip dari
buku E-Commerce memahami perdagangan modern didunia maya.Dalam buku ini
dijelaskan firewall mengendalikan data-data serta system computer kita dari kerusaakan.. Dalam
hal ini,firewall dapat melindungi serangan-serangan pada protocol individual atau aplikasiaplikasi dan dapat secara efektif melindungi system computer kita dari
spoofing(program-program yang merusak dan menyamar sebgai aplikasi yang bermanfaat).
KARAKTERISTIK FIREWALL
1.Seluruh hubungan/kegiatan dari dalam ke luar , harus melewati firewall. Hal ini dapat
dilakukan dengan cara memblok/membatasi baik secara fisik semua akses terhadap jaringan
Lokal, kecuali melewati firewall. Banyak sekali bentuk jaringan yang memungkinkan.
72
internet-intranet
2.Hanya Kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan hubungan, hal ini
dapat dilakukan dengan mengatur policy pada konfigurasi keamanan lokal. Banyak sekali jenis
firewall yang dapat dipilih sekaligus berbagai jenis policy yang ditawarkan.
3.Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan. hal ini
berarti penggunaan sistem yang dapat dipercaya dan dengan Operating system yang relatif aman.
Firewall memilki keuntungan dan kekurangan.
Dari artikel dan buku-buku yang kami cari dan ambil intidarinya,kami dapat menyebutkan
bahwa keuntungan atau kebaikan firewall adalah :
Menjadi tumpuan untuk memfokuskan suatu sistem keamanan jaringan. Logikanya,
firewall adalah suatu ujung dari batas wilayah jaringan kita yang terhubung ke internet.
Semua trafik harus melalui firewall baik ke dalam maupun ke luar. Akan lebih mudah
apabila kita memfokuskan sistem keamanan kita pada satu titik daripada menyebarkan beberapa
teknologi keamanan jaringan pada satu wilayah kita sekaligus.
Merupakan perwujudan dari kebijakan sistem keamanan suatu jaringan. Misalnya kita hanya
memperbolehkan akses file transfer (FTP Service) dari internet ke salah satu server kita,
maka firewall bisa menjadi watchdog (anjing penjaga) yang akan melarang atau
menolak semua trafik dari internet ke site kita kecuali untuk file transfer saja.
Mencatat trafik secara efisien. Karena semua trafik baik ke luar maupun ke dalam
pasti melalui firewall, maka firewall akan menyediakan suatu tempat dan layanan untuk
menyimpan aktivitas trafik serta memberikan report yang berguna bagi kita.
Membatasi akses antar komputer di intranet kita. Terkadang, firewall menjadi
pemisah antar bagian dari jaringan intranet kita. Misalnya, di suatu perusahaan ada dua
jaringan yaitu jaringan untuk bagian keuangan dan bagian teknik. Dalam hal ini firewall akan
menjadi pemisah antara kedua jaringan tersebut. Dengan begitu kebijakan keamanan
jaringan adalah membatasi akses untuk masing-masing departemen.
Selain hal-hal yang bisa dilakukan oleh firewall, maka ada juga hal-hal yang tidak dapat
dilakukan oleh firewall, yaitu:
73
internet-intranet
Melindungi jaringan dari orang dalam yang jahat (malicious insider). Firewall
hanya akan melindungi data atau informasi yang akan dicuri oleh penyusup yang
terhubung ke sistem melalui media internet atau intranet. Namun apabila ada orang dalam yang
memang berniat untuk mengambil data secara ilegal dengan maksud jahat, maka firewall
tidak dapat melindunginya. Karena bisa jadi orang dalam atau malicious insider tersebut
melakukannya dengan cara pemaksaan secara fisik, misalnya mencuri data dengan cara
membongkar komputer secara paksa. Atau memang pelakunya adalah "orang penting"
yang mempunyai hak akses istimewa pada sistem kita dan tidak kita duga sama sekali.
Melindungi suatu site dari suatu koneksi yang tidak melewati firewall. Misalnya
topologi jaringan kita hanya menerapkan firewall untuk koneksi yang ke internet saja,
padahal masih ada koneksi kita yang terhubung ke tempat lain tanpa melalui firewall. Maka
dalam hal ini firewall tidak bisa melindunginya.
Tidak dapat melindungi dari suatu serangan yang dilakukan dengan cara baru dan
kompleks yang tidak dapat dikenali oleh firewall. contoh kasusnya adalah: suatu serangan
dengan teknik DOS (Denial of Service) dapat ditahan karena sudah dikenal oleh firewall.
Namun dalam seiring kemajuan teknologi, serangan dengan teknik ini berkembang menjadi
teknik DDOS (Distributed Denial of Service). Penyerang melakukan penyerangan ke suatu
site dengan menggunakan "jasa" site lain yang sudah dikuasainya. Misalnya, score keeper
akan menyerang site kita secara bersamaan dari beberapa site yang sudah menjadi korbannya
terlebih dahulu. Firewall tidak dapat menahan serangan dengan teknik DDOS apabila
tidak dilakukan upgrade terlebih dahulu.
Melindungi sistem dari virus. Firewall sangat sulit untuk melindungi sistem dari
serangan virus karena firewall sangat sulit untuk melakukan hal-hal sebagai berikut:
o Mengenali bahwa paket data yang lewat merupakan bagian dari suatu program aplikasi.
o Menetapkan bahwa paket data yang lewat adalah suatu karakteristik dari suatu virus.
74
internet-intranet
Menganalisa suatu perubahan pada paket data yang lewat adalah akibat dari
suatu virus.
Tantangan E-Commerce
Penerapan E-Commerce di Indonesia mengalami banyak tantangan. Hal ini dikarenakan
E-Commerce berbeda dengan perniagaan /
perdagangan biasa, maksudnya adalah
kebanyakan hal-hal yang diperjual-belikan tidak hanya berwujud barang seperti
perdagangan yang kita kenal selama ini. Oleh karena itu E-Commerce memiliki beberapa
karakteristik khas, yaitu :

a. Transaksi tanpa batas, maksudnya dengan memanfaatkan internet kita dapat
membuat situs web atau dengan dengan memasang suatu iklan didalam situs-situs
internet, dan tentu saja pelanggan di seluruh Negara dapat mengaksesnya tanpa mengenal
batas ruang dan waktu.
b. Transaksi anonim, maksudnya antara pembeli dan penjual tidak bertatap muka secara
langsung. Yang dipentingkan adalah masalah pembayaran, oleh karena itu penjual tidak
mementingkan identitas pembeli karena cukup dengan melunasi pembayaran dengan
menggunakan kartu kredit penjual siap melayani pelanggannya.
c. Produk digital dan non digital, maksudnya yang diperjual-belikan seperti lagu dalam
bentuk data, software computer, dan masih banyak lagi yang dijual dengan cara
mendownload. Dalam perkembangannya obyek yang ditawarkan melalui internet menawarkan
barang-barang kehidupan lainnya.
d. Produk barang tak berwujud, maksudnya suatu perusahaan yang bergerak di bidang ECommerce yang menawarkan barang yang bersifat tidak berwujud seperti data, software, atau
ide-ide yang dijual melalui internet.
Alternatif Implementasi dan Teknologi E-Commerce
1. Outsourcing (web developer)
75
internet-intranet
2. Pengembangan swadaya
3. Memanfaatkan Open Source Software khususnya untuk e-commerce
4. Zen Cart (www.zen-cart.com),
5. phpshop (www.phpshop.org)
6. Virtue Mart ,Komponen Joomla. (www.virtuemart.net)
7. Dan masih banyak lagi
Nilai Lebih E-Commerce

1. Jangkauan lebih luas (dunia). Tanpa batas-batas wilayah dan waktu.
2. Penghematan sumber daya:
3. Ruang untuk toko (fisik) dan SDM
4. Availabilitas :Buka 24 jam sehari, 7 hari seminggu. Tidak mengenal hari libur, dan hari besar
5. Skalabilitas:Dapat diperluas atau diperbanyak item barang tanpa batasan.
6. No Tax ??(belum jelas regulasi mengenai pajak )
7. Konsumen memperoleh informasi yang beragam dan mendetail.
8. Melalui internet konsumen dapat memperoleh aneka informasi barang dan jasa dari berbagai
toko dalam berbagai variasi merek lengkap dengan spesifikasi harga, cara pembayaran, cara
pengiriman
9. Disintermediation adalah proses meniadakan calo dan pedagang perantara.
Hambatan E-Commerce
Hambatan E-Commerce diantara lain :
1. Internet bust! Hancurnya bisnis Internet
2. Infrastruktur telekomunikasi yang masih terbatas dan mahal
3. Delivery channel
4. Kultur dan Kepercayaan (trust)
5. Munculnya jenis kejahatan baru
76
internet-intranet
Internet Bust!
Maksudnya banyaknya masyarakat Indonesia yang berpikiran bahwa E-Commerce merupakan
bisnis yang cepat mendatangkan uang tanpa mengerti tentang konsep dasar tentang ECommerce itu sendiri, sehingga menyebabkan hancurnya bisnis Internet di Indonesia. Hal
ini juga dipengaruhi oleh banyak model bisnis yang belum terbukti namun ramai-ramai
diluncurkan. Akhirnya hancur dengan matinya banyak perusahaan dotcom. Hal ini
menyebabkan sebagian orang yang pernah merasa gagal dalam berbisnis E- Commerce
lebih berhati-hati dalam menjalankan bisnis itu lagi, selain itu mereka juga mencari
peluang lain untuk membuat model bisnis baru yang lebih menguntungkan lagi.
Infrastruktur Telekomunikasi
Infrastruktur Telekomunikasi di Indonesia masih terbatas dan harganya masih relatif lebih
mahal, padahal e-commerce bergantung kepada infrastruktur telekomunikasi, ditambah
pula kawasan Indonesia yang sangat luas sehingga mempersulit pengadaan infrastruktur
telekomunikasi karena mebutuhkan biaya yang amat banyak.
Delivery Channel
Banyak konsumen yang ditakutkan hilangnya barang mereka di jalan, hal ini dikarenakan
tindak kriminal Indonesia masih tinggi., atau adanya masalah dalam ketepatan waktu dalam
pengiriman barang karena masalah jarak yang dituju.
Kultur & Kepercayaan
Orang Indonesia belum terbiasa berbelanja dengan menggunakan catalog,
maksudnya masih harus secara fisik melihat / memegang barang yang dijual. Ditambah lagi
kepercayaan antara penjual & pembeli masih tipis
sehingga kepercayaan kepada
pembayaran elektronik masih kurang. Hal inilah yang menghambat penggunaan kartu
kredit
77
internet-intranet
Munculnya Jenis Kejahatan Baru

Adanya penggunaan kartu kredit curian / palsu dalam transaksi oleh para carder sehingga
meresahkan para pengguna kartu kredit. Ditambah banyaknya penipuan melalui SMS, dengan
berkedok kuis, serta kurangnya perlindungan kepada konsumen kareba selama ini para
aparat keamanan kurang tegas dalam menindaknya.
Perkembangan E-Commerce
Perkembangan e-commerce di Indonesia sendiri telah ada sejak tahun 1996, dengan
berdirinya Dyviacom Intrabumi atau D-Net (www.dnet.net.id) sebagai perintis transaksi
online. Wahana transaksi berupa mal online yang disebut D-Mall (diakses lewat D-Net) ini telah
menampung sekitar 33 toko online/merchant. Produk yang dijual bermacam-macam, mulai dari
makanan, aksesori, pakaian, produk perkantoran sampai furniture. Selain itu, berdiri pula
http://www.ecommerce-indonesia.com/, tempat penjualan online berbasis internet yang
memiliki fasilitas lengkap seperti adanya bagian depan toko (storefront) dan shopping cart
(keranjang belanja). Selain itu, ada juga Commerce Net Indonesia - yang beralamat di
http://isp.commerce.net.id/. Sebagai Commerce Service Provider (CSP) pertama di
Indonesia, Commerce Net Indonesia menawarkan kemudahan dalam melakukan jual beli di
internet. Commerce Net
Indonesia sendiri telah bekerjasama dengan lembaga-lembaga yang membutuhkan
e-commerce, untuk melayani konsumen seperti PT Telkom dan Bank International
Indonesia. Selain itu, terdapat pula tujuh situs yang menjadi anggota Commerce Net
Indonesia, yaitu Plasa.com, Interactive Mall 2000, Officeland, Kompas Cyber Media,
Mizan Online Telecommunication Mall dan Trikomsel.

Kehadiran e-commerce sebagai media transaksi baru ini tentunya menguntungkan banyak
pihak, baik pihak konsumen, maupun pihak produsen dan penjual (retailer). Dengan
menggunakan internet, proses perniagaan dapat dilakukan dengan menghemat biaya dan
waktu.
Perkembangan e-Commerce di Indonesia pada tahun-tahun mendatang. E- commerce
sebetulnya dapat menjadi suatu bisnis yang menjanjikan di Indonesia. Hal ini tak lepas dari
potensi berupa jumlah masyarakat yang besar dan adanya jarak fisik yang jauh
78
internet-intranet
sehingga e-commerce dapat dimanfaatkan dengan maksimal. Sayangnya, daya beli

masyarakat yang masih rendah dan infrastruktur telekomunikasi yang tidak merata di
daerah-daerah lainnya membuat e-commerce tidak begitu populer. Hal ini tak lepas dari
jumlah pengguna internet di Indonesia yang hanya sekitar 8 juta orang dari 215 juta
penduduk. Selain itu, e-commerce juga belum banyak dimanfaatkan oleh perusahaanperusahaan di Indonesia.
Meskipun relatif banyak perusahaan yang sudah memasang homepage, hanya sedikit yang
memfungsikannya sebagai sarana perniagaan/perdagangan online. Sebagian besar homepage
itu lebih difungsikan sebagai media informasi dan pengenalan produk. Menurut Adji
Gunawan, Associate Partner dan Technology Competency Group Head Andersen
Consulting, secara umum ada tiga tahapan menuju e-commerce, yakni: presence
(kehadiran), interaktivitas dan transaksi. Saat ini, kebanyakan homepage yang dimiliki
perusahaan Indonesia hanya mencapai tahap presence, belum pada tahap transaksi. Pada
akhirnya, perkembangan teknologi dan peningkatan pengguna internet di Indonesia akan
membuat e-commerce menjadi suatu bisnis yang menjanjikan
Peluang & Solusi
E-Commerce merupakan peluang bagi para pengusaha khususnya pengusaha kecil dan
menengah untuk menembus pasar global yang pada akhirnya akan meningkatkan daya saing
ekonomi nasional.
Diperlukan upaya bersama untuk:
1. Sosialisasi dan edukasi pasar E-Commerce Indonesia.

2. Penyiapan infrastruktur fisik yang mendukung aplikasi E-Commerce.
3. Penyiapan regulasi yang kondusif bagi E-Commerce.
4. Peningkatan kualitas produk nasional agar dapat memenuhi standar internasional dalam
menembus pasar global.
79
internet-intranet
Latihan Soal.
1. Apa konsep dasar dari sistem keamanan e-commerce !
2. Jelaskan tujuan dari konsep dasar sistem keamanan e-commerce ?
3. Apa yang dilakukan untuk melindungi kemanan dan komputer terhadap serangan dari
para hacker !
4. E-commerce memiliki karakteristik yang khas. Jelaskan karakteristik tersebut !
5. Apa yang dimaksud dengan internet bust !
(Download Lebih Lengkap)
Tag :
Download Materi Kuliah Teknik Informatika, Teknik Informatika/Ilmu Komputer, Otomata dan
Pengantar Kompilasi , E-Commerce, Internet, E-Commerce, Keamanan Sistem E-Commerce
Diposkan oleh Handrie Noprisson di 05.25

Label: Download Materi Kuliah
0 komentar:
Poskan Komentar
Link ke posting ini
Buat sebuah Link
Poskan Komentar
what is your comment?. ^^
Posting Lebih Baru Posting Lama Beranda
Langganan: Poskan Komentar (Atom)
Site Info
Cari Materi Kuliah Anda Disini!
Parameter Blog
Rate My Blog
Daftar Materi Kuliah

What's Up!
News
Lifestyle
Gossip
Lainnya
Beasiswa
Dalam Negeri Luar Negeri
Berita Pendidikan
Dalam Negeri Luar Negeri Tips Kuliah
Safety Riding
Recent Post
Fren-List Banner
Web Directory
Search Engine Submission - AddMe Safety Blogcatalog Free web directory Free RSS Feeds
Directory Web Directory for Free! This site is listed under Drivers Directory seo tool LINK ADD
URL Seo Friendly Web Directory Free web directory Directory Storm Directory Dmegs Web
Directory
Fren-List Link
Amalia-Amel Aryes-Novianto Atif-Romeo BlogSaiin Budaya Download PCMAV go blog go
ilmuGRAFIS Iklan baris gratis tanpa daftar ~..lovtoshr..~ lawlet-anime moevils Summer Lock
Download Materi Kuliah
Blogger template Simple n' Sweet by Ourblogtemplates.com 2009
Back to TOP
Home
About
RSS
manlukman
Just another WordPress.com site
Hey there! Thanks for dropping by manlukman! Take a look around and grab the RSS feed to
stay updated. See you around!
Uncategorized
SISTEM MANAJEMEN KEAMANAN INFORMASI

Filed under: Uncategorized Leave a comment
March 15, 2011
Sistem Manajement Keamanan Informasi ( ISMS), rata-rata digunakan para manajer untuk
mengukur, memonitor dan mengendalikan keamanan informasi mereka. Manajemen Keamanan
Informasi ini memberikan perlindungan informasi dan penghitungan asset yang ada.
Manajemen Keamanan Informasi ini mempunyai tiga komponen kunci dalam menyediakan
jaminan layanan keamanan informasi diantaranya :
Kerahasiaan memastikan bahwa informasi dapat diakses hanya untuk mereka yang authorised
untuk mempunyai akses.
Integritas melindungi kelengkapan dan ketelitian informasi dan memproses metoda.

Ketersediaan memastikan bahwa para pemakai authorised mempunyai akses ke informasi dan
berhubungan dengan asset ketika diperlukan.
Dalam mencapai keamanan informasi ini, satu perangkat kendali, bisa digunakan menjadi suatu
kebijakan, struktur organisasi, atau perangkat lunak yang berfungsi sebagai prosedur untuk
diterapkan. Perangkat kendali ini harus dapat memastikan sasaran hasil keamanan secara spesifik
bagi kita dan pelanggan pada umumnya.
Salah satu contoh hasil survey yang dilakukan oleh ISBS, yang menunjukkan mengapa format
informasi apapun penting bagi bisnis suatu perusahaan, dan persepsi perusahaan terhadap resiko
yang mungkin melanggar keamanannya.
Gambar 1 : Menunjukkan hasil dari survei ISBS 2000.
a. Mengapa Sistem Manajemen Keamanan Informasi Dibutuhkan?
Menurut Survei Pelanggaran Keamanan Informasi ( ISBS), yang dilakukan terhadap beberapa
organisasi / perusahaan . Salah satu penemuan yang paling mengejutkan dalam ISBS 2000
adalah bahwa :
31%, organisasi yang diwawancarai , mereka tidak memiliki informasi apapun yang mereka
pertimbangkan untuk menjadi kritis dan sensitive secara alamiah bagi bisnis mereka ,
58%, organisasi yang diwawancarai, keamanan informasi dipertimbangkan untuk suatu
permasalahan bisnis penting, hanya satu dari tujuh telah melakukan suatu kebijakan yang
menggambarkan sistem manajemen keamanan informasi mereka.
Uraian pelanggaran keamanan ini menunjukkan sebagian besar usaha keamanan informasi
adalah dipusatkan pada ancaman eksternal, ancaman yang utama datang dari dalam organisasi.
Kesalahan Operator dan kegagalan tenaga manusia adalah dua sumber pelanggaran keamanan
paling besar. Virus memperoleh 16% tentang peristiwa keamanan, sedang akses yang
unauthorised eksternal memperoleh 2%.
Demikian juga survey dilakukan ISBS terhadap 1000 orang manajer sebagai penanggung jawab
keamanan informasi organisasinya. Ini adalah penemuan kunci Keamanan Informasi Survei
Pelanggaran 2000:
60% tentang organisasi sudah menderita/mengalami suatu pelanggaran keamanan dalam 2

tahun terakhir .
Di atas 30% tentang organisasi tidak mengenali bahwa informasi bisnis mereka adalah baik
secara kritis maupun sensitip, dan dikarenakan suatu asset bisnis.
40% tentang perusahaan yang melaporkan pelanggaran keamanan adalah dalam kaitan dengan
operator atau kesalahan pemakai.
Organisasi yang itu semua mempunyai informasi sensitip atau kritis, 43% diderita yang
sangat serius atau yang sangat serius pelanggarannya, dan lebih 20% diderita yang telah
sedang serius melanggar berlangsung 2 tahun.
paling sedikit seluruh organisasi bisa menilai implikasi bisnis terhadap pelanggaran keamanan
yang mereka diderita dan menunjukkan bahwa ongkos pelanggaran itu dapat lebih dari
100,000.
Di atas 70% dari semua peristiwa keamanan adalah suatu hasil dari kesalahan pemakai operator
atau gangguan daya internal.
Laporan menunjukkan bahwa hanya 2% tentang pelanggaran informasi yang serius adalah dalam
kaitannya dengan akses eksternal unauthorised.
Gambar pertunjukan 60% tentang perusahaan menderita pelanggaran keamanan.

Masing-Masing kategori menunjukkan prosentase dari perusahaan dalam jumlah 60% yang
mengalami pelanggaran .
Gambar 2 menunjukkan hasil survey ISBS 2000 terhadap pelanggaran keamanan
b . Penerapan Standard ISO 17799 : ISMS
Pada Part 3.1 Kode Praktek mengatakan bahwa Manajemen perlu menetapkan suatu arah
kebijakan yang jelas dan menunjukkan dukungan terhadap keamanan informasi melalui isu dan
pemeliharaan dari suatu kebijakan keamanan informasi terhadap organisasi.
Tujuan ISO 17799 adalah untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset
informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. Jaminan dicapai
melalui Kontrol / pengendalian bahwa manajemen diciptakan dan dipelihara di dalam organisasi.
Untuk menjalankannya, ISO 17799 menggambarkan suatu proses atas penyelesaian dengan
menyediakan basis untuk keseluruhan Sistem Manajemen Keamanan Informasi (ISMS).
Faktor pokok dari proses ini adalah sebagai berikut:
Gambarkan suatu kebijakan keamanan
Gambarkan lingkup ISMS
Lakukan suatu penilaian resiko
Atur resiko itu
Pilih sasaran hasil kendali dan mengendalikan untuk diterapkan
Siapkan suatu statemen yang dapat dipakai (applicabilas).
Dan dibawah ini adalah flowchart dari ISMS :
Derajat tingkat jaminan keamanan diperlukan untuk dicapai melalui suatu pengendalian bahwa
manajemen menciptakan dan memelihara organisasi. Pengaturan ke sepuluh kontrol / kendali
yang ada pada ISO 17799 digunakan untuk mengimplementasikan suatu program keamanan
informasiyang sukses, yaitu dengan:
Information Security Policy
Memanfaatkan kebutuhan bagi Kebijakan Keamanan Informasi untuk menyediakan arah

manajemen dan dukungan bagi keamanan informasi. Keuntungan dari ini adalah Suatu target
untuk suatu sistem keamanan yang efektif dapat diciptakan.
Security Organisation
Struktur keamanan organisasi harus dengan jelas direncanakan.

Keuntungan adalah : kebutuhan keamanan internal dan eksternal dapat dikenali, dikendalikan
dan dimonitor.
Asset Classification and Control (Penggolongan Asset dan Kendali Informasi ):

ditugaskan suatu nilai, mencerminkan dampak pada kerugian yang mungkin
dimiliki organisasi. Keuntunggannnya : Tingkat keamanan, sesuai melindungi
nilai informasi, dapat diterapkan.
Personnel Security
Keamanan Personil Staff harus dilatih, relevan dengan area yang mendukung kebijakan
keamanan ( mengidentifikasi pelanggaran atas kebijakan, staff vetting, persetujuan kerahasiaan
dan tanggung-jawab individu untuk tugas spesifik).
Cek Keamanan dapat dilaksanakan pada suatu basis reguler, dengan semua orang di dalam
organisasi itu.
Physical and Environmental Security
Phisik dan Keamanan Lingkungan Safe-Keeping informasi, di semua lingkungan di mana itu
digunakan atau disimpan, harus dikendalikan dan dimonitor. Keuntungannya :Resiko informasi
gagal / kehilangan melalui pencurian, banjir dan lain lain adalah merupakan minimised.
Computer and Network Security
Komputer Dan Keamanan Jaringan Prosedur yang didokumentasikan harus menunjukkan yang
sekarang dan informasi baru, aman dari kerugian, atau penyingkapan.
Keuntunggannya : Suatu program acara keamanan berkesinambungan pada tempatnya untuk
melindungi informasi elektronik
System Access Control
Kendali Akses Sistem.Penekanan tertentu ditempatkan pada operasi sistem yang in-house dan
rata-rata dengan masukan untuk system yang diperoleh. Keuntunggannya : Akses Unauthorised
ke informasi dapat dikendalikan.
Systems Development and Maintenance
Pengembangan Sistem dan Pemeliharaan Semua sistem baru harus diuji dan dikendalikan dari
lingkungan. Keuntungannya : Pintu belakang mengakses ke informasi sekarang via suatu
sistem baru harus dicegah.
Business Continuity Planning
Perencanaan Kesinambungan Bisnis harus disiapkan dan yang dibaharui untuk menilai orang
agar dapat dipercaya setia di dalam sekarang dan lingkungan kerja yang ditinjau kembali.
Keuntungannya : Kesadaran dari semua resiko keamanan potensial dapat dikendalikan dan
dicapai.
Compliance
Pemenuhan Kebijakan Keamanan harus teraudit untuk memastikan bahwa itu mematuhi
peraturan dan kebutuhan. Keuntunggannya : Undang-undang. Resiko penuntutan untuk yang
tidak memenuhi adalah minimised.
(Source http://www.nqa.com)
Maka bagi Perusahaan yang sudah mengembang;kan suatu Sistem Manajemen Keamanan
Informasi ( ISMS) dapat menyesuaikan diri dengan ISO 17799 dan menunjukkan suatu
komitmen keamanan informasi. Sertifikasi ini akan memberi kunci keuntungan organisasi /
perusahaan atas pesaing dengan menyediakan kredibilitas tambahan tidak ternilai. Ini
memungkinkan suatu organisasi untuk membuat suatu statemen publik kemampuan dan akan
juga memberi organisasi itu kepercayaan di dalam integritas dan keamanan tentang sistem
kepunyaan dan prosesnya sebagai yang terukur .
Adapun manfaat proses keamanan informasi dalam Standard ISO 17799 bagi perusahaan
adalah sebagai berikut:
Suatu metodologi tersusun yang dikenali
Proses yang digambarkan untuk mengevaluasi, menerapkan, memelihara, dan mengatur
keamanan informasi
Satu set kebijakan dikhususkan, standard, prosedur, dan petunjuk
Sertifikasi mengijinkan organisasi untuk mempertunjukkan status keamanan informasi mereka
sendiri
Menunjukkan Sertifikasi Penelitian
Secara internal keuntungan-keuntungan menerapkan suatu ISO 17799 Sistem Manajemen

Keamanan Informasi (ISMS) dapat digunakan sebagai:
Suatu pengukuran untuk keamanan perusahaan
Satu set kendali
Suatu metoda untuk menentukan target dan mengusulkan peningkatan
Basis untuk standard keamanan informasi intern perusahaan
Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk mengukur, mengatur dan
mengendalikan informasi yang penting kepada operasi system mereka. Pada gilirannya ini dapat
mendorong kearah kepercayaan pelanggan, yang lebih efisien dan
sistem internal efektif serta suatu tanda kelihatan dari kesanggupan suatu organisasi .
c. Sertifikasi ISMS
Sertifikasi Pihak ketiga menawarkan suatu pandangan yang tidak memihak dari sistem keamanan
perusahaan, Hal ini memudahkan dalam melakukan usaha / bisnis; tentunya akan mendorong
dan memungkinkan organisasi untuk masuk ke hubungan uasaha / bisnis , dengan
mempromosikan memungut manajemen keamanan informasi sesuai ke bidang uasaha / bisnis
demi kepentingan bisnis global secara keseluruhan.
Sertifikasi dari ISMS seluruhnya sifatnya sukarela/fakultatif. Organisasi yang mana dengan
sukses melengkapi sertifikasi proses itu, mempunyai kepercayaan lebih besar di dalam
manajemen keamanan informasi mereka dan akan mampu menggunakan sertifikat itu untuk
membantu, meyakinkan bisnis bersekutu dengan siapa yang mereka berbagi informasi. Sertifikat
membuat suatu statemen kemampuan publik, dan mengijinkan organisasi untuk
menyimpan/pelihara secara detil tentang sistem keamanan rahasianya .
About these ads

Related
Konsep Sistem Informasi Manajemen

MANAJEMEN SISTEM INFORMASI PENDIDIKAN
Tugas Sistem Informasi Manajemen
Comments RSS feed
Leave a Reply
Sistem Informasi Manajemen pada Perusahaan

Sistem Informasi Manajemen Sekolah E-School
Recent entries
o
Sistem Informasi Manajemen II
Peranan Teknologi Informasi di Bidang Manajemen/Bisnis

dan Perbankan
Struktur Sistem Informasi Manajemen
Sistem Informasi Manajeman (SIM)
Browse popular tags
Meta
Register
Log in
Entries RSS
Comments RSS
Friends & links

o
Discuss
Get Inspired
Get Polling
Get Support
Learn WordPress.com
WordPress Planet
WordPress.com News
Pages
o
About
Monthly archives
o
March 2011
Create a free website or blog at WordPress.com. | The Motion Theme.

[ Back to top ]
Follow
Follow manlukman
Get every new post delivered to your Inbox.

Build a website with WordPress.com
Etika Ilmu Teknologi Informasi
Beranda
Tentang Kami
Berita
Tutorial
Kuliah
Home Unlabelled Ancaman Fraud /Kecurangan (Cyber Crime)

Ancaman Fraud /Kecurangan (Cyber Crime)
19.58
nita
0
Akhir-akhir ini pimpinan suatu organisasi / manajemen perusahaan banyak yang

mengkhawatirkan timbulnya kecurangan (fraud) dilingkungan organisasi / perusahaannya.
Fraud memang dapat terjadi kapan saja dan di perusahaan mana saja. Meskipun suatu
organisasi (perusahaan) telah menggunakan teknologi tinggi (computerized) namun sulit
terdeteksi apabila terjadi kolusi antara oknum karyawan dengan pihak ketiga diluar organisasi
/ perusahaan. Fraud dapat dilakukan oleh orang dalam perusahaan (internal fraud) yang
mengetahui kebijakan dan prosedur perusahaan. Fraud juga dapat dilakukan oleh seseorang
dari luar perusahaan. Mengingat adanya pengendalian (control) yang diterapkan secara ketat
oleh hampir semua organisasi / perusahaan untuk mengamankan asetnya, membuat pihak luar
sukar untuk melakukan pencurian.
Internal fraud terdiri dari 2 (dua) kategori yaitu Employee fraud yang dilakukan oleh
seseorang atau kelompok orang untuk memperoleh keuntungan finansial pribadi maupun
kelompok dan Fraudulent financial reporting. Fraudulent financial reporting adalah perilaku
yang disengaja atau ceroboh, baik dengan tindakan atau penghapusan,yang menghasilkan
laporan keuangan yang menyesatkan (bias). Saat ini hampir semua organisasi telah
menggunakan teknologi komputer dalam pengolahan data / informasi, sehingga baik internal
fraud maupun fraudulent financial reporting dapat dilakukan melalui kejahatan komputer
(computer fraud). Computer fraud saat ini sedang menjadi topik hangat dalam dunia
keamanan sistem informasi (information system security). Kejahatan dunia maya (cyber
crime) yang salah satunya akses internet melalui komputer desktop atau notebook dari tahun
ke tahun selalu meningkat. Apabila computer fraud tidak segera ditangani dengan serius dan
komprehensif, maka akan sangat merugikan organisasi (perusahaan), bahkan dapat
menimbulkan kebangkrutan.
Mengingat kejahatan ini menggunakan teknologi tinggi, maka pembuktiannya relatif sulit dan
memerlukan pengetahuan khusus, seperti forensic audit. Audit terhadap cyber crime dapat
dilakukan dengan bantuan software, seperti CAAT (Computer Assisted Audit Tools). Auditor
yang melakukan audit atas cyber crime, selain harus ahli di bidang EDP Audit juga ahli di
bidang fraud audit. Untuk memiliki keahlian khusus dibidang audit sistem informasi, auditor
dapat mengikuti ujian sertifikasi untuk memperoleh gelar CISA (Certified Information System
Audit). Akan lebih baik lagi, apabila auditor tersebut juga memiliki gelar CFE (Certified Fraud
Examiner). Melalui kombinasi keahlian dibidang audit sistem informasi dan fraud audit,
diharapkan dapat mengungkap cyber crime secara cermat dan cepat. Saat ini kita perlu
mengembangkan disiplin khusus yaitu computer forensic, hal ini menjadi sangat penting
mengingat cyber crime melalui kejahatan komputer (computer fraud) semakin meluas dan
canggih.
Proses, Unsur dan Faktor Pemicu Fraud
Proses timbulnya fraud biasanya terdiri dari 3 (tiga) macam, yaitu pencurian (theft) dari
sesuatu yang berharga (cash, inventory, tools, supplies, equipment atau data), konversi
(conversion) asset yang dicuri kedalam cash dan pengelabuhan / penutupan (concealment)
tindakan kriminal agar tidak dapat terdeteksi. Unsur-unsur fraud antara lain sekurangkurangnya melibatkan dua pihak (collussion), tindakan penggelapan/penghilangan atau false
representation dilakukan dengan sengaja, menimbulkan kerugian nyata atau potensial atas
tindakan pelaku fraud. Meskipun organisasi / perusahaan secara hukum dapat menuntut para
pelaku fraud, namun ternyata tidak mudah usaha untuk menangkap para pelaku fraud,
mengingat pembuktiannya relatif sangat sulit. Apalagi apabila fraud tersebut termasuk
perbuatan kolusi dalam computer fraud. Penyebab timbulnya fraud berupa segitiga fraud (the
fraud triangle), sebagai berikut :
The Fraud Triangle
Penyebab / faktor pemicu fraud dibedakan atas 3 (tiga) hal yaitu :
* Tekanan (Unshareable pressure/ incentive) yang merupakan motivasi seseorang untuk
melakukan fraud. Motivasi melakukan fraud, antara lain motivasi ekonomi, alasan emosional
(iri/cemburu, balas dendam, kekuasaan, gengsi) dan nilai (values).
* Adanya kesempatan / peluang (Perceived Opportunity) yaitu kondisi atau situasi yang
memungkinkan seseorang melakukan atau menutupi tindakan tidak jujur.
* Rasionalisasi (Rationalization) atau sikap (Attitude), yang paling banyak digunakan adalah
hanya meminjam (borrowing) asset yang dicuri.
Fraud dapat dikatagorikan atas 3 (tiga) macam sbb. :
* Penyalahgunaan wewenang/jabatan (Occupational Frauds); kecurangan yang dilakukan oleh
individu- individu yang bekerja dalam suatu organisasi untuk mendapatkan keuntungan
pribadi.
* Kecurangan Organisatoris (Organisational Frauds); kecurangan yang dilakukan oleh organisasi
itu sendiri demi kepentingan/keuntungan organisasi itu.
* Skema Kepercayaan (Confidence Schemes). Dalam kategori ini, pelaku membuat suatu
skema kecurangan dengan menyalahgunakan kepercayaan korban.
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem
informasi, akan terus meningkat dikarenakan beberapa hal, antara lain:
* Aplikasi bisnis yang menggunakan (berbasis) teknologi informasi dan jaringan komputer
semakin meningkat. Sebagai contoh saat ini mulai bermunculan aplikasi bisnis seperti on-line
banking, electronic commerce (e-commerce), Electronic Data Interchange (EDI), dan masih
banyak lainnya.
* Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan membutuhkan
lebih banyak operator dan administrator yang handal. Padahal mencari operator dan
administrator yang handal adalah sangat sulit.
* Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus dimengerti dan
masalah interoperability antar vendor yang lebih sulit ditangani.
* Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai yang
mencoba-coba bermain atau membongkar sistem yang digunakannya.
* Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan
telekomunikasi yang sangat cepat.
Jenis-Jenis Fraud
Jenis-jenis fraud yang sering terjadi di suatu organisasi (perusahaan) pada umumnya dapat
dibedakan atas 3 (tiga) kategori :
* Pemalsuan (Falsification) data dan tuntutan palsu (illegal act). Hal ini terjadi karena pelaku
fraud secara sadar dan sengaja memalsukan suatu fakta, laporan, penyajian atau klaim yang
mengakibatkan kerugian keuangan atau ekonomi dari para pihak yang menerima laporan atau
data palsu tersebut.
* Penggelapan kas (embezzlement cash), pencurian persediaan/aset (Theft of inventory /
asset) dan kesalahan (false) atau misleading catatan dan dokumen.
* Kejahatan Komputer (Computer fraud).
Computer fraud adalah kejahatan / kecurangan dengan memanfaatkan teknologi komputer
sebagai sarana pengolahan data / informasi. Computer fraud termasuk salah satu kejahatan
kerah putih (white collar crime). White collar crime adalah kegiatan yang salah atau
serangkaian dari tindakan yang dilakukan tanpa tindakan secara non-fisik dan rahasia atau
tipu muslihat untuk mendapatkan uang atau property,untuk menghindari pembayaran atau
kehilangan uang atau property, atau untuk mendapatkan bisnis termasuk keuntungan pribadi.
Computer fraud meliputi tindakan ilegal yang mana pengetahuan tentang teknologi komputer
adalah sangat esensial untuk perpetration, investigation atau prosecution. Dengan
menggunakan sebuah komputer seorang fraud perpetrator dapat mencuri lebih banyak dalam
waktu lebih singkat dengan usaha yang lebih kecil. Pelaku fraud telah menggunakan berbagai
metode untuk melakukan Computer fraud .
Jenis-jenis Computer Fraud
Pengkategorian Computer fraud melalui penggunaan model pemrosesan data (data processing
model), dapat dirinci sbb :
* Cara yang paling sederhana dan umum untuk melaksanakan fraud adalah mengubah
computer input.
* Computer fraud dapat dilakukan melalui penggunaan sistem (dalam hal ini Processor) oleh
yang tidak berhak, termasuk pencurian waktu dan jasa komputer serta penggunaan komputer
untuk keperluan diluar job deskripsi pegawai.
* Computer fraud dapat dicapai dengan mengganggu perangkat lunak (software) yang
mengolah data perusahaan atau Computer istruction . Cara ini meliputi mengubah software,
membuat copy ilegal atau menggunakannya tanpa otorisasi (unauothorized).
* Computer fraud dapat dilakukan dengan mengubah atau merusak data files organisasi /
perusahaan atau membuat copy, menggunakan atau melakukan pencarian terhadap data
tanpa otorisasi.
* Computer fraud dapat dilaksanakan dengan mencuri atau menggunakan secara tidak benar
system output.
Pencegahan Computer Fraud
Salah satu cara untuk mencegah timbulnya computer fraud adalah dengan merancang sebuah
sistem yang dilengkapi dengan internal control yang cukup memadai sehingga computer fraud
sukar dilakukan oleh pihak luar maupun orang dalam perusahaan. Selain itu manajemen
perusahaan harus memiliki komitmen untuk selalu meningkatkan budaya integritas (culture of
integrity). Mengingat computer fraud dewasa ini semakin meningkat, metode dan cara untuk
melindungi perusahaan dari computer fraud masih sangat terbatas, secara hukum Indonesia
belum ada cyber law yang dapat dijadikan payung bagi petugas polisi dan aparat terkait
lainnya untuk bertindak dan saat ini masih menggunakan KUHP umum. Berikut beberapa cara
perlindungan yang dapat dilakukan oleh organisasi / perusahaan untuk melindungi /
mencegah timbulnya computer fraud, yaitu:
*
*
*
*
*
*
*
*
*
Personnel screening.
Definisi pekerjaan (job defined).
Pemisahan tugas (segregration of duties).
Etika profesional (professional ethics)
Lisensi (license)
System design control
Physical access security
Electronic access security.
Internal control and edit.
Computer fraud harus dicegah sebelum terjadi, merupakan tanggung jawab manajemen untuk
menciptakan lingkungan yang kondusif sehingga dapat mencegah terjadinya computer fraud.
Pendeteksian fraud oleh Internal Auditor
Pada awalnya perhatian utama internal auditor adalah langsung mendeteksi terjadinya
computer fraud. Namun fungsi internal auditor ternyata lebih bersifat protektif dan detektif
daripada konstruktif. Berdasarkan Statement on Internal Auditing Standards (SIAS). Ada 4
(empat) fungsi dan tanggung jawab dari internal auditor dalam menghadapi fraud, yaitu :
Pencegahan computer fraud
Tanggung jawab utama pencegahan computer fraud berada pada pihak manajemen. Tanggung
jawab internal auditor terletak pada audit dan evaluasi kelengkapan dan keefektifan tindakan
yang dijalankan managemen untuk memenuhi kewajibannya
Pendeteksian computer fraud

Internal auditor harus memiliki pengetahuan yang cukup tentang computer fraud untuk dapat
melakukan identifikasi indikasi computer fraud. Apabila pengendalian (control) terhadap
kelemahan yang signifikan telah dideteksi, sebagai pengujian lanjutan (substantive test)
internal auditor harus menambahkan pengujian langsung (direct test) terhadap identifikasi
dan indikator computer fraud. Meskipun prosedur audit serta kemahiran jabatan professional
(due professional care) dari internal auditor telah dilakukan dengan baik belum tentu dapat
menjamin sepenuhnya computer fraud dapat dideteksi.
Penginvestigasian computer fraud
Investigasi terhadap computer fraud mungkin telah diarahkan atau telah ada partisipasi dari
internal auditor, lawyer, investigators, security personnel, dan spesialis lainnya dari dalam
maupun luar perusahaan. Internal auditor harus dapat mengakses fakta dari seluruh computer
fraud investigation , sebagai berikut :
* Menjelaskan kebutuhan pengendalian (control) yang harus diimplementasikan.
* Merancang pengujian audit (design audit test) untuk membantu pengungkapan adanya
computer fraud di masa yang akan datang.
* Membantu dokumentasi tanggung jawab internal auditor dalam pengembangan pengetahuan
(knowledge) tentang computer fraud, sehingga dapat digunakan sebagai pedoman / acuan
oleh para auditor berikutnya.
Pelaporan computer fraud .
Pelaporan (report) tentang computer fraud harus dibuat berdasarkan kesimpulan dari setiap
tahapan / fase investigasi. Selain itu, harus melaporkan seluruh temuan (finding),
kesimpulan, rekomendasi, dan tindak lanjut (feed back) perbaikan yang telah diambil. Apabila
internal auditor menemukan indikasidan mencurigai terjadinya computer fraud di perusahaan,
maka ia harus segera memberitahukan hal tersebut kepada top manajemen. Apabila indikasi
tersebut cukup kuat, manajemen akan menugaskan suatu tim audit untuk melakukan
investigasi. Tim yang ditugaskan tersebut biasanya yang memiliki keahlian dibidang Sistem
Informasi (computer skill). Sertifikat internasional bagi auditor yang lulus ujian sertifikasi
spesialisasi bidang audit sistem informasi adalah Certified Information System Audit (CISA).
Peran internal auditor untuk menemukan indikasi adanya computer fraud dan melakukan
investigasi terhadap computer fraud adalah sangat besar. Walaupun internal auditor tidak
dapat menjamin bahwa computer fraud tidak akan terjadi, namun ia harus menggunakan
kemahiran jabatannya (due professional care) dan dapat memberikan saran / rekomendasi
yang bermanfaat kepada manajemen untuk mencegah terjadinya computer fraud.
Rekomendasi internal audit tersebut akan membantu manajemen dalam mengambil tindakan
perbaikan sehingga kemungkinan terjadinya computer fraud dapat diperkecil.
Berdasarkan uraian tersebut diatas dapat disimpulkan sebagai berikut :
1. Fraud merupakan problem yang serius, dan Computer Fraud dapat terjadi kapan saja dan di
organisasi (perusahaan) mana saja, maka manajemen perusahaan harus mengambil langkahlangkah komprehensif untuk mencegah timbulnya computer fraud antara lain melalui
peningkatan internal control, review sistem & prosedur serta peningkatan integritas moral
karyawan dan manajemen perusahaan.
2. Auditor internal maupun auditor independen bertanggung jawab untuk melakukan
pencegahan (prevention), pendeteksian (detection) serta penginvestigasian (investigation)
terhadap computer fraud.
3. Salah satu jenis audit yang dapat dilakukan oleh auditor internal maupun auditor
independen untuk melakukan pencegahan, pendeteksian serta penginvestigasian terhadap
computer fraud adalah melalui audit sistem informasi atau EDP audit.
Sumber: alexandermarpaung.blogspot.com
posted by anita
Next
This is the most recent post.
Previous
UU ITE Republik Indonesia Tentang Cyber Crime
Recent Posts
Akhir-akhir ini pimpinan suatu organisasi / manajemen perusahaan banyak yang

mengkhawatirkan timbulnya kecurangan (fraud) dilingkungan organisasi...Read more
Secara umum, materi Undang-Undang Informasi dan Transaksi Elektronik (UUITE)

dibagi menjadi dua bagian besar, yaitu :
pengaturan mengen...Read more
7 Kejadian Hacker Terbesar Di seluruh Dunia
1. KodiakTahun 1994, Kodiak mengakses rekening dari beberapa pelanggan perusahaan

besar pada bank utama dan mentransfer dana ke rekening yang tel...Read more
Cybercrime berdasarkan Jenis Modus Operandi
Kejahatan dunia maya atau Cyber Crime sekarang berada diurutan kedua setelah
kejahatan narkoba dilihat dari keuntungan materi yang diperolehnya bag...Read more
Praktik Jual Beli Data Nasabah Kartu Kredit Marak
Rabu, 03 November 2010 "YLKI meminta BI untuk mengubah klausul kontrak kartu
kredit yang dianggap merugikan konsumen." YLKI menyayangkan marakny...Read more
0 komentar:
Poskan Komentar
Click to see the code!

To insert emoticon you must added at least one space before the code.
BlogRoll
Recent Post
Dapatkan Widget Ini

Akhir-akhir ini...

Secara umum, materi...

1. KodiakTahun...

Kejahatan dunia...
Praktik Jual Beli Data
Nasabah Kartu Kredit Marak

Rabu, 03 November...
Share
[Get Widget]
Popular Posts

Akhir-akhir ini pimpinan suatu organisasi / manajemen perusahaan banyak
yang mengkhawatirkan timbulnya kecurangan (fraud) dilingkungan ...

Secara umum, materi Undang-Undang Informasi dan Transaksi Elektronik
(UUITE) dibagi menjadi dua bagian besar, yaitu :
penga...
BI Ajak Nasabah Waspadai Penyalahgunaan Kartu Kredit dan Debit

Rabu, 03 April 2013 | 07:18 WIB Ilustrasi---MI/Sumaryanto/ip
Metrotvnews.com, Jakarta: Kejahatan fraud p...
Archive
2013 (11)
o
Oktober (9)
Praktik Jual Beli Data Nasabah Kartu Kredit Marak
BI Ajak Nasabah Waspadai Penyalahgunaan Kartu Kred...
Faktor-Faktor Penyebab Cybercrime Fraud Confidenti...
Hacker Account
Cyber Crime Fraund Confidential
September (2)
Label
CyberCrime
Hacker
Tentang Kami
UU ITE
Daftar Blog Saya
Yudhi Trianto
Video
Copyright 2016 Etika Ilmu Teknologi Informasi All Right Reserved
Blogger Designed by IVYthemes | MKR Site
Posts RSS | Comments RSS
Akuntansi
Selasa, 14 Oktober 2014
KEAMANA SISTEM INFORMASI
KEAMANAN SISTEM INFORMASI

1. Keamanan Sistem Informasi: Sebuah Tinjauan
Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas
mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem keamanan
informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedur,
dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan pelanggaran
keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, dan digunakan
untuk menghasilkan laporan.
A. Siklus Hidup Sistem Keamanan Informasi

Sistem keamanan elektronik merupakan sebuah sistem informasi. Oleh karena itu, pengembangan sistem keamanan juga perlu mengacu pada pendekatan siklus hidup sistem. Sistem keamanan komputer dikembangkan dengan menerapkan metode analisis, desain, implementasi, serta
operasi, evaluasi, dan pengendalian. Tujuan setiap tahap siklus hidup ini adalah sebagai berikut.
Fase Siklus Hidup

Analisis sistem
Tujuan
Analisis kerentanan sistem dalam arti mengacu
yang relevan dan eksposur kerugian yang
Desain sistem
terkait dengan ancaman tersebut.

Desain ukuran keamanan dan rencana
kontingensi untuk mengendalikan eksposur
Implementasi sistem
kerugian yang teridentifikasi.

Menerapkan ukuran keamanan seperti yang
Operasi, evaluasi, dan pengendalian sistem
telah didesain.
Mengoperasikan sistem dan menaksir
efektivitas dan efisiensi.
Membuat perubahan sebagaimana diperlukan
sesuai dengan kondisi yang ada
Tujuan fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan laporan analisis
kerentanan dan ancaman. Tujuan fase kedua adalah untuk mendesain serangkaian ukuran
pengendalian risiko yang komprehensif, termasuk ukuran keamanan untuk mencegah kerugian
dan rencana kontingensi untuk menangani kerugian pada saat kerugian tersebut harus terjadi.
Secara kolektif, keempat fase tersebut disebut manajemen risiko sistem informasi. Manajemen
risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan risiko sistem
komputer.
B. Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security officer
(CSO). Individu tersebut harus melaporkan langsung pada dewan direksi demi terciptanya
independensi. Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk
mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.
Fase Siklus Hidup

Analisis sistem
Laporan kepada Dewan Direksi

Sebuah ringkasan terkait dengan semua
Desain sistem
eksposur kerugian yang relevan.

Rencana detail mengenai pengendalian dan
pengelolaan kerugian, termasuk anggaran
Implementasi sistem, operasi, evaluasi, dan
sistem keamanan secara lengkap.

Mengungkapkan secara spesifik kinerja sistem
pengendalian sistem
keamanan, termasuk kerugian dan pelanggaran

keamanan yang terjadi, analisis kepatuhan,
serta biaya operasi sistem keamanan.
C. Menganalisis Kerentanan dan Ancaman

Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem. Pendekatan
kuantitatif untuk manaksir risiko menghitung setiap eksposur kerugian sebagai hasil kali
biaya kerugian setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut. Sebagai
contoh, asumsikan bahwa sebuah kerugian dapat digambarkan sebagai suatu faktor risiko antara
0 dan 1. Kemudian laporan analisis ancaman, sebagi contoh ditunjukkan pada Gambar 5.1.
Dalam contoh tersebut, pencurian data merupakan eksposur kerugian terbesar, diikuti dengan
kecurangan dan serangan virus (serangan yang diakibatkan oleh program komputer yang
memang didesain untuk menyabotase file-file penting).
Manfaat terbesar dari analisis semacam ini adalah ia dapat menunjukkan bahwa ancaman yang
paling mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar. Sebagai contoh,
pada Gambar 5.1, ancaman yang paling banyak terjadi adalah pencurian peralatan sistem
informasi, tetapi tingkat eksposur kerugian akibat ancaman tersebut bisa dikatakan paling kecil.
Laporan Analisis Ancaman
Kerugian Potensial
Risiko
Eksposur Kerugian ($)
Pencurian data
Kecurangan dan
($)
700.000.000
1.200.000.000
0.050
0.025
35.000.000
30.000.000
serangan virus
Sabotase
Perubahan file
Perubahan program
Pencurian peralatan
2.500.000.000
400.000.000
80.000.000
15.000.000
0.010
0.050
0.020
0.100
25.000.000
20.000.000
1.600.000
1.500.000
Bencana alam
100.000.000
Gambar 5.1 Laporan Analisis Ancaman
0.008
800.000
Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir

eksposur kerugian. Pertama, mengidentifikasi biaya yang relevan untuk setiap item kerugian dan
menaksir probabilitas terjadinya eksposur tersebut merupakan hal yang sulit. Biaya yang relevan
untuk satu kerugian adalah turunnya profitabilitas perusahaan sebagai akibat terjadinya kerugian
tersebut. Tetapi, biaya tersebut sulit diestimasi karena estimasi melibatkan estimasi biaya
interupsi bisnis yang sulit diprediksi atau estimasi biaya penggantian komputer yang hanya dapat
diganti dengan model baru yang sebenarnya tidak sebanding dengan komputer lama. Yang
kedua, mengestimasi kemungkinan terjadinya suatu kerugian melibatkan peramalan masa yang
akan datang, yang sangat sulit khususnya dalam lingkungan teknologi yang mengalami
perubahan sangat cepat. Sebagai contoh, banyak manajer gagal melihat masalah di masa yang
akan datang terkait dengan virus komputer. Lebih jauh, dalam upaya menaksir probabilitas
terjadinya serangan yang disengaja terhadap suatu sistem, seseorangan harus mengestimasi biaya
dan manfaat serangan semacam ini bagi penyerang. Estimasi ini memerlukan asumsi mengenai
preferensi risiko penyerang. Sebagai contoh, seorang penyerang mungkin bersedia untuk
menerima risiko yang lebih besar dibandingkan dengan penyerang lain untuk mendapatkan
sejumlah dollar yang sama. Penyerang yang sangat suka risiko mungkin akan bersedia
menerima risiko sangat besar untuk mendapatkan sedikit upah.
Metode kedua yang dapat digunakan untuk menaksir risiko keamanan komputer adalah
pendekatan kualitatif. Pendekatan ini secara sederhana merinci daftar kerentanan dan ancaman
terhadap sistem, kemudian secara subjektif maranking item-item tersebut berdasarkan kontribusi
setiam item tersebut terhadap total eksposur kerugian perusahaan. Baik pendekatan kualitatif
maupun pendekatan kuantitatif sering digunakan di dalam praktik. Banyak perusahaan
mengombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai, analisis eksposur
kerugian tersebut harus mencakup area berikut ini:
Interupsi bisnis
Kerugian perangkat lunak
Kerugian data
Kerugian perangkat keras
Kerugian fasilitas
Kerugian jasa dan personel
Jika pendekatan kuantitatif digunakan, biaya dapat diestimasi menggunakan satu dari banyak
metode, termasuk replacement cost, service denial, kewajiban kepada pihak ketiga (yang
disebabkan oleh ketidakmampuan perusahaan memenuhi suatu kontrak), dan interupsi bisnis.
2. Kerentanan dan Ancaman

Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu
potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman: aktif dan
pasif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase komputer. Ancaman
pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir,
kebakaran, dan angin badai. Kegagalan sistem menggambarkan kegagalan komponen peralatan
sistem, seperti kegagalan harddisk, matinya aliran listrik, dan lain sebagainya.
A. Tingkat Keseriusan Kecurangan Sistem Informasi

Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan kerah putih.
Masalah kejahatan kerah putih merupakan masalah yang serius. Statistik menunjukkan bahwa
kerugian perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat suap,
perampokan, dan pencurian. Hal ini mungkin mengejutkan karena kita jarang membaca
kejahatan semacam ini di dalam media massa. Hal ini terjadi karena di sebagian besar kasus,
kecurangan yang terdeteksi jarang diajukan ke meja hijau karena bisa membuat public
mengetahui kelemahan pengendalian internal perusahaan. Manager enggan berhadapan dengan
sisi negative publisitas yang bisa menimbulkan penghakiman masyarakat.
Keamanan sistem informasi merupakan masalah internasional. Banyak negara memiliki
undang-undang yang ditujukan pada masalah keaman komputer (lihat Gambar 5.2). Di Amerika
Serikat, berbagai undang-undang, regulasi, dan publikasi ditunjukan pada masalah kejahatan
komputer. Banyak negara bagian telah mengeluarkan statula kriminal guna menentang kejahatan
komputer. Computer Fraud and Abuse Act Tahun 1986 menyatakan akses tidak legal yang
dilakukan dengan sengaja terhadap data yang disimpan dalam komputer lembaga keuangan,
komputer yang dimiliki atau digunakan oleh pemerintah federal, atau komputer yang beroperasi
dalam perdagangan terbatas merupakan sebuah kejahatan federal. Pencurian password untuk
akses komputer juga dilarang. Tindakan kriminal ditentukan oleh kerugian perangkat lunak
senilai $1,000 atau lebih; pencurian barang berwujud, jasa, atau uang; atau akses tanpa atau
dengan perubahan terhadap catatan medis. Denda tanpa mencapai $250,000 atau dua kali lipat
nilai data yang dicuri, dan pelaku utama dapat dikenai hukuman penjara satu sampai dengan lima
tahun.
National Commission on Fraudulent Financial Reporting (Treadway Commission)
mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan manajemen
merupakan kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk
menipu investor dan kreditor melalui pelaporan keuangan yang menyesatkan. Kecurangan
semacam ini dilakukan oleh mereka yang memiliki posisi cukup tinggi di dalam organisasi
sehingga memungkinkan mereka melanggar pengendalian akuntansi. Memang bisa saja
manajemen melakukan kesalahan lain yang memiliki potensi untuk merugikan karyawan atau
investor, namun biasanya istilah kecurangan namajemen mengacu pada manipulasi laporan
keuangan.
Undang-Undang Keamanan Komputer Internasional
Canada
Kode Kriminal 301.2 (1). Penggunaan Komputer tanpa Otoritas legal,
menetapkan pinalti criminal sampai dengan 10 tahun untuk kecurangan
Denmark
penggunaan jasa komputer atau penyadapan sinyal atau fungsi komputer.

Kode Kriminal Pasal 263, Akses ke Informasi Orang Lain, menetapkan
penalti kriminal sampai dua tahun atas akses tidak legal terhadap informasi
Firlandia
atau program pengolahan data orang lain.

Penal Provision of Personal Registers Act,1987, Pasal 45, Personal
Registers Trespass, menetapkan penalti kriminal sampai enam bulan atas
penggunaan kode pengguna lain atau sarana kecurangan untuk mengakses
Perancis
data personal yang disimpan dalam pemrosesan data komputer.

Undang-Undang Nomor 88-19, Kode Kriminal, Bab 111, Artikel 462-2
sampai 9, menetapkan penalti kriminal sampai tiga tahun atas akses illegal
terhadap pemalsuan, modifikasi atau penghapusan data, atau penggunaan
Switserland
data yang diperoleh dari sistem pemrosesan data yang terotomatisasi.

Kode Kriminal Pasal 147, Kecurangan Penggunaan Sistem Pengolahan
Data, menetapkan penalti kriminal sampai 10 tahun atas kesengajaan
menambah atau menghapus record data dengan tujuan untuk kepentingan
diri sendiri.
Gambar 5.2 Undang-Undang Keamanan Komputer Internasional
Treadway Commission mendefinisikan kejahatan pelaporan keuangan sebagai perilaku sengaja
atau tidak sengaja, entah dengan melakukan sesuatu atau lalai melakukan sesuatu, yang
menghasilkan laporan keuangan yang secara material menyesatkan. Komisi memelajari 456
kasus siding terhadap auditor. Kecurangan manajemen ditemukan pada separuh dari total kasus
tersebut. Komisi mengamati bahwa sistem informasi berbasis komputer menggandakan potensi
penyalahgunaan atau rekayasa informasi sehingga meningkatkan risiko kecurangan dalam
peloporan keuangan.
B. Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi

Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file data
yang sensitive, atau program yang kritis. Tiga kelompok individu-personal sistem, pengguna, dan
penyusup-memiliki perbedaan kemampuan untuk mengakses hal-hal tersebut di atas. Personal
sistem kerap kali merupakan ancaman potensial karena mereka diberi berbagai kewenangan
akses terhadap data dan program yang sensitive. Pengguna,di sisi lain, hanya diberi akses
terbatas (sempit), tetapi mereka masih memiliki cara untuk melakukan kecurangan. Penyusup
tidak diberi akses sama sekali, tetapi mereka sering merupakan orang-orang yang sangat cerdas
yang bisa menimbulkan kerugian yang sangat besar pada perusahaan.
Personal Sistem Komputer

Personal sistem meliputi:
1. Personal Pemeliharaan Sistem Personal pemeliharaan sistem menginstalperangkat keras dan
perangkat lunak, memperbaiki perangkat keras, dan membetulkan kesalahan kecil di dalam
perangkat lunak.
2. Programer Programer sistem sering menulis program untuk memodifikasi dan memperluas
sistem operasi jaringan. Programer aplikasi bisa saja membuat modifikasi yang tidak diharapkan
terhadap program yang ada saat ini atau menulis program baru guna menjalankan hal-hal yang
tidak semestinya.
3. Operator Jaringan Individu yang mengamati dan memonitor operasi komputer dan jaringan
komunikasi disebut operasi jaringan.
4. Personal Administrasi Sistem Informasi Supervisor sistem menempati posisi kepercayaan yang
sangat tinggi. Orang ini biasanya memiliki akses ke rahasia keamanan, file, program, dan lain
sebagainya.
5. Karyawan Pengendali Data Mereka yang bertanggung jawab terhadap penginputan data ke
dalam komputer. Posisi ini memberi peluang bagi karyawan untuk melakukan manipulasi data
input.
Pengguna
Pengguna terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang lain
karena area fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak pengguna
memiliki akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing perusahaan.
Dalam beberapa kasus, pengguna memiliki kendali terhadap input komputer yang cukup penting,
seperti memo kredit, kredit rekening, dan lain sebagainya.
Penyusup
Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak yang legal
merupakan penyusup. Penyusup yang menyerang sistem informasi sebagai sebuah kesenangan
dan tantangan dikenal dengan nama hacker.
Tipe lain dari penyusup mencakup:
1. Unnoticed Intruder Seorang pelanggan bisa berjalan masuk ke dalam area yang tidak dijaga dan
melihat data yang sensitif di dalam komputer personal yang sedang tidak ada orangnya. Seorang
hacker bisa saja masuk ke dalam sistem dan merusak website perusahaan.
2. Wiretapper Sebagian besar dari informasi diproses oleh komputer perusahaan melewati kabel.
Sebagian informasi ditransmisikan hanya dari satu ruang ke ruang lain. Informasi yang lain
mungkin saja ditransmisikan antarnegara melalui internet. Jaringan ini rentan terhadap
kemungkinan wiretapping (penyadapan). Penyadapan ini bisa dilakukan, bahkan dengan
peralatan yang tidak mahal seperti sebuah tape recorder dan sepotong kabel yang memungkinkan
terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi penyadapan.
3. Piggybacker Salah satu jenis penyadapan canggih, dengan metode ini, penyadap menyadap
informasi legal dan menggantinya dengan informasi yang salah.
4. Impersonating Intruder Adalah individu-individu tertentu yang bertujuan melakukan kecurangan
terhadap perusahaan. Salah satu tipe penyusup menggunakan user ID dan password yang
diperoleh dengan cara yang tidak legal untuk mengakses sumber daya elektronik perusahaan.
5. Eavesdroppers CRT (cathode-ray tubes) standar yang banyak digunakan di unit display video
menghasilkan interferensi elektomagnetik pada suatu frekuensi yang dapat ditangkap sengan
seperangkat televisi sederhana.
C. Ancaman Aktif pada Sistem Informasi

Manipulasi Input
Dalam banyak kasus kejahatan komputer, manipulasi input merupakan metode yang biasa
digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa
saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
Mengubah Program
Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk melakukan
kejahatan komputer. Langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian
pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak
perusahaan besar memiliki metode pengujian program yang dapat digunakan untuk mendeteksi
adanya perubahan dalam program.
Mengubah File Secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong proses
normal untuk menginputkan data ke dalam program komputer. Jika hal ini terjadi, hasil yang
dituai adalah bencana.
Pencurian Data
Pencurian data merupakan salah satu masalah yang cukup serius dalam dunia bisnis hari ini.
Dalam industri dengan tingkat persaingan yang sangat tinggi, informasi kuantitatif dan kualitatif
terkait dengan salah seorang pesaing merupakan salah satu informasi yang cukup diburu.
Pengadilan sejak lama telah mengakui bahwa data yang tersimpan dalam komputer perusahaan
merupakan data pribadi yang tidak dapat digunakan tanpa izin dari perusahaan yang
bersangkutan. Lebih jauh, individu-individu dengan akses terhadap e-mail, dapat dengan mudah
menyalin informasi rahasia dan mengirim informasi tersebut ke luar perusahaan lewat internet.
Dengan menggunakan metode tersebut, penyusup dapat mencuri sejumlah besar informasi hanya
dalam hitungan menit.
Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau perangkat
lunak dapat menyebabkan kebangkrutan suatu perusahaan. Karyawan yang tidak puas,
khususnya yang telah dipecat, biasanya merupakan pelaku sabotase utama. Sabotase telah
menjadi isu besar dalam perdagangan web. Pada satu sisi, biaya tahunan yang dikeluarkan untuk
keamanan elektronik lebih dari $6 miliar. Pda sisi lain, keberhasilan hacker menyerang website
semakin meningkat. Bahkan perusahaan besar dengan sistem yang canggih pun harus menjadi
korban. Hampir setiap hari media keuangan secara terus menerus melaporkan kasus hacker yang
berhasil mengambil alih Website perusahaan.
Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan
sumber daya komputer organisasi untuk kepentingan pribadi. Luasnya permasalahan tersebut,
seperti tipe kejahatan komputer yang lain, tidak terlalu diketahui. Namun, sangat mungkin
masalah ini terjadi di banyak perusahaan.
D. Sistem Keamanan Sistem Informasi

Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran keamanan dan
perencanaan kontingensi. Ukuran keamanan fokus pada pencegahan dan pendeteksian ancaman;
rencana kontingensi fokus pada perbaikan terhadap akibat dampak suatu ancaman. Sebuah
doktrin yang dipercaya dalam keamanan sistem informasi adalah sebagian ancaman tidak dapat
dicegah tanpa pengembangan sutu sistem yang sangat aman. Lebih jauh lagi, tidak ada sistem
keamanan yang sangat berharga tanpa adanya suasana kejujuran dan kesadaran.
Perlu diingat bahwa sistem keamanan komputer merupakan bagian dari struktur pengendalian
internal perusahaan secara keseluruhan. Ini berarti, elemen dasar pengendalian internal
(supervise yang memadai, rotasi pekerjaan, batch kontrol total, pengecekan validitas, dan lain
sebagainya) merupakan aspek penting dalam sistem keamanan komputer. Keamanan sistem
informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal yang secara khusus
digunakan untuk mengatasi masalah-masalah dalam sistem informasi.
E. Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian. Pembangunan lingkungan pengendalian yang bagus tergantung pada tujuh faktor yaitu:
1. Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang tinggi
dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Tidak peduli
seberapa canggih suatu sistem, pasti selalu ada cara untuk mengganggu keamanan sistem. Oleh
karena itu, garis pertahanan yang utama adalah suasanan kesadaran akan pentingnya keamanan.
Menciptakan suasana semacam ini dapat dilakukan dengan banyak cara.
Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuan pendidikan
keamanan adalah agar setiap karyawan memiliki kepedulian terhadap keamanan. Keamanan
harus diperlakukan dengan sangat serius. Semua pelanggaran harus mengakibatkan adanya rasa
bersalah dalam diri karyawan. Mereka yang memegang tanggung jawab harus memberikan
teladan yang baik.
Peraturan keamanan harus selalu dimonitor. Jika tidak, sistem akan mudah dilupakan.
Hubungan yang baik harus selalu dibina dengan seluruh karyawan. Moral yang rendah dapat
menyeb abkan tingginya probabilitas terjadinya kecurangan. Komunikasi yang baik dengan
karyawan dapat mengurangi masalah rendahnya moral.
2. Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya diorganisasi di
bawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan fungsi
pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputasi. Hal ini menimbulkan
banyak masalah dalam upaya membuat dan menjaga pola otoritas dan wewenang yang jelas.
Satu hal yang penting adalah, harus dibuat satu garis wewenang yang jelas untuk menentukan
siapa yang bertanggung jawab mengambil keputusan terkait dengan perangkat lunak akuntansi
dan prosedur akuntansi. Harus ada orang yang bertanggung jawab terhadap sistem keamanan
komputer.
3. Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui
pemilihan auditor internal. Idealnya, auditor internal seharusnya memiliki pengalaman yang baik
terkait dengan keamanan komputer dan bertindak sebagai chief computer security officer. Dalam
situasi apa pun, individu-individu tersebut harus melapor secara periodic kepada komite audit
mengenai semua fase sistem keamanan komputer.
4. Aktivitas Pengendalian Manajemen
Penting untuk membangun pengendalian terkait dengan penggunaan dan pertanggung jawaban
semua sumber daya sistem komputer dan informasi.
5. Fungsi Audit Internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi
kebutuhan yang terus berubah. Chief security officer harus membangun kebijakan keamanan
yang relevan dengan sistem yang ada saat ini dan relevan dengan perubahan sistem yang terjadi.
Semua modifikasi sistem, baik perangkat keras, perangkat lunak, atau personalia, harus
diimplementasikan sesuai dengan kebijakan keamanan yang telah dibuat.
6. Kebijakan dan Praktik Personalia
Pemisahan tugas, supervise yang memadai, rotasi pekerjaan, vakasi wajib, dan penge-cekan
ganda semua merupakan praktik personalia yang penting. Peraturan yang terpenting barangkali
adalah memisahkan pekerjaan pengguna komputer dan persona-lia sistem komputer.
7. Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hokum dan regulasi local, federal, dan Negara
bagian. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data, termasuk data
terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka, personalia dan
pemerintah. Hukum dan regulasi ini juga mengatur pengiriman informasi ke negara lain.
F. Keamanan Internet
Topik mengenai keamanan internet menuntut perhatian khusus karena koneksi perusahaan
dengan internet memberi peluang bagi perusahaan untuk menjadi sasaran setiap hacker yang ada
di dunia. Internet menciptakan jendela elektronik bagi dunia luar yang mengeliminasi semua
isolasi fisik sumber daya informasi perusahaan. Oleh karena itu, semua lapisan pemisahan fisik
yang terkait dengan pendekatan akses berlapis guna menciptakan keamanan sistem, tidak
sepenuhnya dapat mengamankan sistem informasi perusahaan. Kerentanan terkait dengan
internet dapat muncul akibat kelemahan-kelemahan berikut ini:
1. Kerentanan Sistem Operasi
Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya, setiap kelemahan di
dalam keamanan sistem operasi juga menjadi kelemahan keamanan web server. Untuk alasan
inilah administrator keamanan harus pertama dan terpenting mengamankan sistem operasi.
Masalahnya, tidak ada sistem operasi yang bebas dari serangan. Hacker selalu menemukan
kelemahan baru di dalam sistem operasi. Oleh karena itu, administrator harus secara konstan
memonitor bulletin keamanan yang dipublikasikan oleh vendor sistem operasi dan oleh jasa
advisory pihak ketiga. Sebagai contoh, Microsoft selalu memperbarui informasi keamanan untuk
Windows melalui webside perusahaan di www.microsoft.com/.
2. Kerentanan Web Server
Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu
memonitor buletin terkait dengan informasi dan pembaruan keamanan perihal konfigurasi web
server. Pengawasan informasi terkini semacam ini penting karena web server dan web browser
lebih sering mengalami pembaruan dibandingkan sistem operasi.
3. Kerentanan Jaringan Privat

Ketika web server ditempatkan pada suatu komputer host yang terkoneksi ke berbagai komputer
melalui suatu LAN, akan timbul suatu risiko, Hacker dapat menyerang satu komputer melalui
satu komputer yang lain. Jika pengguna komputer memiliki akses ke komputer yang memiliki
host web server, maka hacker pertama kali akan masuk ke dalam komputer pengguna.
Kemudian, hacker akan menggunakan hak akses penggu-na yang asli untuk melakukan invasi ke
dalam komputer host web server.
4. Kerentanan Berbagai Program Server
Banyak komputer host suatu web server tidak hanya menjalankan web server, tetapi juga serverserver yang lain, seperti FTP server (untuk transfer file dari dank e komputer lain), e-mail server,
dan remote control server (yang memungkinkan komputer yang lokasinya jauh mengendalikan
komputer host). Yang menjadi masalah adalah setiap tambahan server merupakan satu tambahan
risiko. Cacat keamanan terkait dengan salah satu server dapat menjadi pintu masuk bagi hacker
untuk menyerang semua server yang lain dan samua file di dalam komputer, bahkan komputerkomputer lain yang terhubung ke server dalam LAN.
5. Prosedur Keamanan Umum
Suasana keamanan yang secara keseluruhan baik merupakan satu hal yang penting. Perangkat
lunak keamanan yang terbaik di dunia tidaka akan banyak membantu jika administrator sistem
tidak menegakkan kebijakan keamanan.
3. Pengelolaan Risiko Bencana

Bencana bisa saja terjadi. Hancurnya World Trade Center di kota New York merupakan salah
satu contoh dari bencana yang tidak diharapkan yang secara serius telah menginterupsi jalannya
aktivitas bisnis. Banyak organisasi tergantung pada sistem komputer untuk mendukung operasi
bisnisnya sehari-hari. Konsekuensi dari ketergantungan ini adalah, jika pemrosesan sistem
komputer tertunda atau terinterupsi, organisasi mesti menanggung kerugian yang cukup
signifikan. Pengelolaan risiko bencana merupakan satu hal yang penting untuk memastikan
kontinuitas operasi bisnis jika terjadi suatu bencana.
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam
suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak perusahaan
asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya perusahaan
yang tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.
A. Mencegah Terjadinya Bencana

Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu bencana.
Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:
Bencana alam
30 %
Tindakan kejahatan yang terencana 45 %
Kesalahan manusia
25 %
Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana dapat
dikurangi atau dihindari dengan kebijakan keamanan yang baik.
Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan dan
perencanaan keamanan yang baik. Sistem elektronik dan mekanik yang memadai untuk
menangani kebakaran, banjir, dan intrusi merupakan satu hal yang penting. Sistem semprotan air
dapat membahayakan komponen elektronik. Banyak perusahaan menggunakan sistem pemadam
api yang berbasis sesuatu selain air, seperti gas, busa, atau bedak.
B. Perencanaan Kontingensi Untuk Mengatasi Bencana

Rencana pemuliahan dari bencana harus diimplementasikan pada level tertinggi di dalam
perusahan. Idealnya, rencana pemuliahan mesti mendapatkan persetujuan dari dewan direksi
sebagai bagian dari perencanaan keamanan komputer secara umum. Langkah pertama
mengembangkan rencana pemulihan dari bencana adalah adanya dukungan dari manajemen
senior dan penetapan komite perusahaan. Seletah kedua hal tersebut, rencana pemulihan dari
bencana harus didokumentasikan dangan hati-hati dan disetujui oleh kedua pihak tersebut. Hasil
estimasi menyatakan bahwa biaya awal yang diperlukan guna mengimplementasikan perencanaan pemulihan dari bencana berkisar antara 2 % sampai 10 % dari total anggaran sistem
informasi.
Menaksir Kebutuhan Penting Perusahaan
Semua sumber daya penting harus diidentifikasi. Sumber daya yang penting ini mencakup
perangkat keras, perangkat lunak, peralatan listrik, peralatan pemeliharaan, ruang gudang,
catatan yang vital, dan sumber daya manusia.
Daftar Prioritas Pemulihan dari Bencana
Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama, bahkan sekalipun
perusahaan memiliki perencanaan yang baik. Oleh karena itu, harus dibuat prioritas terkait
dengan kebutuhan perusahaan yang paling penting. Daftar prioritas mengindikasi aktivitas dan
jasa yang memang genting yang perlu segera dibangun kembali dalam hitungan menit atau
hitungan jam setelah terjadinya suatu bencana. Disisi lain, perencanaan bisa saja
mengindikasikan aktivitas dan jasa lain yang harus dibangun dalam hitungan hari, minggu, atau
bulan setelah terjadinya suatu bencana.
Strategi dan Prosedur Pemulihan
Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perenca-naan
ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga, pada saat bencana
benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang harus
melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut harus dilaku-kan.
Pusat Respons Darurat
Pada saat terjadi bencana, semua wewenang pengolahan data dan operasi komputer dialihkan
kepada tim respons darurat, yang dipimpin oleh direktur operasi darurat. Individu-individu ini
memimpin jalannya perencanaan pemulihan dari pusat operasi darurat, sebuah tempat yang
memang ditetapkan sebelumnya.
Prosedur Eskalasi
Prosedur eskalasi menyatakan kondisi seperti ini apa yang mengharuskan perlunya pengumuman terjadinya bencana, siapa yang harus mengumumkan, dan siapa orang yang harus diberi
tahu tentang adanya bencana.
Rencana Relokasi Karyawan
Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya memindahkan
karyawan ke lokasi cadangan. Hal ini memerlukan perencanaan ynag hati-hati karena banyak
karyawan sulit dipindahkan dalam sementara waktu.
Rencana Penggantian Karyawan
Kemungkinan perusahaan kehilangan karyawan pada saat terjadinya bencana juga perlu
dipertimbangkan. Penggantian seorang karyawan dengan kemampuan yang tinggi merupakan
satu hal yang tidak mudah. Penggantian karyawan semacam ini memerlukan pelatihan yang
sangat ekstensif.
Perencanaan Penyelamatan
Dalam beberapa bencana, perusahaan masih dapat menyelamatkan peralatan dan catatan yang
berharga dari kerugian lebih lanjut, jika perusahaan dapat mengambil tindakan yang tepat secara
cepat. Sebagai contoh, sebuah bangunan yang kehilangan atap pada saat terjadi topan badai akan
menyebabkan bangunan tersebut menghadapi risiko kehujanan. Dalam situasi semacam ini,
kerugian dapat diminimalkan jika tindakan penyelamatan segera dilakukan.
Perencanaan Pengujian Sistem dan Pemeliharaan Sistem
Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat. Oleh karena itu, setiap
perencanaan pemulihan dari bencana mesti diuji setiap enam bulan sekali. Perencanaan yang
kadaluwarsa atau tidak teruji barangkali tidak dapat dijalankan pada saat bencana benar-benar
terjadi.
KESIMPULAN
Sistem keamanan sistem informasi merupakan subsistem organisasi yang berperan mengendalikan risiko khusus terkait dengan sistem informasi terkomputerisasi. Sistem keamanan
dikembangkan dengan menerapkan pendekatan siklus hidup tradisional, seperti analisis sistem,
desain sistem, implementasi sistem, serta operasi, evaluasi, dan pengendalian sistem.
Ada dua pendekatan utama untuk menganalisis kerentanan dan ancaman sistem dalam
perencanaan keaman komputer. Dalam pendekatan kuantitatif untuk menaksir risiko, seperti
eksposur kerugian dihitung dengan mengalikan biaya kerugian setiap item eksposur dengan
probabilitas terjadinya eksposur tersebut. Pendekatan kualitatif guna menaksir risiko mendaftar
dan meranking (secara subjektif) tingkat kerentanan dan ancaman sistem, dengan tujuan untuk
menentukan kontribusi item eksposur terhadap kerugian perusahaan secara total.
Kerentanan adalah suatu kelemahan dan sistem komputer, dan ancaman adalah potensi
eksploitasi suatu kerentanan. Berbagai hukum, regulasi, dan publikasi mengarah kepada masalah
kejahatan komputer. Keberhasilan serangan terhadap suatu sistem komputer mensyaratkan akses
ke perangkat keras, file data yang sensitive, atau program-program yang penting. Setiap orang
yang punya akses keperalatan data komputer atau file tanpa otorisasi legal, adalah penyusup. Ada
berbagai jenis penyusup, seperti: unnoticed intruder, impersonating intruder, wiretapper,
piggybacker, dan eavesdropper. Paling tidak ada enam cara untuk melakukan kejahatan
komputer, yaitu manipulasi input, pengubahan program, pengubahan file secara langsung,
pencurian data, sabotase, dan penyalagunaan atau pencurian sumber daya komputer.
Sabotase merupakan satu hal yang sangat berbahaya bagi setiap instalasi sistem. Ada banyak
cara untuk merusak instalasi. Program komputer dapat digunakan untuk menjalankan sabotase.
Masalah yang potensial adalah bom logika, kuda Troya, program virus, dan worm. Pengendalian
ancaman dapat dilakukan dengan mengimplementasikan ukuran-ukuran keamanan dan perencanaan kontingensi. Ukuran keamanan fokus pada pencegahan dan pendeteksian ancaman.
Perencanaan kontingensi fokus pada perbaikan kerusakan sebagai dampak terjadinya suatu
ancaman. Lingkungan pengendalian organisasi merupakan dasar keefektifan seluruh sistem
pengendalian.
Cara utama yang dapat ditempuh untuk mencegah terjadinya kecurangan dan sabotase adalah
dengan menerapkan pengendalian akses berlapis.
Pengelolaan risiko bencana mencakup pencegahan dan perencanaan kontingensi. Pencegahan
bencana merupakan langkah pertama pengelolaan risiko bencana. Rencana pemulihan dari
bencana harus diimplementasikan pada level tertinggi di dalam perusahaan. Rencana tersebut
disetujui oleh komite dewan direksi sebagai bagian dari perencanaan keamanan komputer secara
umum.
DAFTAR PUSTAKA
George H. Bodnar dan William S. Hopwood, Sistem Informasi Akuntansi, Edisi 9, ANDI
Yogyakarta, 2006
Diposkan oleh handy watung di 20.28
Kirimkan Ini lewat EmailBlogThis!Berbagi ke TwitterBerbagi ke FacebookBagikan ke Pinterest
2 komentar:
1.
Rizky Amalia16 Maret 2016 07.21
Komentar ini telah dihapus oleh pengarang.
Balas
2.
Rizky Amalia16 Maret 2016 07.23
thank you soOo much :) maaaakaaasiiihhh,, membantu banget :)
Balas
Muat yang lain...
Posting Lama Beranda
Popular Posts
METODE HARGA POKOK PROSES

METODE HARGA POKOK PROSES A. PENGERIAN METODE HARGA POKOK
PROSES Metode harga pokok proses adalah metode pengumpulan biaya pro...

KEAMANAN SISTEM INFORMASI 1. Keamanan Sistem Informasi: Sebuah
Tinjauan Sistem keamanan informasi merupakan suatu subsis...
SLIDE1
Popular Posts
METODE HARGA POKOK PROSES

METODE HARGA POKOK PROSES A. PENGERIAN METODE HARGA POKOK
PROSES Metode harga pokok proses adalah metode pengumpulan biaya pro...

KEAMANAN SISTEM INFORMASI 1. Keamanan Sistem Informasi: Sebuah
Tinjauan Sistem keamanan informasi merupakan suatu subsis...
Bonjour & Welcome

Subscribe & Follow
footer social
footer logo
logo
header-menu
Beranda
Mengenai Saya
handy watung
Lihat profil lengkapku
Blogger templates
Blogroll
Blogger news
Template Awesome Inc.. Diberdayakan oleh Blogger.
Let's Safety Riding !
tips dan trik safety riding, otomotif keren dan aman, pengalaman seputar safety riding, event dan
kejadian tentang safety riding.
Keamanan Sistem E-Commerce | Download Materi Kuliah Teknik Informatika/Ilmu
Komputer
>> Sabtu, 06 November 2010
A. TUJUAN DASAR KEAMANAN
Keamanan adalah sebuah upaya yang dilakukan untuk meminimalisir sebuah
kerusakan yang terjadi pada sebuah sistem. Keamanan juga di buat untuk
membentengi semua gangguan yang di buat secara sengaja maupan tidak
sengaja. Keamanan dalam sistem informasi bisa diartikan sebagai suatu
perlindungan untuk membetengi sebuah sistem. Dan menghindarkan system
itu dari spyware maupun virus virus dan juga pengrusakan oleh hacker
maupun cracker. Tujuan dasar keamanan pada E-coomerce sendiri maupun
dalam internet dan Sistem Informasi menurut kami dapat kami rangkum,
menjadi beberapa poin :
Dapat memberikan jaminan informasi yang dikirim melalui internet tidak

dapat dibuka maupun diketahui oleh pihak yang tidak berhak.
Memberi jaminan konsistensi data informasi sesuai dengan data asli sehigga
terhindar dari penduplikatan dan perusakan data.
Terdapat jaminan bahwa hanya pengguna sah (orang yang berhak) saja yang
bisa mengakses informasi miliknya sendiri
Memberi jaminan kepastian bahwa sumber informasi tidak diakses oleh

orang yang tidak berhak/ bertanggung jawab
Dari tujuan dasar itu dapat kami jabarkan bahwa disaat kita mengirim info penting
antar personal dalam urusan bisnis maupun untuk client, kita mendapat jaminan
bahwa info itu tidak dapat dibuka pihak lain. Hal tersebut sangatlah penting
mengingat dalam dunia bisnis kita sering saling menjatuhkan satu sama lain.
Keamanan dalam E- commerce juga harus mampu memberikan jaminan data
ataupun info yang kita kirim tidak terjadi penduplikatan sehingga penerima
bisa menerima data tersebut sesuai aslinya. Selain tersebut di atas juga kita
dapat diberikan jaminan bahwa hanya kita sang pemilik lah yang bisa mengakses
yang kita miliki dan juga jaminan kepastian sumber info kita tidak di akses orang
yang tidak berhak kecuali kita membukanya secara free.
62
internet-intranet
Dalam prakteknya, berbelanja di web memerlukan koneksi ke internet dan browser

yang mendukung transaksi elektronik yang aman, seperti Microsoft Internet
Explorer dan Netscape Navigator. Microsoft dan Netscape, bekerja sama
dengan perusahaan kartu kredit (Visa dan MasterCard), serta perusahaanperusahaan internet security
(seperti VeriSign), telah membuat standar enkripsi khusus yang membuat
transaksi
melalui web menjadi sangat aman. Bahkan, Visa dan MasterCard menyediakan
jaminan keamanan 100% kepada pengguna credit cardnya yang menggunakan ecom.
Yang menandakan suatu retailer web site aman atau tidak adalah adanya
tanda khusus yang muncul di status bar di bagian bawah layar browser. Pada IE,
tanda yang muncul adalah tanda gembok terkunci di pojok kanan status bar.
Sedangkan pengguna Netscape Navigator, akan melihat tanda kunci di pojok kiri
status bar. Jika tanda-tanda tersebut muncul, berarti Anda sedang ter-connect
pada server yang aman. Walaupun begitu, karena standar yang dipakai untuk
secure connection ini relatif baru, belum semua cybershop menggunakan
standar ini.
Kumpulan dari banyak cybershop yang telah terintegrasi dinamakan cybermall.

Beberapa cybermall akan mengecek terlebih dahulu legitimasi dari cybershop
yang akan masuk, sehingga dapat menghindari adanya cybershop yang palsu.
Beberapa cybermall juga menyediakan jasa-jasa tambahan, seperti billing atau
tagihan yang tersentralisasi, menjadikan proses belanja menjadi lebih mudah dan
aman.
Sehingga dalam pelayanan E-commerce adanya sistem keamanan yang baik
akan
sangat mempengaruhi kenyamanan pengguna cybershop. Dalam
kenyataannya sistem
E-commerce sangat bervariatif jadi untuk kedepannya akan sangat diperlukan
sebuah sistem yang lebih baik lagi dari masa ke masa. Sehingga perkembangan Ecommerce di indonesia akan semakin maju dan memasyarakat.
63
internet-intranet
B. KONSEP DASAR KEAMANAN
Menurut kami konsep system keamanan merupakan suatu dasar

penerapan teknologi untuk mencapai tujuan tujuan tertentu dengan menggunakan
system keamanan. Dengan mempelajari konsep system keamanan ini,kami
dapat mengeetahui tujuan-tujuan konsep dasar keamanan.
Konsep system dasar keamanan memiliki tujuan-tujuan seperti :
Confidentally.Yang berarti Menjamin apakah informasi yang dikirim tersebut

tidak dapat
dibuka atau tidak dapat diketahui oleh orang lain yang tidak berhak
Integrity: Menjamin konsistensi data tersebut apakah masih utuh sesuai aslinya
atau tidak, sehingga upaya orang-orang yang tidak bertanggung jawab untuk
melakukan penduplikatan dan perusakan data bisa dihindari.
Availability: Menjamin pengguna yang sah agar dapat mengakses
informasi dan sumber miliknya sendiri.
Legitimate Use: Menjamin kepastian bahwa sumber tidak digunakan oleh
orang- orang yang tidak bertanggung jawab.
Disamping tujuan-tujuan tersebut diatas,konsep system keamanan juga

memiliki bidangbidang utama yang mencakup Sistem Keamanan Komunikasi
(Communications security), Keamanan Komputer (Computer security), Keamanan
secara fisik.
- Sistem Keamanan Komunikasi merupakan perlindungan terhadap informasi
ketika
di kirim dari sebuah sistem ke sistem lainnya.
- Keamanan Komputer (Computer security) adalah perlindungan terhadap sistem
informasi komputer itu sendiri.
- Keamanan secara fisik seperti pengamanan oleh penjaga keamanan, pintu
yang terkunci, sistem control fisik lainnya, dan sebagainya.
Keamanan secara fisik juga memiliki beberapa pengamanan seperti
keamanan personal
dan keamanan administrative.
64
internet-intranet
- Keamanan media yang digunakan meliputi pengontrolan terhadap media

penyimpanan yang ada dan menjamin bahwa media penyimpanan yang
mengandung informasi sensitive tersebut tidak mudah hilang begitu saja.

Konsep dasar keamanan juga menyangkut keamanan untuk e-Commerce.seperti :
1. Security Policy (Kebijaksanaan keamanan yang digunakan) merupakan satu
set aturan yang diterapkan pada semua kegiatan-kegiatan pengamanan dalam
security domain. Security domain merupakan satu set sistem komunikasi dan
computer yang dimiliki oleh organisasi yang bersangkutan.
2. Authorization (Otorisasi) berupa pemberian kekuatan secara hukum untuk
melakukan segala aktifitasnya
3. Accountability (kemampuan dapat diakses) memberikan akses ke personal
security.
4. A Threat (Ancaman yang tidak diinginkan) merupakan
kemungkinankemungkinan munculnya seseorang, sesuatu atau kejadian yang
bias membahayakan aset-aset yang berharga khususnya hal-hal yang
berhubungan dengan confidentiality, integrity, availability dan legitimate use.
5. An Attack (Serangan yang merupakan realisasi dari ancaman), pada system
jaringan
computer ada dua macam attack, yaitu passive attack (misalnya monitoring
terhadap segala kegiatan pengiriman informasi rahasia yang dilakukan oleh orangorang yang tidak berhak) dan active attack (misalnya perusakan informasi
yang dilakukan dengan sengaja dan langsung mengena pada sasaran).
6. Safeguards (Pengamanan) meliputi control fisik, mekanisme, kebijaksanaan
dan
prosedur yang melindungi informasi berharga dari ancaman-ancaman yang
mungkin timbul setiap saat.
Ancaman-ancamaan tersebut seperti Vulnerabilities (Lubang-lubang kemaan
yang bisa ditembus), Risk (Resiko kerugian) merupakan perkiraan nilai
kerugian yang ditimbulkan oleh kemungkinan adanya serangan yang sukses.
- Analisa Kerugian merupakan proses yang menghasilkan suatu keputusan

apakah pengeluaran yang dilakukan terhadap safeguards benarbenar bisa
menjamin tingkat keamanan yang diinginkan.
65
internet-intranet
System Penetration : orang-orang yang tidak berhak, mendapatkan akses
- Authorization Violation: Ancaman berupa pelanggaran dan

penayalahgunaan wewenang legal yang dimiliki oleh seseoarang yang berhak.
- Planting: Ancaman yang terencana misalnya Trojan horse yang masuk secara
- diam-diam yang akan melakukan penyerangan pada waktu yang telah
ditentukan.
- Communications Monitoring: penyerang dapat melakukan monitoring
semua
informasi rahasia.
-
Denial of Service (DoS): Penolakan service terhadap client yang berhak.
Repudiation: Penolakan terhadap sebuah aktivitas transaksi atau sebuah
- komunikasi yang terjadi dikarenakan sesuatu yang bersifat senagja,

kecelakaan ataupun kesalahan teknis lainnya.
Safeguard
Beberapa tindakan yang dilakukan safeguard yaitu:
- Mencegah munculnya ancaman sebelum benar-benar terealisasi
- Meminimalisasikan kemungkinan terjadinya ancaman tersebut.
- Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi.
Macam-macam Security service safe guards :

- Authentication Service: Memberikan kepastian identitas pengguna.
- Access Control Services: Melindungi semua fasilitas dan sumber-sumber yang ada
dari akses-akses yang tidak berhak.
- Confidentiality Service: Memberikan perlindungan terhadap informasi yang
berusaha disingkap oleh orang lain yang tidak berhak.
- Data Integrity Srevice: Perlindungan terhadap ancaman yang dapat mengubah
data item seandainya ini terjadi di dalam lingkungan security policy.

- Non-Repudiation Service: Melindungi user melawan ancaman yang berasal dari
user berhak lainnya. Ancaman tersebut dapat berupa kesalahan penolakan
66
internet-intranet
ketika transaksi atau komunikasi sedang terjadi.
C. JENIS KEAMANAN E-COMMERCE

Jenis jenis keamanan dalam e-commerce dibedakan dan dikelompokkan menurut
jenis kejahatan ataupun gangguan yang mungkin terjadi. Secure Electronic
Commerce: e- Commerce yang menggunakan prosedur system keamanan
dan teknik-teknik untuk menghadapi segala resiko yang terjadi. Fungsi fungsi
umumnya antara lain:
o Authentication (Pembuktian keaslian)
o
Confidentiality (kerahasiaan)
Data integrity (integritas data)
Tiga hal diatas adalah komponen yang biasanya rentan terhadap threats (ancaman)
sehingga perlu adanya sebuah system pencegahan yang harus dilakukan
agar terlindungi dari ancaman pihak pihak lain yang dapat merugikan.
Safeguards (Pengamanan) meliputi control fisik, mekanisme, kebijaksanaan dan
prosedur
yang melindungi informasi berharga dari ancaman-ancaman yang mungkin
timbul setiap saat. Diantaranya adalah :
o Vulnerabilities (Lubang-lubang kemaan yang bisa ditembus). Ini
diakibatkan system keamanan situs yang lemah sehingga pihak pihak dari luar
dapat dengan mudah menyusup dalam situs dan dapat saja melakukan kegiatan
kegiatan yang merugikan.
o Risk (Resiko kerugian) merupakan perkiraan nilai kerugian yang ditimbulkan
oleh kemungkinan adanya attack yang sukses. Ini termasuk dalam sistem
pencegahan dan penanggulangan threats (ancaman).

o Risk Analysis (Analisa Kerugian) merupakan proses yang menghasilkan
suatu keputusan apakah pengeluaran yang dilakukan terhadap safeguards
benar - benar bisa menjamin tingkat keamanan yang diinginkan. Ini
merupakan proses pertimbangan dan perhitungan baik serta buruknya
sebuah sistem keamanan yang akan di gunakan nantinya, sehingga proses ini
menjadi sangat penting untuk kedepannya.
Threats (Ancaman):
67
internet-intranet
o System Penetration : orang-orang yang tidak berhak, mendapatkan akses

o Authorization Violation: Ancaman berupa pelanggaran atau
penayalahgunaan wewenang legal yang dimiliki oleh seseoarang yang berhak.
o Planting: Ancaman yang terencana misalnya Trojan horse yang masuk secara
diam- diam yang akan melakukan penyerangan pada waktu yang telah ditentukan.
o Communications Monitoring: penyerang dapat melakukan monitoring
semua informasi rahasia.
o Communications Tampering: penyerang mengubah informasi transaksi di
tengah jalan pada sebuah jaringan komunikasi dan dapat mengganti sistem server
dengan yang palsu.
o Denial of Service (DoS): Penolakan service terhadap client yang berhak.
o Repudiation: Penolakan terhadap sebuah aktivitas transaksi atau sebuah
komunikasi yang terjadi dikarenakan sesuatu yang bersifat senagja,
kecelakaan ataupun kesalahan teknis lainnya.
Safeguards:
Yang dilakukan safeguards yaitu:
o Mencegah munculnya threats (ancaman) sebelum benar-benar terealisasi.
Dengan mempersiapkan system keamanan untuk pencegahan terjadinya ancaman.
o Meminimalisasikan kemungkinan terjadinya ancaman tersebut. Dengan
memilih sistem keamanan yang tepat sehingga kemungkinan akan
terjadinya Threats
(ancaman) dapat diminimalisasi dengan sebaik baiknya.
o Mengurangi akibat yang timbul karena ancaman yang sudah terealisasi.

Dengan mengoptimalkan system keamanan yang sudah ada, sehingga
apabila threats
(ancaman) sudah benar benar terjadi dapat diantisipasi dan ditanggani
sehingga diharapkan tidak akan menimbulkan kerusakan kerugian yang besar.
Security service safe guards:
o
Authentication Service: Memberikan kepastian identitas pengguna.
1. Entity authentication: contohnya password. Cara ini cukup membantu

dalam keotentikan dan keaslian data yang dirahasiakan.
68
internet-intranet
2. Data origin authentication: membuktikan sah tidaknya identitas dalam

bentuk
pesan tertulis.
o Access Control Services: Melindungi semua fasilitas dan sumber-sumber yang
ada dari akses-akses yang tidak berhak. Dan yang dapat merugikan baik itu
secara langsung maupun tidak langsung.
o Confidentiality Service: Memberikan perlindungan terhadap informasi
yang berusaha disingkap oleh orang lain yang tidak berhak. Yaitu mencegah diambil
atau dicurinya data data dan informasi yang bersifat private yang tidak boleh
diketahui oleh orang lain yang tidak bersangkutan.
o Data Integrity Srevice: Perlindungan terhadap ancaman yang dapat mengubah
data item seandainya ini terjadi di dalam lingkungan security policy. Kasus
tersebut termasuk dalam kasus penipuan dan pemalsuan sehingga dapat berurusan
langsung dengan pihak yang berwenang untuk diproses sesuai dengan ketentuan
yang ada.
o Non-Repudiation Service: Melindungi user melawan ancaman yang berasal
dari user berhak lainnya. Ancaman tersebut dapat berupa kesalahan
penolakan ketika transaksi atau komunikasi sedang terjadi. Ini mencegah
terjadinya perubahan data original yang dilakukan oleh orang orang dalam
lingkup yang berwenang tetapi keputusan untuk merubah data tersebut tidak
melalui persetujuan dari pihak yang berwenang lainnya, jadi keputusan
tersebut diambil secara sepihak saja dan tentu saja itu bisa merugikan pihak
pihak lainnya.
Contoh dari jenis jenis keamanan yang lainnya adalah :
1. Keamanan Komunikasi
2. Keamanan Komputer
3. Keamanan secara fisik
4. Keamanan personal
5. Keamanan administrasi
6. Keamanan media yang digunakan
69
internet-intranet
Keamanan Komunikasi
Perlindungan terhadap informasi ketika dikirim dari sebuah sistem ke sistem lain.
Sistem keamanan ini mencegah terjadinya kebocoran informasi dan data kepada
pihak lain yang tidak bersangkutan yang bisa saja disalah gunakan.
Keamanan Komputer
Perlindungan terhadap sistem informasi komputer. Dengan menerapkan sistem
pengaman komputer sebagai contoh adalah penggunaan applikasi anti virus untuk
lebih mengamankan data data yang tersimpan dalam konputer dari ancaman
yang mungkin datang.
Keamanan secara fisik
Satpam, pintu terkunci, sistem kontrol. Untuk keamanan ini tidak dipakai dalam
sistem e- commerce.
Keamanan personal
Kepribadian operator (org2 yg mengoperasikan sistem). Hal ini perlu juga
diwaspadai, karena kadang kadang dalam pikiran seseorang dapat saja
muncul pikiran yang tidak baik. Itu karena lemahnya keimanan seseorang. Bisa
juga diakibatkan oleh ketledoran dan ketidak telitian operator yang bisa saja
menimbulkan sebuah kesalahan dalam sebuah sistem yang berakibat pada
kerugian.
Keamanan administrasi
Pencatatan kejadian pada H/W atau S/W. Keamanan dalam hal ini sanagat
tergantung sekali dengan operator. Jadi untuk seorang yang bertugas dalam
bidang administrasi haruslah mempunyai konsentrasi yang tinggi, ketelitian,
ketepatan dan daya ingat yang bagus. Yaitu agar data yang akan dilaporkan atau
dicatat tidak keliru / menyimpang.
Keamanan media yang digunakan
Harddisk, dan jaminan data tidak hilang. Tidak hanya harddisk tetapi juga
semua sistem yang ada atau yang akan digunakan sebagai media harus
mempunyai spesifikasi yang cukup agar memudahkan dalam pengoprasian sistem
kerja.
70
internet-intranet
Perlindungan
Perlindungan yang dilakukan pada keamanan komunikasi dan Komputer.
1. Authentication service
Memberikan konfirmasi pengesahan terhadap identitas pengguna.

- Entity authentication. Pintu gerbang masuk pertama (password)
- Data origin authentication. Informasi sah/tidaknya sebuah identitas
2. Access Control services

Melindungi semua fasilitas dan sumber-sumber yang ada, dari akses yang tidak
berhak
3. Confidentiality Service
Memproteksi informasi yang kira-kira menjadi incaran akan disingkap oleh orang
lain
4. Data integrity services

Melindungi terhadap ancaman dari usaha orang yang akan mengubah data
5. Non repudiation Service

Perlindungan terhadap user dari ancaman user yang berhak lainnya. Cookies
Unit informasi yang disimpan di komputer client dalam bentuk text file.
Diciptakan dan digunakan oleh server untuk mengingat informasi tentang user
seperti pilihan options, atau user ID.
Informasi dalam cookies dikirim oleh browser untuk dibaca server sebagai bagian
dari HTTP request.
Server memiliki akses untuk membuat, menginisialisasi dan mengubah
parameter cookie.
o Masa habis berlaku (expiration time)
o User ID, password yang dienkripsi o Alamat server yang dituju, dsb
71
internet-intranet
D. FIREWALL
Kami dapat mendeskripsikan bahwa firewall merupakan suatu
cara/sistem/mekanisme yang diterapkan baik terhadap hardware , software ataupun
sistem
itu sendiri dengan tujuan untuk melindungi, baik dengan menyaring,
membatasi atau
bahkan menolak suatu atau semua hubungan/kegiatan suatu segmen pada jaringan
pribadi dengan jaringan luar yang bukan merupakan ruang lingkupnya.
Segmen tersebut dapat merupakan sebuah workstation, server, router, atau local
area network (LAN) anda.
Firewall digunakan atau diperuntukan yaitu untuk computer dan jaringan.
Komputer
Semua orang yang memiliki computer dan terhubung dengan jaingan

internet,pasti menginginkan semua komputernya terlindungi.
Jaringan
Jaringan komputer yang terdiri lebih dari satu buah komputer dan berbagai
jenis topologi jaringan yang digunakan, baik yang di miliki oleh perusahaan,
organisasi dsb.
Saat kita menghubungkan sumberdaya perusahaan kita ke jaringan
public seperti internet,kita meletakan data-data dan system computer kita
dalam keadaaan yang sangat beresiko tinggi.Tanpa menggunakan
firewall,baik keamanan data maupun integritas data,erupakan sasaran
empuk para hacker.Data-data kami ini kami ambil atau kutip dari buku ECommerce memahami perdagangan modern didunia maya.Dalam buku ini
dijelaskan firewall mengendalikan data-data serta system computer kita dari
kerusaakan.. Dalam hal ini,firewall dapat melindungi serangan-serangan pada
protocol individual atau aplikasi-aplikasi dan dapat secara efektif
melindungi system computer kita dari spoofing(program-program yang
merusak dan menyamar sebgai aplikasi yang bermanfaat).
KARAKTERISTIK FIREWALL
1.Seluruh hubungan/kegiatan dari dalam ke luar , harus melewati firewall.
Hal ini dapat dilakukan dengan cara memblok/membatasi baik secara fisik semua
akses terhadap jaringan Lokal, kecuali melewati firewall. Banyak sekali bentuk
jaringan yang memungkinkan.
72
internet-intranet
2.Hanya Kegiatan yang terdaftar/dikenal yang dapat melewati/melakukan

hubungan, hal ini
dapat dilakukan dengan mengatur policy pada konfigurasi keamanan lokal. Banyak
sekali jenis firewall yang dapat dipilih sekaligus berbagai jenis policy yang
ditawarkan.
3.Firewall itu sendiri haruslah kebal atau relatif kuat terhadap serangan/kelemahan.
hal ini
berarti penggunaan sistem yang dapat dipercaya dan dengan Operating system
yang relatif aman.
Firewall memilki keuntungan dan kekurangan.
Dari artikel dan buku-buku yang kami cari dan ambil intidarinya,kami dapat
menyebutkan bahwa keuntungan atau kebaikan firewall adalah :
Menjadi tumpuan untuk memfokuskan suatu sistem keamanan jaringan.
Logikanya,
firewall adalah suatu ujung dari batas wilayah jaringan kita yang terhubung
ke internet. Semua trafik harus melalui firewall baik ke dalam maupun ke
luar. Akan lebih mudah apabila kita memfokuskan sistem keamanan kita pada satu
titik daripada menyebarkan beberapa teknologi keamanan jaringan pada satu
wilayah kita sekaligus.
Merupakan perwujudan dari kebijakan sistem keamanan suatu jaringan.
Misalnya kita hanya memperbolehkan akses file transfer (FTP Service) dari
internet ke salah satu server kita, maka firewall bisa menjadi watchdog
(anjing penjaga) yang akan melarang atau menolak semua trafik dari
internet ke site kita kecuali untuk file transfer saja.
Mencatat trafik secara efisien. Karena semua trafik baik ke luar maupun
ke dalam pasti melalui firewall, maka firewall akan menyediakan suatu
tempat dan layanan untuk menyimpan aktivitas trafik serta memberikan report
yang berguna bagi kita.
Membatasi akses antar komputer di intranet kita. Terkadang, firewall
menjadi
pemisah antar bagian dari jaringan intranet kita. Misalnya, di suatu
perusahaan ada dua jaringan yaitu jaringan untuk bagian keuangan dan bagian
teknik. Dalam hal ini firewall akan menjadi pemisah antara kedua jaringan
tersebut. Dengan begitu kebijakan keamanan jaringan adalah
membatasi akses untuk masing-masing departemen.
Selain hal-hal yang bisa dilakukan oleh firewall, maka ada juga hal-hal yang tidak
dapat
dilakukan oleh firewall, yaitu:
73
internet-intranet
Melindungi jaringan dari orang dalam yang jahat (malicious insider).

Firewall
hanya akan melindungi data atau informasi yang akan dicuri oleh penyusup
yang terhubung ke sistem melalui media internet atau intranet. Namun apabila ada
orang dalam yang memang berniat untuk mengambil data secara ilegal
dengan maksud jahat, maka firewall tidak dapat melindunginya. Karena bisa jadi
orang dalam atau malicious insider tersebut melakukannya dengan cara
pemaksaan secara fisik, misalnya mencuri data dengan cara membongkar
komputer secara paksa. Atau memang pelakunya adalah "orang penting"
yang mempunyai hak akses istimewa pada sistem kita dan tidak kita duga sama
sekali.
Melindungi suatu site dari suatu koneksi yang tidak melewati firewall.
Misalnya
topologi jaringan kita hanya menerapkan firewall untuk koneksi yang ke
internet saja, padahal masih ada koneksi kita yang terhubung ke tempat lain tanpa
melalui firewall. Maka dalam hal ini firewall tidak bisa melindunginya.
Tidak dapat melindungi dari suatu serangan yang dilakukan dengan cara baru
dan
kompleks yang tidak dapat dikenali oleh firewall. contoh kasusnya adalah:
suatu serangan dengan teknik DOS (Denial of Service) dapat ditahan karena
sudah dikenal oleh firewall. Namun dalam seiring kemajuan teknologi, serangan
dengan teknik ini berkembang menjadi teknik DDOS (Distributed Denial of
Service). Penyerang melakukan penyerangan ke suatu site dengan
menggunakan "jasa" site lain yang sudah dikuasainya. Misalnya, score keeper
akan menyerang site kita secara bersamaan dari beberapa site yang sudah
menjadi korbannya terlebih dahulu. Firewall tidak dapat menahan serangan
dengan teknik DDOS apabila tidak dilakukan upgrade terlebih dahulu.
Melindungi sistem dari virus. Firewall sangat sulit untuk melindungi sistem
dari serangan virus karena firewall sangat sulit untuk melakukan hal-hal sebagai
berikut:
o Mengenali bahwa paket data yang lewat merupakan bagian dari suatu
program aplikasi.
o Menetapkan bahwa paket data yang lewat adalah suatu karakteristik dari
suatu virus.
74
internet-intranet
Menganalisa suatu perubahan pada paket data yang lewat adalah akibat dari
suatu virus.
Tantangan E-Commerce
Penerapan E-Commerce di Indonesia mengalami banyak tantangan. Hal ini

dikarenakan
E-Commerce berbeda dengan perniagaan /
perdagangan biasa,
maksudnya adalah kebanyakan hal-hal yang diperjual-belikan tidak
hanya berwujud barang seperti perdagangan yang kita kenal selama ini. Oleh
karena itu E-Commerce memiliki beberapa karakteristik khas, yaitu :
a. Transaksi tanpa batas, maksudnya dengan memanfaatkan internet
kita dapat
membuat situs web atau dengan dengan memasang suatu iklan didalam
situs-situs internet, dan tentu saja pelanggan di seluruh Negara dapat
mengaksesnya tanpa mengenal batas ruang dan waktu.
b. Transaksi anonim, maksudnya antara pembeli dan penjual tidak bertatap

muka secara langsung. Yang dipentingkan adalah masalah pembayaran, oleh
karena itu penjual tidak mementingkan identitas pembeli karena cukup
dengan melunasi pembayaran dengan menggunakan kartu kredit penjual siap
melayani pelanggannya.
c. Produk digital dan non digital, maksudnya yang diperjual-belikan seperti

lagu dalam bentuk data, software computer, dan masih banyak lagi yang
dijual dengan cara mendownload. Dalam perkembangannya obyek yang
ditawarkan melalui internet menawarkan barang-barang kehidupan lainnya.
d. Produk barang tak berwujud, maksudnya suatu perusahaan yang bergerak

di bidang E-Commerce yang menawarkan barang yang bersifat tidak berwujud
seperti data, software, atau ide-ide yang dijual melalui internet.
Alternatif Implementasi dan Teknologi E-Commerce

1. Outsourcing (web developer)
75
internet-intranet
2. Pengembangan swadaya
3. Memanfaatkan Open Source Software khususnya untuk e-commerce
4. Zen Cart (www.zen-cart.com),
5. phpshop (www.phpshop.org)
6. Virtue Mart ,Komponen Joomla. (www.virtuemart.net)
7. Dan masih banyak lagi
Nilai Lebih E-Commerce

1. Jangkauan lebih luas (dunia). Tanpa batas-batas wilayah dan waktu.
2. Penghematan sumber daya:
3. Ruang untuk toko (fisik) dan SDM
4. Availabilitas :Buka 24 jam sehari, 7 hari seminggu. Tidak mengenal hari libur,
dan hari besar
5. Skalabilitas:Dapat diperluas atau diperbanyak item barang tanpa batasan.
6. No Tax ??(belum jelas regulasi mengenai pajak )
7. Konsumen memperoleh informasi yang beragam dan mendetail.
8. Melalui internet konsumen dapat memperoleh aneka informasi barang dan jasa
dari berbagai toko dalam berbagai variasi merek lengkap dengan spesifikasi harga,
cara pembayaran, cara pengiriman
9. Disintermediation adalah proses meniadakan calo dan pedagang perantara.
Hambatan E-Commerce
Hambatan E-Commerce diantara lain :
1. Internet bust! Hancurnya bisnis Internet
2. Infrastruktur telekomunikasi yang masih terbatas dan mahal
3. Delivery channel
4. Kultur dan Kepercayaan (trust)
5. Munculnya jenis kejahatan baru
76
internet-intranet
Internet Bust!
Maksudnya banyaknya masyarakat Indonesia yang berpikiran bahwa E-Commerce
merupakan bisnis yang cepat mendatangkan uang tanpa mengerti tentang
konsep dasar tentang E-Commerce itu sendiri, sehingga menyebabkan
hancurnya bisnis Internet di Indonesia. Hal ini juga dipengaruhi oleh banyak
model bisnis yang belum terbukti namun ramai-ramai diluncurkan. Akhirnya
hancur dengan matinya banyak perusahaan dotcom. Hal ini menyebabkan
sebagian orang yang pernah merasa gagal dalam berbisnis E- Commerce
lebih berhati-hati dalam menjalankan bisnis itu lagi, selain itu mereka juga
mencari peluang lain untuk membuat model bisnis baru yang lebih menguntungkan
lagi.
Infrastruktur Telekomunikasi
Infrastruktur Telekomunikasi di Indonesia masih terbatas dan harganya masih relatif
lebih mahal, padahal e-commerce bergantung kepada infrastruktur
telekomunikasi, ditambah pula kawasan Indonesia yang sangat luas sehingga
mempersulit pengadaan infrastruktur telekomunikasi karena mebutuhkan biaya
yang amat banyak.
Delivery Channel
Banyak konsumen yang ditakutkan hilangnya barang mereka di jalan, hal ini
dikarenakan tindak kriminal Indonesia masih tinggi., atau adanya masalah dalam
ketepatan waktu dalam pengiriman barang karena masalah jarak yang dituju.
Kultur & Kepercayaan

Orang Indonesia belum terbiasa berbelanja dengan menggunakan
catalog, maksudnya masih harus secara fisik melihat / memegang barang yang
dijual. Ditambah lagi kepercayaan antara penjual & pembeli masih tipis
sehingga kepercayaan kepada pembayaran elektronik masih kurang. Hal
inilah yang menghambat penggunaan kartu kredit
77
internet-intranet
Munculnya Jenis Kejahatan Baru

Adanya penggunaan kartu kredit curian / palsu dalam transaksi oleh para
carder sehingga meresahkan para pengguna kartu kredit. Ditambah banyaknya
penipuan melalui SMS, dengan berkedok kuis, serta kurangnya perlindungan
kepada konsumen kareba selama ini para aparat keamanan kurang tegas dalam
menindaknya.
Perkembangan E-Commerce
Perkembangan e-commerce di Indonesia sendiri telah ada sejak tahun 1996,
dengan berdirinya Dyviacom Intrabumi atau D-Net (www.dnet.net.id) sebagai
perintis transaksi online. Wahana transaksi berupa mal online yang disebut D-Mall
(diakses lewat D-Net) ini telah menampung sekitar 33 toko online/merchant. Produk
yang dijual bermacam-macam, mulai dari makanan, aksesori, pakaian, produk
perkantoran sampai furniture. Selain itu, berdiri pula http://www.ecommerce-
indonesia.com/, tempat penjualan online berbasis internet yang memiliki

fasilitas lengkap seperti adanya bagian depan toko (storefront) dan shopping cart
(keranjang belanja). Selain itu, ada juga Commerce Net Indonesia - yang
beralamat di http://isp.commerce.net.id/. Sebagai Commerce Service
Provider (CSP) pertama di Indonesia, Commerce Net Indonesia menawarkan
kemudahan dalam melakukan jual beli di internet. Commerce Net
Indonesia sendiri telah bekerjasama dengan lembaga-lembaga yang membutuhkan
e-commerce, untuk melayani konsumen seperti PT Telkom dan Bank
International Indonesia. Selain itu, terdapat pula tujuh situs yang menjadi
anggota Commerce Net Indonesia, yaitu Plasa.com, Interactive Mall 2000,
Officeland, Kompas Cyber Media, Mizan Online Telecommunication Mall dan
Trikomsel.
Kehadiran e-commerce sebagai media transaksi baru ini tentunya
menguntungkan banyak pihak, baik pihak konsumen, maupun pihak produsen dan
penjual (retailer). Dengan menggunakan internet, proses perniagaan dapat
dilakukan dengan menghemat biaya dan waktu.
Perkembangan e-Commerce di Indonesia pada tahun-tahun mendatang.
E- commerce sebetulnya dapat menjadi suatu bisnis yang menjanjikan di Indonesia.
Hal ini tak lepas dari potensi berupa jumlah masyarakat yang besar dan adanya
jarak fisik yang jauh
78
internet-intranet
sehingga e-commerce dapat dimanfaatkan dengan maksimal. Sayangnya,

daya beli
masyarakat yang masih rendah dan infrastruktur telekomunikasi yang tidak
merata di daerah-daerah lainnya membuat e-commerce tidak begitu populer.
Hal ini tak lepas dari jumlah pengguna internet di Indonesia yang hanya
sekitar 8 juta orang dari 215 juta penduduk. Selain itu, e-commerce juga
belum banyak dimanfaatkan oleh perusahaan- perusahaan di Indonesia.
Meskipun relatif banyak perusahaan yang sudah memasang homepage, hanya
sedikit yang memfungsikannya sebagai sarana perniagaan/perdagangan online.
Sebagian besar homepage itu lebih difungsikan sebagai media informasi dan
pengenalan produk. Menurut Adji Gunawan, Associate Partner dan Technology
Competency Group Head Andersen Consulting, secara umum ada tiga tahapan
menuju e-commerce, yakni: presence
(kehadiran), interaktivitas dan transaksi. Saat ini, kebanyakan homepage yang

dimiliki
perusahaan Indonesia hanya mencapai tahap presence, belum pada tahap
transaksi. Pada akhirnya, perkembangan teknologi dan peningkatan pengguna
internet di Indonesia akan membuat e-commerce menjadi suatu bisnis yang
menjanjikan
Peluang & Solusi

E-Commerce merupakan peluang bagi para pengusaha khususnya pengusaha kecil
dan menengah untuk menembus pasar global yang pada akhirnya akan
meningkatkan daya saing ekonomi nasional.
Diperlukan upaya bersama untuk:
1. Sosialisasi dan edukasi pasar E-Commerce Indonesia.
2. Penyiapan infrastruktur fisik yang mendukung aplikasi E-Commerce.
3. Penyiapan regulasi yang kondusif bagi E-Commerce.
4. Peningkatan kualitas produk nasional agar dapat memenuhi standar
internasional dalam menembus pasar global.
79
internet-intranet
Latihan Soal.
1. Apa konsep dasar dari sistem keamanan e-commerce !
2. Jelaskan tujuan dari konsep dasar sistem keamanan e-commerce ?

3. Apa yang dilakukan untuk melindungi kemanan dan komputer terhadap
serangan dari para hacker !
4. E-commerce memiliki karakteristik yang khas. Jelaskan karakteristik tersebut !
5. Apa yang dimaksud dengan internet bust !
(Download Lebih Lengkap)
Tag :
Download Materi Kuliah Teknik Informatika, Teknik Informatika/Ilmu Komputer,
Otomata dan Pengantar Kompilasi , E-Commerce, Internet, E-Commerce, Keamanan
Sistem E-Commerce
Diposkan oleh Handrie Noprisson di 05.25

Label: Download Materi Kuliah
0 komentar:
Poskan Komentar
Link ke posting ini
Buat sebuah Link

Poskan Komentar
what is your comment?. ^^

Site Info
Cari Materi Kuliah Anda Disini!
Parameter Blog
Rate My Blog
Daftar Materi Kuliah

What's Up!
News
Lifestyle
Gossip
Lainnya
Beasiswa
Dalam Negeri Luar Negeri
Berita Pendidikan
Dalam Negeri Luar Negeri Tips Kuliah
Safety Riding
Recent Post
Fren-List Banner
Web Directory
Search Engine Submission - AddMe Safety Blogcatalog Free web directory Free RSS
Feeds Directory Web Directory for Free! This site is listed under Drivers Directory
seo tool LINK ADD URL Seo Friendly Web Directory Free web directory Directory
Storm Directory Dmegs Web Directory
Fren-List Link
Amalia-Amel Aryes-Novianto Atif-Romeo BlogSaiin Budaya Download PCMAV go blog
go ilmuGRAFIS Iklan baris gratis tanpa daftar ~..lovtoshr..~ lawlet-anime moevils
Summer Lock Download Materi Kuliah
Blogger template Simple n' Sweet by Ourblogtemplates.com 2009

Back to TOP
BANDUNG, KOMPAS.com - Tugas perusahaan penyedia solusi data center
adalah menjaga keamanan data milik pelanggannya secara maksimal.
Namun, semua itu ternyata tidak efektif bila tidak adanya pengawasan
terhadap orang-orang di internal pelanggannya itu.
Fakta tersebut terungkap dalam survei yang diadakan tim dari Fakultas
Teknologi Informasi dari Swiss German University terhadap beberapa data
center yang ada di Indonesia.
Salah satu hasil survei tim tersebut menyebutkan risiko tertinggi masalah
keamanan data center ternyata berasal dari lingkungan internal.
Hasil survei ini dipublikasikan di acara International Conference on Cloud
Computing and Social Networking 2012, yang merupakan bagian dari eIndonesia Initiative (eII) Forum ke-8 yang digelar selama dua hari di Bandung,
yakni 26 dan 27 April 2012.
Tim ini melakukan survei di Microsoft, CBN, Telkom, dan Hewlett Packard.
"Sebetulnya kami ingin mensurvei lebih banyak perusahaan. Namun
beberapa perusahaan menolak untuk disurvei sehingga kami hanya

melakukan survei di empat perusahaan. Untuk sementara kami fokuskan
mensurvei data center yang terdapat di Indonesia, kecuali Microsoft," jelas
Charles saat ditemui Kompas.com.
Karena terkendala masalah perizinan, Charles baru bisa meneliti data center
CBN, Telkom, dan Hewlett Packard yang terdapat di Indonesia. Sedangkan
data center Microsoft merupakan satu-satunya data center yang diteliti, yang
berada di Amerika Serikat.
Charles Lim, dosen dan peneliti dari Swiss German University dan rekannya,
Alex Suparman, melakukan survei selama 3 bulan ke perusahaan-perusahaan
teknologi tersebut.
Hal-hal yang diteliti dari data center meliputi dual power supply, HVAC
system, smoke detection, fire suppression system, fire suppression system,
onsite security, cable management, cages, dan telecommunication.
Khusus untuk masalah keamanan, Charles dan rekannya melakukan inspeksi
dan meneliti bentuk fisik keamanaan data center, teknologi yang digunakan
di data center, dan regulasi yang diterapkan di masing-masing data center
tersebut.
Metode survei dilakukan dengan cara-cara berikut ini :
1. Review dokumen-dokumen terkait data center yang disurvei.
2. Wawancara dengan vendor komputasi awan, serta anggota organisasi
yang mengurusi data center di masing-masing perusahaan.
3. Melakukan inspeksi ke data center.
4. Observasi mengenai perilaku personel dalam organisasi yang mengurus
data center.
5. Melakukan tes kontrol keamanan yang dimiliki data center.
Hasil dari survei diantaranya :
1. Risiko tertinggi masalah keamanan data center ternyata berasal dari
lingkungan internal.
2. Microsoft merupakan data center dengan level tinggi yang memberikan
perlindungan.
3. Kontrol keamanan merupakan hal yang berpengaruh untuk mereduksi
risiko dari serangan.
Dari survei ini, Swiss German University merekomendasikan hal-hal berikut :
1. Buat kebijakan keamanan yang jelas
2. Lakukan tes kontrol keamanan secara berkala
3. Harus membayar pihak ketiga untuk mengevaluasi data center
4. Mulai support untuk pasar mobile
Survei yang dilakukan Charles dan rekannya merupakan awal dari survei-
survei lainnya yang lebih luas.

Semakin banyak perusahaan yang terbuka untuk disurvei dan diaudit data
center-nya, maka akan memberikan rasa nyaman bagi masyarakat selaku
konsumen yang menggunakan jasa perusahaan-perusahaan tersebut.
"Semoga semakin banyak perusahaan yang terbuka bagi pihak ketiga untuk
mensurvei keadaan data centernya," tutup Charles.
Home
About
RSS
manlukman
Just another WordPress.com site
Hey there! Thanks for dropping by manlukman! Take a look around and grab the RSS feed to
stay updated. See you around!
Uncategorized

Filed under: Uncategorized Leave a comment
March 15, 2011
Sistem Manajement Keamanan Informasi ( ISMS), rata-rata digunakan para manajer untuk
mengukur, memonitor dan mengendalikan keamanan informasi mereka. Manajemen Keamanan
Informasi ini memberikan perlindungan informasi dan penghitungan asset yang ada.
Manajemen Keamanan Informasi ini mempunyai tiga komponen kunci dalam menyediakan
jaminan layanan keamanan informasi diantaranya :
Kerahasiaan memastikan bahwa informasi dapat diakses hanya untuk mereka yang authorised
untuk mempunyai akses.
Integritas melindungi kelengkapan dan ketelitian informasi dan memproses metoda.
Ketersediaan memastikan bahwa para pemakai authorised mempunyai akses ke informasi dan
berhubungan dengan asset ketika diperlukan.
Dalam mencapai keamanan informasi ini, satu perangkat kendali, bisa digunakan menjadi suatu
kebijakan, struktur organisasi, atau perangkat lunak yang berfungsi sebagai prosedur untuk
diterapkan. Perangkat kendali ini harus dapat memastikan sasaran hasil keamanan secara spesifik
bagi kita dan pelanggan pada umumnya.
Salah satu contoh hasil survey yang dilakukan oleh ISBS, yang menunjukkan mengapa format
informasi apapun penting bagi bisnis suatu perusahaan, dan persepsi perusahaan terhadap resiko
yang mungkin melanggar keamanannya.
Gambar 1 : Menunjukkan hasil dari survei ISBS 2000.
a. Mengapa Sistem Manajemen Keamanan Informasi Dibutuhkan?
Menurut Survei Pelanggaran Keamanan Informasi ( ISBS), yang dilakukan terhadap beberapa
organisasi / perusahaan . Salah satu penemuan yang paling mengejutkan dalam ISBS 2000
adalah bahwa :
31%, organisasi yang diwawancarai , mereka tidak memiliki informasi apapun yang mereka
pertimbangkan untuk menjadi kritis dan sensitive secara alamiah bagi bisnis mereka ,
58%, organisasi yang diwawancarai, keamanan informasi dipertimbangkan untuk suatu
permasalahan bisnis penting, hanya satu dari tujuh telah melakukan suatu kebijakan yang
menggambarkan sistem manajemen keamanan informasi mereka.
Uraian pelanggaran keamanan ini menunjukkan sebagian besar usaha keamanan informasi
adalah dipusatkan pada ancaman eksternal, ancaman yang utama datang dari dalam organisasi.
Kesalahan Operator dan kegagalan tenaga manusia adalah dua sumber pelanggaran keamanan
paling besar. Virus memperoleh 16% tentang peristiwa keamanan, sedang akses yang
unauthorised eksternal memperoleh 2%.
Demikian juga survey dilakukan ISBS terhadap 1000 orang manajer sebagai penanggung jawab
keamanan informasi organisasinya. Ini adalah penemuan kunci Keamanan Informasi Survei
Pelanggaran 2000:
60% tentang organisasi sudah menderita/mengalami suatu pelanggaran keamanan dalam 2

tahun terakhir .
Di atas 30% tentang organisasi tidak mengenali bahwa informasi bisnis mereka adalah baik
secara kritis maupun sensitip, dan dikarenakan suatu asset bisnis.
40% tentang perusahaan yang melaporkan pelanggaran keamanan adalah dalam kaitan dengan
operator atau kesalahan pemakai.
Organisasi yang itu semua mempunyai informasi sensitip atau kritis, 43% diderita yang
sangat serius atau yang sangat serius pelanggarannya, dan lebih 20% diderita yang telah
sedang serius melanggar berlangsung 2 tahun.
paling sedikit seluruh organisasi bisa menilai implikasi bisnis terhadap pelanggaran keamanan
yang mereka diderita dan menunjukkan bahwa ongkos pelanggaran itu dapat lebih dari
100,000.
Di atas 70% dari semua peristiwa keamanan adalah suatu hasil dari kesalahan pemakai operator
atau gangguan daya internal.
Laporan menunjukkan bahwa hanya 2% tentang pelanggaran informasi yang serius adalah dalam
kaitannya dengan akses eksternal unauthorised.
Gambar pertunjukan 60% tentang perusahaan menderita pelanggaran keamanan.

Masing-Masing kategori menunjukkan prosentase dari perusahaan dalam jumlah 60% yang
mengalami pelanggaran .
Gambar 2 menunjukkan hasil survey ISBS 2000 terhadap pelanggaran keamanan
b . Penerapan Standard ISO 17799 : ISMS
Pada Part 3.1 Kode Praktek mengatakan bahwa Manajemen perlu menetapkan suatu arah
kebijakan yang jelas dan menunjukkan dukungan terhadap keamanan informasi melalui isu dan
pemeliharaan dari suatu kebijakan keamanan informasi terhadap organisasi.
Tujuan ISO 17799 adalah untuk meyakinkan kerahasiaan, integritas dan ketersediaan asset
informasi untuk perusahaan tetapi lebih penting lagi, bagi para pelanggan. Jaminan dicapai
melalui Kontrol / pengendalian bahwa manajemen diciptakan dan dipelihara di dalam organisasi.
Untuk menjalankannya, ISO 17799 menggambarkan suatu proses atas penyelesaian dengan
menyediakan basis untuk keseluruhan Sistem Manajemen Keamanan Informasi (ISMS).
Faktor pokok dari proses ini adalah sebagai berikut:
Gambarkan suatu kebijakan keamanan
Gambarkan lingkup ISMS
Lakukan suatu penilaian resiko
Atur resiko itu
Pilih sasaran hasil kendali dan mengendalikan untuk diterapkan
Siapkan suatu statemen yang dapat dipakai (applicabilas).
Dan dibawah ini adalah flowchart dari ISMS :
Derajat tingkat jaminan keamanan diperlukan untuk dicapai melalui suatu pengendalian bahwa
manajemen menciptakan dan memelihara organisasi. Pengaturan ke sepuluh kontrol / kendali
yang ada pada ISO 17799 digunakan untuk mengimplementasikan suatu program keamanan
informasiyang sukses, yaitu dengan:
Information Security Policy
Memanfaatkan kebutuhan bagi Kebijakan Keamanan Informasi untuk menyediakan arah

manajemen dan dukungan bagi keamanan informasi. Keuntungan dari ini adalah Suatu target
untuk suatu sistem keamanan yang efektif dapat diciptakan.
Security Organisation
Struktur keamanan organisasi harus dengan jelas direncanakan.

Keuntungan adalah : kebutuhan keamanan internal dan eksternal dapat dikenali, dikendalikan
dan dimonitor.
Asset Classification and Control (Penggolongan Asset dan Kendali Informasi ):

ditugaskan suatu nilai, mencerminkan dampak pada kerugian yang mungkin dimiliki
organisasi. Keuntunggannnya : Tingkat keamanan, sesuai melindungi nilai informasi,
dapat diterapkan.
Personnel Security
Keamanan Personil Staff harus dilatih, relevan dengan area yang mendukung kebijakan
keamanan ( mengidentifikasi pelanggaran atas kebijakan, staff vetting, persetujuan kerahasiaan
dan tanggung-jawab individu untuk tugas spesifik).
Cek Keamanan dapat dilaksanakan pada suatu basis reguler, dengan semua orang di dalam
organisasi itu.
Physical and Environmental Security
Phisik dan Keamanan Lingkungan Safe-Keeping informasi, di semua lingkungan di mana itu
digunakan atau disimpan, harus dikendalikan dan dimonitor. Keuntungannya :Resiko informasi
gagal / kehilangan melalui pencurian, banjir dan lain lain adalah merupakan minimised.
Computer and Network Security
Komputer Dan Keamanan Jaringan Prosedur yang didokumentasikan harus menunjukkan yang
sekarang dan informasi baru, aman dari kerugian, atau penyingkapan.
Keuntunggannya : Suatu program acara keamanan berkesinambungan pada tempatnya untuk
melindungi informasi elektronik
System Access Control
Kendali Akses Sistem.Penekanan tertentu ditempatkan pada operasi sistem yang in-house dan
rata-rata dengan masukan untuk system yang diperoleh. Keuntunggannya : Akses Unauthorised
ke informasi dapat dikendalikan.
Systems Development and Maintenance
Pengembangan Sistem dan Pemeliharaan Semua sistem baru harus diuji dan dikendalikan dari
lingkungan. Keuntungannya : Pintu belakang mengakses ke informasi sekarang via suatu
sistem baru harus dicegah.
Business Continuity Planning
Perencanaan Kesinambungan Bisnis harus disiapkan dan yang dibaharui untuk menilai orang
agar dapat dipercaya setia di dalam sekarang dan lingkungan kerja yang ditinjau kembali.
Keuntungannya : Kesadaran dari semua resiko keamanan potensial dapat dikendalikan dan
dicapai.
Compliance
Pemenuhan Kebijakan Keamanan harus teraudit untuk memastikan bahwa itu mematuhi
peraturan dan kebutuhan. Keuntunggannya : Undang-undang. Resiko penuntutan untuk yang
tidak memenuhi adalah minimised.
(Source http://www.nqa.com)
Maka bagi Perusahaan yang sudah mengembang;kan suatu Sistem Manajemen Keamanan
Informasi ( ISMS) dapat menyesuaikan diri dengan ISO 17799 dan menunjukkan suatu
komitmen keamanan informasi. Sertifikasi ini akan memberi kunci keuntungan organisasi /
perusahaan atas pesaing dengan menyediakan kredibilitas tambahan tidak ternilai. Ini
memungkinkan suatu organisasi untuk membuat suatu statemen publik kemampuan dan akan
juga memberi organisasi itu kepercayaan di dalam integritas dan keamanan tentang sistem
kepunyaan dan prosesnya sebagai yang terukur .
Adapun manfaat proses keamanan informasi dalam Standard ISO 17799 bagi perusahaan
adalah sebagai berikut:
Suatu metodologi tersusun yang dikenali
Proses yang digambarkan untuk mengevaluasi, menerapkan, memelihara, dan mengatur
keamanan informasi
Satu set kebijakan dikhususkan, standard, prosedur, dan petunjuk
Sertifikasi mengijinkan organisasi untuk mempertunjukkan status keamanan informasi mereka
sendiri
Menunjukkan Sertifikasi Penelitian
Secara internal keuntungan-keuntungan menerapkan suatu ISO 17799 Sistem Manajemen

Keamanan Informasi (ISMS) dapat digunakan sebagai:
Suatu pengukuran untuk keamanan perusahaan
Satu set kendali
Suatu metoda untuk menentukan target dan mengusulkan peningkatan
Basis untuk standard keamanan informasi intern perusahaan
Organisasi menerapkan ISO 17799 mempunyai suatu alat untuk mengukur, mengatur dan
mengendalikan informasi yang penting kepada operasi system mereka. Pada gilirannya ini dapat
mendorong kearah kepercayaan pelanggan, yang lebih efisien dan
sistem internal efektif serta suatu tanda kelihatan dari kesanggupan suatu organisasi .
c. Sertifikasi ISMS
Sertifikasi Pihak ketiga menawarkan suatu pandangan yang tidak memihak dari sistem keamanan
perusahaan, Hal ini memudahkan dalam melakukan usaha / bisnis; tentunya akan mendorong
dan memungkinkan organisasi untuk masuk ke hubungan uasaha / bisnis , dengan
mempromosikan memungut manajemen keamanan informasi sesuai ke bidang uasaha / bisnis
demi kepentingan bisnis global secara keseluruhan.
Sertifikasi dari ISMS seluruhnya sifatnya sukarela/fakultatif. Organisasi yang mana dengan
sukses melengkapi sertifikasi proses itu, mempunyai kepercayaan lebih besar di dalam
manajemen keamanan informasi mereka dan akan mampu menggunakan sertifikat itu untuk
membantu, meyakinkan bisnis bersekutu dengan siapa yang mereka berbagi informasi. Sertifikat
membuat suatu statemen kemampuan publik, dan mengijinkan organisasi untuk
menyimpan/pelihara secara detil tentang sistem keamanan rahasianya .
About these ads
Related
Comments RSS feed
Leave a Reply

Recent entries
o Tugas Sistem Informasi Manajemen
o Sistem Informasi Manajemen Sekolah E-School
o SISTEM MANAJEMEN KEAMANAN INFORMASI
o Sistem Informasi Manajemen pada Perusahaan
o MANAJEMEN SISTEM INFORMASI PENDIDIKAN
o Sistem Informasi Manajemen II
o Peranan Teknologi Informasi di Bidang Manajemen/Bisnis dan Perbankan
o Struktur Sistem Informasi Manajemen
o Konsep Sistem Informasi Manajemen
o Sistem Informasi Manajeman (SIM)
Browse popular tags

Meta
o Register
o Log in
o Entries RSS
o Comments RSS
Friends & links

o Discuss
o Get Inspired
o Get Polling
o Get Support
o Learn WordPress.com
o WordPress Planet
o WordPress.com News
Pages
o About
Monthly archives
o March 2011
Create a free website or blog at WordPress.com. | The Motion Theme.
[ Back to top ]
Follow
Follow manlukman
Get every new post delivered to your Inbox.
Build a website with WordPress.com
LAISA NURIN
I Am Strong Because I Know My Weaknesses I Am Beautiful Because I Am Aware Of My Flaws

I Am Fearless Because I Learnt To Recognise I Am Wish Because I Learn From My Mistakes I
Can Laugh Because I Have Known Sadness
Sabtu, 16 November 2013 Analisis Kinerja Sistem
Aset Sistem Informasi Harus Di lindungi Melalui SIstem Keamanan

Aset Sistem Informasi harus dilindungi melalui sistem keamanan yang baik. Sebut dan jelaskan
langkah-langkah utama pelaksanaan program keamanan tsb ?
Aset Sistem Informasi yang harus di lindungi melalui sistem keamanan dapat diklasifikasikan
menjadi 2 yaitu (lihat gambar 6.1) :
1. Aset Fisik, meliputi :
a. Personnel
b. Hardware (termasuk media penyimpanan, dan periperalnya)
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika
a. Data / Informasi dan
b. Sofware (Sistem dan Aplikasi)
Pelaksanaan Program Keamanan (Conducting a Security Program)

Langkah-langkah utama pelaksanaan Program keamanan yaitu :
Persiapan Rencana Pekerjaan (Preparation of a Project Plan)

Perencanaan proyek untuk tinjaun kemanan mengikuti item sbb :
a. Tujuan Review
b. Ruang Lingkup (Scope) Review
c. Tugas yang harus dipenuhi
d. Organisasi dari Tim Proyek
e. Sumber Anggaran (Pendanaan) dan
f. Jadwal untuk Menyelesaikan Tugas
Identifikasi Kekayaan (Identification of asset)
Katagori asset :
a. Personnel (end users, analyst, programmers, operators, clerks, Guards)

b. Hardware (Mainfarme, minicomputer, microcomputer, disk, printer, communication lines,
concentrator, terminal)
c. Fasilitas (Furniture, office space, computer rrom, tape storage rack)
d. Dokumentasi (System and program doc.,database doc.,standards plans, insurance policies,
contracts)
e. Persediaan (Negotiable instrument, preprinted forms, paper, tapes, cassettes)
f. Data/Informasi (Master files, transaction files, archival files)
g. Software Aplikasi (Debtors, creditors, payroll, bill-of-materials, sales, inventory)
h. Sistem Software (Compilers, utilities, DBMS, OS, Communication Software, Spreadsheets).
Penilaian Kekayaan (Valuation of asset)
Langkah ke tiga adalah penilaian kekayaan, yang merupakan langkah paling sulit. Parker (1981)
menggambarkan ketergantungan penilaian pada siapa yang ditanya untuk memberikan penilaian,
cara penilaian atas kekayaan yang hilang (lost), waktu periode untuk perhitungan atas hilangnya
kekayaan, dan umur asset.
Identifikasi Ancaman-ancaman (Threats Identification)

Lihat gbr. 6.4 Lapisan jenis ancaman aset SI
Sumber ancaman External :

1. Nature / Acts of God
2. H/W Suppliers
3. S/W Suppliers
4. Contractors
5. Other Resource Suppliers
6. Competitors (sabotage, espionage, lawsuits, financial distress through fair or unfair

competition)
7. Debt and Equity Holders
8. Unions (strikes, sabotage, harassment)
9. Governmnets
10. Environmentalist (Harassment (gangguan), unfavorable publicity)
11. Criminals/hackers (theft, sabotage, espionage, extortion)
Sumber ancaman Internal :
1. Management, contoh kesalahan dalam penyediaan sumber daya, perencanaan dan control yang
tidak cukup.
2. Employee, contoh Errors, Theft (pencurian), Fraud (penipuan), sabotase, extortion
(pemerasan), improper use of service (penggunaan layanan yg tidak sah)
3. Unreliable system, contoh Kesalahan H/W, kesalahan S/W, kesalahan fasilitas.
Penilaian Kemungkinan Ancaman (Threats LikeIihood Assessment)
Contoh, perusahaan asuransi dapat menyediakan informasi tentang kemungkinan terjadinya
kebakaran api dalam satu waktu periode tertentu.
Analisis Ekspose (Exposures analysis)
Tahap analisis ekspose terdiri dari 4 tugas yaitu :
1. Identification of the controls in place
2. Assessment of the reliability of the controls in place
3. Evaluation of the likelihood that a threat incident will be successful
4. Assess the resulting loss if the threat is successful
Lihat gbr. 6.5. Tugas utama tahap analisis ekspose dan gbr.5.6. Ancaman, keandalan kontrol,
cakupan control, dan ekspose.
Adjust Control
Prepare Sequrity Control

Untuk melindungi kontrol pada jaringan internet dengan pengaturan Firewall. Penggunaan
firewall juga penting, untuk membatasi siapa saja dan program apa saja yang bisa berjalan dalam
komputer kita. Penggunaan firewall penting untuk mengatasi threat, karena jika ada orang lain
yang mengakses komputer kita tanpa ijin, maka hak aksesnya akan diblokir oleh firewall
tersebut.
Sumber :
http://farida.staff.gunadarma.ac.id/Download/files/16712/Bab+6+Mnj+Kontrol+Keamanan.pdf
Posted by laisa Nurin at 21.39

0 comments:
Poskan Komentar
a. Personnel
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika


a. Tujuan Review
Katagori asset :

contracts)


2. H/W Suppliers
3. S/W Suppliers
4. Contractors
competition)

9. Governmnets
tidak cukup.
Adjust Control

tersebut.
Sumber :
a. Personnel
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika


a. Tujuan Review
Katagori asset :
contracts)



2. H/W Suppliers
3. S/W Suppliers
4. Contractors
competition)
9. Governmnets

tidak cukup.
Adjust Control

tersebut.
Sumber :
a. Personnel
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika


a. Tujuan Review
Katagori asset :
contracts)



2. H/W Suppliers
3. S/W Suppliers
4. Contractors
competition)
9. Governmnets

tidak cukup.
Adjust Control

tersebut.
Sumber :

Follow Us on Twitter!
"Join Us on Facebook!
RSS
Contact
Blog search
UNIVERSITAS GUNADARMA
Translate
Select Language
news studentsite
Gunadarma BAAK News
Pengumuman Penulisan Ilmiah (PI)
Pengumuman Jadwal PENDIDIKAN AGAMA Kalimalang
Pengecekan Nilai semester Ganjil (PTA) 2015/2016
Pengumuman Jadwal PENDIDIKAN AGAMA KRISTEN (Depok)
Pengambilan KTM Kelas 1 (Angkatan 2015)
Popular Posts
KONFLIK ORGANISASI
Konflik adalah suatu proses antara dua orang atau lebih dimana salah satu pihak berusaha
menyingkirkan pihak lain dengan cara menghancurka...
CONTOH PERHITUNGAN KREDIT DENGAN FLAT RATE DAN SLIDING RATE

Pada tanggal 25 Maret 2006 PT. Andika Karya Tuan Andi mendapat persetujuan
pinjaman investasi dari Bank ABC senilai Rp. 90.000.000,- untuk j...
KEPEMIMPINAN (LEADERSHIP)
1.
Umum Kepemimpinan (leadership) adalah kemampuan seseorang (yaitu
pemimpin) untuk mempengaruhi orang lain (yaitu yang dipimpin atau...
FLOWCHART PROSES PENGISIAN KRS

Pengertian Kartu Rencana Studi (KRS) Kartu Rencana Studi atau KRS adalah kartu yang
berisi daftar mata kuliah yang akan diikuti oleh setiap ...
INFLASI
Nama
: Laisa Nurin Mentari Npm
: 13110955 Kelas
MAKALAH INFLASI BAB I. PENDAHUL...
: 2ka04
SOAL VCLASS SI-SDM

1. Apa yang dimaksud Subsistem Benefit pada SI-SDM? 2. Sebutkan arti dari "Defined
Benefit" dan "Defined Contribution" ...
Cara Untuk mengamankan Suatu Sistem Informasi Sudah Terlindungi Dengan Baik
Soal Pretest Untuk mengamankan suatu Sistem Informasi menurut anda apa saja yang
perlu dilindungi? Cara untuk mengontrol bahwa sistem...
ARTI PENTINGNYA ORGANISASI DAN METODENYA

Pengertian organisasi Organisasi ( Yunani : , organon - alat) adalah suatu
kelompok orang dalam suatu wadah atau un i ...
Ayo Cegah Neuropati

Kebas dan kesemutan yang bisa jadi sering anda alami. Buat mereka yang tidak tahu, rasa
kebas dan kesemutan acap dianggap hal yang biasa la...
Jenis-Jenis Kejahatan Via Internet (Bi SS 2013)

Indonesia bukan hanya terkenal sebagai negara terkorup di dunia, melainkan juga negara
dengan carder tertinggi di muka bumi, setelah Uk...
Labels
Analisis Kinerja Sistem (6)
Bahasa indonesia (70)
Etika & Profesionalisme TSI (1)
Konsep Sistem Informasi Lanjut (5)
Pengantar Telematika (1)
Pengelolaan Proyek Sistem Informasi (5)
SI-Perbankan (1)
SI-SDM (2)
Tugas IMK (2)
tugas softkill (1)
Tugas SPK (1)
Popular Posts
KONFLIK ORGANISASI

1.

INFLASI
Nama
: 13110955 Kelas
Total Pageviews
172543
Pages
Beranda
Link
http://bapsi.gunadarma.ac.id
http://career.gunadarma.ac.id
http://community.gunadarma.ac.id
http://ejournal.gunadarma.ac.id
http://elearning.gunadarma.ac.id
http://helpdesk.gunadarma.ac.id
http://ilab.gunadarma.ac.id
http://lepkom.gunadarma.ac.id
http://library.gunadarma.ac.id
http://mediacenter.gunadarma.ac.id
http://nustaffsite.gunadarma.ac.id
http://ocw.gunadarma.ac.id
: 2ka04
http://repository.gunadarma.ac.id
http://seminar.gunadarma.ac.id
http://staffsite.gunadarma.ac.id
http://ugpedia.gunadarma.ac.id
http://vclass.gunadarma.ac.id
http://wartawarga.gunadarma.ac.id
Blog archive
2014 (29)
2013 (57)
o November (7)
Istilah-istilah Modul Pada SAP
Proses Bisnis Pada Modul SD (Sales and Distributio...
SAP Sales & Distribution (SAP-SD)
Soal Vclass kedua Konsep Sistem Informasi Lanjut
Aset Sistem Informasi Harus Di lindungi Melalui SI...
Cara Untuk mengamankan Suatu Sistem Informasi Suda...
Tugas Vclass SPK (Sistem Penunjang Keputusan)
o Juli (15)
o Mei (22)
o Maret (3)
o Februari (10)
2012 (25)
2011 (15)
2010 (2)
Diberdayakan oleh Blogger.
Latest Tweets
...searching twitter...
Theme by Site5.
Experts in Web Hosting.
Copyright 2011 Diary/Notebook Theme by Site5.com. All Rights Reserved. by TNB
;
LAISA NURIN
I Am Strong Because I Know My Weaknesses I Am Beautiful Because I Am Aware Of My Flaws
I Am Fearless Because I Learnt To Recognise I Am Wish Because I Learn From My Mistakes I
Can Laugh Because I Have Known Sadness
Sabtu, 16 November 2013 Analisis Kinerja Sistem
Aset Sistem Informasi Harus Di lindungi Melalui SIstem Keamanan

a. Personnel
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika



a. Tujuan Review
Katagori asset :

contracts)


2. H/W Suppliers
3. S/W Suppliers
4. Contractors
competition)
9. Governmnets

tidak cukup.
Adjust Control

tersebut.
Sumber :
Posted by laisa Nurin at 21.39

0 comments:
Poskan Komentar
a. Personnel
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika



a. Tujuan Review
Katagori asset :

contracts)


2. H/W Suppliers
3. S/W Suppliers
4. Contractors
competition)
9. Governmnets
tidak cukup.
Adjust Control

tersebut.
Sumber :
a. Personnel
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika


a. Tujuan Review
Katagori asset :
contracts)



2. H/W Suppliers
3. S/W Suppliers
4. Contractors
competition)
9. Governmnets

tidak cukup.
Adjust Control

tersebut.
Sumber :
a. Personnel
c. Fasilitas
d. Dokumentasi dan
e. Supplies
2. Aset Logika


a. Tujuan Review
Katagori asset :
contracts)



2. H/W Suppliers
3. S/W Suppliers
4. Contractors
competition)
9. Governmnets

tidak cukup.
Adjust Control

tersebut.
Sumber :

Follow Us on Twitter!
"Join Us on Facebook!
RSS
Contact
Blog search
UNIVERSITAS GUNADARMA
Translate
Select Language
news studentsite
Gunadarma BAAK News
Pengumuman Penulisan Ilmiah (PI)
Pengumuman Jadwal PENDIDIKAN AGAMA Kalimalang
Pengecekan Nilai semester Ganjil (PTA) 2015/2016
Pengumuman Jadwal PENDIDIKAN AGAMA KRISTEN (Depok)
Pengambilan KTM Kelas 1 (Angkatan 2015)
Popular Posts
KONFLIK ORGANISASI

1.

INFLASI
Nama
: 13110955 Kelas
: 2ka04
SOAL VCLASS SI-SDM

1. Apa yang dimaksud Subsistem Benefit pada SI-SDM? 2. Sebutkan arti dari "Defined
Benefit" dan "Defined Contribution" ...
Cara Untuk mengamankan Suatu Sistem Informasi Sudah Terlindungi Dengan Baik
Soal Pretest Untuk mengamankan suatu Sistem Informasi menurut anda apa saja yang
perlu dilindungi? Cara untuk mengontrol bahwa sistem...
ARTI PENTINGNYA ORGANISASI DAN METODENYA

Pengertian organisasi Organisasi ( Yunani : , organon - alat) adalah suatu
kelompok orang dalam suatu wadah atau un i ...
Ayo Cegah Neuropati

Kebas dan kesemutan yang bisa jadi sering anda alami. Buat mereka yang tidak tahu, rasa
kebas dan kesemutan acap dianggap hal yang biasa la...
Jenis-Jenis Kejahatan Via Internet (Bi SS 2013)

Indonesia bukan hanya terkenal sebagai negara terkorup di dunia, melainkan juga negara
dengan carder tertinggi di muka bumi, setelah Uk...
Labels
Analisis Kinerja Sistem (6)
Bahasa indonesia (70)
Etika & Profesionalisme TSI (1)
Konsep Sistem Informasi Lanjut (5)
Pengantar Telematika (1)
Pengelolaan Proyek Sistem Informasi (5)
SI-Perbankan (1)
SI-SDM (2)
Tugas IMK (2)
tugas softkill (1)
Tugas SPK (1)
Popular Posts
KONFLIK ORGANISASI

1.

INFLASI
Nama
: 13110955 Kelas
Total Pageviews
172543
Pages
Beranda
Link
http://bapsi.gunadarma.ac.id
http://career.gunadarma.ac.id
http://community.gunadarma.ac.id
http://ejournal.gunadarma.ac.id
http://elearning.gunadarma.ac.id
http://helpdesk.gunadarma.ac.id
http://ilab.gunadarma.ac.id
http://lepkom.gunadarma.ac.id
http://library.gunadarma.ac.id
http://mediacenter.gunadarma.ac.id
http://nustaffsite.gunadarma.ac.id
http://ocw.gunadarma.ac.id
: 2ka04
http://repository.gunadarma.ac.id
http://seminar.gunadarma.ac.id
http://staffsite.gunadarma.ac.id
http://ugpedia.gunadarma.ac.id
http://vclass.gunadarma.ac.id
http://wartawarga.gunadarma.ac.id
Blog archive
2014 (29)
2013 (57)
o November (7)
Istilah-istilah Modul Pada SAP
Proses Bisnis Pada Modul SD (Sales and Distributio...
SAP Sales & Distribution (SAP-SD)
Soal Vclass kedua Konsep Sistem Informasi Lanjut
Aset Sistem Informasi Harus Di lindungi Melalui SI...
Cara Untuk mengamankan Suatu Sistem Informasi Suda...
Tugas Vclass SPK (Sistem Penunjang Keputusan)
o Juli (15)
o Mei (22)
o Maret (3)
o Februari (10)
2012 (25)
2011 (15)
2010 (2)
Diberdayakan oleh Blogger.
Latest Tweets
...searching twitter...
Theme by Site5.
Experts in Web Hosting.
Copyright 2011 Diary/Notebook Theme by Site5.com. All Rights Reserved. by TNB
; Beranda
SPAS
MIVO TV
Download MP3
Sudut Teknologi
SANG PENGHAPUS JEJAK

Berdiri Tegap Memandang Sang Mentari Pagi, Berselimut Bersama Embun Pagi Menyonsong
Kehidupan Yang Penuh Arti Tanpa Ada Putus Asa Dalam Menggapai Cita-Cita Yang Berarti So
Harus Berpikir Positif Thinking. Congratulations reach Ideals!!!!!
B.ENGLISH
Cerita Rakyat
Download Mp3
Ilmu Komputer
Kesehatan
Lain-Lain
manajement
MATEMATIKA
my lirik
Saturday, January 4, 2014

Keamanan Sistem Informasi
1.
Tujuan Keamanan Sistem informasi

Sistem informasi memiliki peranan besar di semua perusahaan atau institusi agar
dapat menghasilkan keuntungan semaksimal mungkin dengan cara mengiklankan, menjual,
mengadministrasi, dan mewujudkan produk baru. Perusahaan dipaksa untuk menciptakan
dan memikirkan inovasi baru agar dapat bersaing dan bertahan hidup di dalam persaingan
bisnis yang ketat.
Dengan meningkatnya transaksi dan tersedianya bermacam-macam teknik pemrosesan
menggunakan komputer yang memungkinkan untuk berinteraksi dengan sistem lain,
perusahaan menjadi sangat tergantung dengan komputerisasi. Di sisi lain dengan pesat lajunya
teknologi, muncul risiko ancaman baru yang berkaitan dengan komputerisasi. Pentinganya
pengamanan yang efektif mulai diperhatikan ol.eh semua pihak. Semua pihak dapat memaha
mi bahwa keamanan sistem informasi yang cukup andal sangat diperlukan. Perusahaan
memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis komputer
di dalam perusahaan. Oleh karna itu, perusahaan menuntut agar diciptakan sistem keamanan
terhadap hardware maupun softwarenya.
Tujuan dari pengamanan sistem informasi ini adalah untuk meyakinkan
integritas, kelanjutan, dan kerahasiaan dari pengolahan data. Keuntungan dengan
meminimalkan risiko harus diimbangi dengan biaya yang dikeluarkan untuk tujuan
pengamanan ini. Oleh karena itu biaya untuk pengaman terhadap keamanan sistem komputer
harus wajar.
Perusahaan harus dapat mengurangi risiko dan memelihara keamanan sistem
komputerisasi pada suatu tingkatan atau level yang dapat diterima. Reputasi organisasi akan
dinilai masyarakat apabila dapat diyakini oleh :
1) lntegritas (Integrity) informasi
2) Kerahasiaan (Confisentiality) informasi
3) Ketersediaan (Availability) informasi
Aset Perusahaan
lnformasi adalah aset organisasi yang sangat berharga dan penting seperti aset-aset yang lain
misalnya gedung, mesin-mesin, kendaraan, peralatan kantor, SDM dan lain-lain. Sebagai
konsekuensi, keamanan sistem informasi merupakan suatu keharusan untuk melindungi aset
perusahaan dari berbagai ancaman. Aset-aset yang dapat dimaksud ke dalam sistem informasi
dapat kategorikan sebagai berikut:
Personel
Misalnya sistem analis, programer, operator, database administrator, spesialis jaringan,

spesialis PAB
Hardware
Misalnya CPU, Printers, Terminal/monitor,routers, switch
Software aplikasi
Misalnya sistem Deptors, Creditors, penggajian,GL, ERP
Sistem software
Misalnya operating sistem, compilers, utilities, database sistem.
Data
Misalnya master file, backup file, file transaksi
Fasilitas
Misalnya mebel, ruang kantor,fi/ing cabinet
Penunjang
Misalnya Tapes, CD, DVD, disk pack, kertas, tinta printer atau pita.
Ancaman Terhadap Perusahaan
Ancamah adalah suatu aksi atau kejadian yang dapat merugikan perusahaan yang
mengakibatkan kerugian bias berupa uang /biaya, tenaga upaya, kemungkinan berbisnis
(business opportunity), reputasi nama baik, dan paling parah dapat membuat organisasi pailit.
Ancaman ini dapat dikategorikan sebagai berikut :
Hardware failure
Dikarenakan oleh misalnya padamnya ("byar pet") listrik, kortsleting, disk crashes..
Software failure
Dikarenakan oleh kesalahan sistem operasi, kesalahan program update, tidak cukup dan
memadainya uji coba program.
Kegagalan SDM
Kegagalan ini dikarenakan misalnya sangat minimnya training bagi personel, personel yang sangat
pasif dan tidak memiliki inisiatif, kemasabodoan,tidak loyal,tidak memiliki rasa memiliki (sense
of belonging).
Alam
Dikarenakan oleh misalnya cuaca panas atau dingin yang tidak normal, banjir, gas, proyektil,
gempa, letusan gunung.
Keuangan
Disebabkan oleh misalnya tuntutan hokum pihak ketiga, pailit,mogok kerja,huru-hara.
Eksternal
Sabotase, spionase, huru-hara.
Internal
Dapat dalam bentuk kecurangan, pencurian, perbuatan jahat (memasukkan virus,

membangun malicious software).
Klasifikasi tnformasi
Seperti yang telah disebutkan sebelumnya informasi merupakan asset perusahaan yang
harus dilindungi dari ancaman penyalahgunaan. lnformasi dalam bentuk hardcopy atau
softcopy yang dihasilkan dengan jerih P.ayah perusahaan merupakan investasi yang memakan
biaya banyak demi menunjang dan memajukan perusahaan dapat diklasnikasikan sebagai
berikut:
a) Sangat Rahasia (Top Secret)
Apabila informasi ini disebarluaskan maka akan berdampak sangat parah terhadap keuntungan
berkompetisi dan strategi bisnis organisasi. Contoh informasi jenis Top Secret : rencana
operasi bisnis, strategi marketing, rincian atau ramuan bahan untuk menghasilkan material
atau bahan baku tertentu, strategi bisnis.
b) Konfidensial (Confidential)
Apabila informasi ini disebarluaskan maka ia akan merugikan privasi perorangan,merusak
reputasi organisasi. Contoh informasi jenis Confidential : konsolidasi penerimaan, biaya,
keuntungan beserta informasi lain yang dihasilkan unit kerja keuangan organisasi,strategi
marketing, teknologi, rencana produksi, gaji karyawan, informasi pribadi karyawan,
promosi atau pemberhentian karyawan.
c) Restricted
lnformasi ini hanya ditujukan kepada orang-orang tertentu untuk menopang bisnis
organisasi. Contoh informasi Restricted: informasi mengenai bisnis organisasi,peraturan
organisasi, strategi marketing yang akan diimplementasikan, strategi harga penjualan,

strategi promosi.
d) Internal Use
lnformasi ini hanya .boleh digunakan oleh pegawai perusahaan untuk melaksanakan
tugasnya. Contoh informasi Internal Use : prosedur, buku panduan, pengumuman atau memo
mengenai organisasi.
e) Public
lnformasi ini dapat disebarluaskan kepada umum melalui jalur yang resmi. Contoh informasi
Publik : lnformasi di web, Internal korespondensi yang tidak perlu melalui pengontrolan
atau screening, dan public corporate announcements.
2. Kebijakan Keamanan Sistem informasi
Setiap organisasi akan selalu memilki pedoman bagi karyawannya untuk mencapai
sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin
dalam melakukan tugasnya. Contoh paling mudah adalah apabila sudah ditentukan jam kerja
dari pukul 08.00 sampai pukul 16.30 dengan waktu istirahat 30 menit, maka waktu ini harus
secara disiplin dipegang. Karyawan tidak dapat mengatur jam kerjanya sendiri. Setiap output
tugas merupakan input tugas untuk karyawan yang lain. Hal ini akan menghambat kelancaran
pekerjaan dan sudah tentu akan merugikan organisasi. Oleh karena itu, garis pedoman ini
dalam bentuk prosedur harus ditaati oleh semua pihak.
Prosedur organisasi biasanya disusun oleh pimpinan organisasi beserta pimpinan bagian
personalia yang kadangkala melibatkan juga senior manajer yang lain. Kebijakan keamanan
sistem informasibiasanya disusun oleh pimpinan operasional beserta pimpinan ICT(Information
Communication Technology) dengan pengarahan dari pimpinan organisasi. Rangkaian konsep
secara garis-besar dan dasar dari prosedur keamanan sistem informasi adalah sebagai berikut:
Keamanan Sistem informasi Merupakan Urusan dan Tanggung Jawab Semua

Karyawan
Karyawan diwajibkan mengerti tentang keamanan sistem informasi. Mereka harus

mengetahui dan dapat membayangkan dampak apabila peraturan keamanan sistem
informasi diabaikan. Semua Manajer bertanggungjawab untuk mengkomunikasikan kepada
semua bawahannya mengenai pengamanan yang dilakukan di perusahaan dan meyakinkan
bahwa mereka mengetahui dan memahami semua peraturan yang diterapkan di perusahaan dan
bagiannya. Di lain pihak, setiap pegawai bertanggung jawab dan harus mematuhi peraturan
keamanan sistem informasi yang diterapkan dan dianut oleh perusahaan.Contohnya : Password
berfungsi untuk menjaga kerahasiaan sistem informasi. Password semestinya hanya diketahui
pihak yang berhubungan langsung dan tersembunyi. Jika password-nya dituliskan dan ditempel
di atas keyboard atau di monitor maka kemungkinan besar akan ada orangyangtak
berkepentingan langsung pun bisa melihatpasswordtersebut. Password tersebut menjadi tak
berguna dan sistem informasi itu menjadi tidak rahasia.
Penetapan Pemilik Sistem informasi
Alangkah berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem atau subsiste
yang bertanggung jawab atas keamanan sistem dan data yang dipakainya. Ia berhak untu
mengajukan permintaan atas pengembangan sistem lebih lanjut atau pembetulan di dala sistem
yang menyangkut bagiannya. Personel ini merupakan contact person dengan bagia ICT
(Information and Communication Technology). Contohnya : pemilik dapat menentukan siapa
saja yang dapat mengakses ke sistem informasi tertentu dan sejauh mana
wewenang/otoritas yang dapat diberikan kepada yang berkepentingan. Permohonan
pengaksesan ini harus dapat dijustifikasikan oleh pemoho dan manajer terkait.
Langkah Kemanan harus sesuai dengan peraturan dan undang-undang
Tergantung dari bidang yang ditekuni perusahaan harus mematuhi undang-undang yang
telah ditetapkan yang berkaitan dengan proteksi data, computer crime, dan hak cipta.
Contohnya: bank yang menggunakan komputer harus mematuhi peraturan yang dikeluarkan
oleh Bank Sentral, misalnya untuk pengiriman uang.
Antisipasi terhadap kesalahan
Dengan meningkatnya proses transaksi secara online & real time dan terkoneksi sistem
jaringan internasional, transaksi akan terlaksana hanya dalam hitungan beberapa detik
dengan tidak pertemuan manusia secara langsung. Apabila transaksi semacam ini terja di
kesalahan tidak dapat langsung diperbaiki atau akan menyita banyak waktu dan upaya untuk
memperbaikinya. Antisipasi dan pencegahan dengan tindakan keamanan yang ketat akan
memberikan garansi atas integritas, kelanjutan, dan kerahasiaan transaksi yang terjadi serta
meyakinkan untuk proses audit. Tindakan pencegahan tambahan harus diimplementasikan agar
dapat mendeteksi dan melaporkan kesalahan yang terjadi sehingga segala bentuk
kejanggalan dapat dikoreksi secepat mungkin. Contohnya : transaksi semi'lcam ini biasanya
terjadi pada perbankan misalnya pemindahan dana melalui ATM (Automatic Teller
Machine/Anjungan Tunai Mandiri). Apabila dibandingkan dengan misalnya pemesanan
barang yang tidak langsung dapat dikirim, kesalahan pemesanan masih dapat dikoreksi
misalnya melaluin telpon yang akan ditindaklanjuti dengan konfirmasi secara tertulis.
Pengaksesan kendala sistem harus berdasarkan kebutuhan fungsi.
User harus dapat meyakinkan kebutuhannya untu mengakses ke sistem sesuai dengan
prinsip 11Need to Know". Pemilk sistem harus bertanggung jawab atas pemberian akses ini.
Contohnya: untuk pemrosesan sistem penggajian, personel bagian terkait tidak diperbolehkan
untuk mengakses data hasil penjualan dari setiap personel bagian pemasaran. Atau tidak
semua personel bagian personalia diperbolehkan untuk memiliki akses ke data penggajian
karyawan.
Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di
sistem komputer .
Sistem komputer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai
demi kepentingan bisnis perusahaan. Data perusahaan hanya diperbolehkan dipakai untuk
bisnis perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan
terhadap data tersebut. Contohnya :data atau informasi mengenai penjualan tidak
diperkenankan untuk disebarluaskan kepada yang tidak berkepentingan.
Pekerjaan yang dilakukan oleh pihak ketiga
Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh perusahaan,
maka perusahaan harus dilindungi oleh keamanan atas informasi perusahaan. Di dalam
kontrak harus didefinisikan agar pihak ketiga mematuhi peraturan dan keamanan sistem
informasi perusahaan. Manajemen harus bertanggung jawab agar pihak ketiga mematuhi dan
mengikuti peraturan keamanan yang telah dirumuskan. Contohnya : apabila pengembangan
sistem informasi dilakukan oleh pihak ketiga/software house, sudah tentu pada uji coba
akhir harus memakai data yang sesungguhnya. Data ini tidak diperbolehkan oleh pihak ketiga
di-copy dan disebarluaskan atau output baik yang berbentuk hardcopy maupun softcopy
dipakai sebagai contoh untuk perusahaan lain apalagi untuk pesaing
Pemisahaan aktivitas antara pengembang sistem, pengoperasian sistem, dan

pemakai akhir sistem informasi.
Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan, dianjurkan agar

diadakan pemisahan secara fungsional antara pengembang sistem, pengoperasian sistem
harian dan pemakai akhir. Untu mencapai tujuan ini, pihak ICT terutama bagian
pengembangan sistem tidak dibenarkan apabila ia menangani administrasi yang menyangkut
keamanan sistem. Tugas ini agar diberikan kepada bagian tersendiri yang disebut Sistem
Administrator yang secara orgaisasi struktur tidak di bawah ICT.
lmplementasi sistem baru atau permintaan perubahan terhadap sistem yang

sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi
dan permintaan perubahan (Change Request).
Perubahan terhadap sistem informasi harus melalui prosedur yang berlaku untuk
pengembangan dan implementasi sistem baru. Setiap permintaan perubahan program harus
disertai alasan yang kuat ser.ta keuntungan yang ia akan dapatkan dan pemohon harus
dapat meyakini manajer terkait dan pemilik sistem mengenai perubahan ini. Oleh karena
itu, sangat penting apabil semua pihak yang terkait harus menandatangani "change request"
sebelum kegiatan ini dimulai. Harus pula diingat bahwa perubahan program akan memakan
biaya dan waktu juga.
Contoh : tidak dibenarkan apabila pemakai secara individu meminta perubahan terhadap
sistem dengan tidak sepengetahuan dari pemilik sistem. Dalam prakteknya hal ini sangat
sering terjadi. semua perubahan harus melalui prosedur change request, sehingga ICT
memiliki dokumentasipan bukti yang lengkap untuk menghindari permasalahan di kemudian
hari. Pihak ICT harus dapat dengan tegas menolak permintaan user apabila permintaan tidak
disertai dengan change request.
Sistem yang akan dikembangkan harus sesuai dengan standar metode

pengembangan sistem yang diemban oleh organisasi
Sistem yang akan dibangun harus memakai bahasa pemrograman yang telah ditetapkan.
Tidk dibenarkan apabila programmer membuatnya dengan bermacam-macam bahasa
pemrograman; Begitu pula dengan sistem database yang digunakan, harus memiliki
keseragaman. Patut dipertimbangkan semua resiko keamanan bersama penanggulangannya di
dalam sistem. Sebelum sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi
dan menilai keandalan keamanan di dalam aplikasi tersebut. Apabila akan menyeleksi paket
sistem aplikasi aspek sistem keamanannya merupakan bagian yang sangat penting dan
menentukan.
Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan
memakai kode identitasnya (User-/D)
Semua pemakai harus berhati-hati menyimpan password User-10-nya. Semua aktivitas yang
dilakukan dengan 10 ini akan terekam di dalam audit-trail. Pemakai tidak dapat memungkiri
bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhdap perusahaan.
Kesalahan beserta bukti ini dapat mengakibatkan peringatan atau pemutusan hubungan
kerja terhadap pemilik User-ID ini. Oleh karena itu, simpan password sebaik mungkin dan
jangan misalnya menempelkan di tempat di mana semua orang yang t;idak berwenang
dapat membacanya. Apabila pemakai merasa bahwa ada orang yang tidak berwenang telah
mengetahui password-nya, langkah terbaik adalah langsung mengganti password-nya.
3. Strategi Keamanan Sistem informasi
Dengan munculnya komputer dan teknologi informasi di lingkungan organisasi, asset
perusahaan akan bertambah sehingga diperlukan sebuah pemikiran untuk melindunginya
yang merupakan sebuah keharusan atau kewajiban. lntegritas, kerahasiaan dan ketersediaan
informasi menjadi penting apabila perusahaan masih tetap ingin berkompetisi di dalam dunia
bisnis.
Prinsip pertama adalah integritas (integrity) informasi. Apabila pelanggan datang ke toko
untuk membeli barang, namun tidak menemukannya maka ia akan mendatangi pramuniaga
dan menanyakan tentang barang tersebut. Pramuniaga tersebut akan memeriksa di komputer
akan ketersediaan barang yang diminati dan mendapat informasi bahwa barang tersebut
masih ada katakan 10 buah. Bersama dengan pramuniaga pelanggan pergi ke tempat barang
tersebut diletakkan, namun kenyataan barang tersebut tidak dapat ditemukan. Dengan contoh
ini maka pelanggan dapat menilai bagaimana integritas informasi data toko tersebut meskipun
memakai komputer. Apabila kejadian ini sering terjadi, maka kepercayaan pelanggan akan
berkurang terhadap toko tersebut.
Prinsip kedua adalah kerahasiaan (confidentiality) informasi. Menurut ISO 17799,
kerahasiaan adalah memastikan informasi hanya dapat diakses oleh orang yang berwenang
atau bagi orang yang memiliki otoritas. Untuk menjaga kerahasiaan, informasi yang bersifat
rahasia harus tetap dilindungi. Apapun alasannya informasi ini hanya diperuntukan untuk
orang-orang tertentu. Bagaimana perasaan seorang nasabah bank apabila informasi data
perbankannya dapat diketahui oleh orang lain atau bagaimana perasaan seorang karya wan
apabila semua rekan kerjanya mengetahui gaji y(!ng ia terima.
_Prinsip ketiga adalah ketersediaan (availability) informasi. ISO 17799 mendefinisika
ketersediaan sebagai kepastian tersedianya informasi pada saat yang dibutuhkan oleh orang yang
memiliki wewenang untuk mengetahuinya atau mengakses data. Tampaknya sangat gampang
namun banyak faktor yang dapat mengganggunya. Beberapa faktor yang dapat dikemukakan
misalnya kerusakan Hardware, users yang jahat (malicious users), penyusup dari luar perusahaan
yang berusaha menghancurkan data perusahaan, virus dan sebagainya.
3.1. Model ISO 17799
Di atas telah disinggung mengenai ISO 17799 dan sekarang timbul pertanyaan apa
sebetulnya ISO 17799. ISO 17799 adalah standar keamanan sistem informasi yang telah diakui oleh
dunia dan disahkan pada tahun 2000, dimana ia mengalami revisi pada tahun 2005 (ISO/IEC
17799 2005 yang juga disebut ISO/IEC 27002 2005).
Keuntungan yang dapat diambil dari standarisasi ini antara lain metodologi yang terstruktur
dan telah diakui oleh dunia in.ternasional, proses yang terdefinisi dengan baik, kebijakan dan
prosedur dapat disesuaikan dengan kondisi organisasi dan lain-lain.ISO 17799 terdiri dari:
1. Business Continuity Planning.
Business Continuity Planning merupakan langkah yang dilakukan pada saat terjadi ganggu atau
bencana (disaster) sehingga tidak mengganggu atau menginterupsi aktivitas dan proses bisnis.
2. System Control Access.
3.
4.
5.
6.
System Control Access, y itu :

Akses kontrol terhadap informasi
Mencegah agar individu ya.ng tidak berwenang dapat mengakses ke sistem informasi
Menjamin proteksi jaringan
Mencegah pengaksesan oleh yang tidak berwenang
Mendeteksi aktifitas yang tidak memiliki wewenang
Menjamin keamanan sistem informasi yang dapat diakses melalui fasilitas mobile dan
telenetworking.
System Development dan maintenance.
System Development dan maintenance akan membahas cara :
Untuk menjamin agar keamanan dan kontrol diimplementasikan di dalam sistem operaoprasional.
Untuk menghindar agar data user tidak hilang, disalah gunakan, atau dimodifikasi di dalam
sistem aplikasi.
Melindungi informasi atas integritasnya, kerahasiaannya, dan ketersediaanriya.
Menjamin agar aktivitas proyek IT beserta dukungannya dilakukan/dilaksanakan sesuai
dengan yang telah di tetapkan.
Memelihaa keamanan software dan sistem aplikasi beserta datanya.
Physical and Environmental Securit.
Physical and Environmental Security akan membahas :
Pencegahan pengaksesan, perusakan oleh orang yang tak berwenang di tempat bisnis dan
informasi perusahaan
Pencegahan terhadap hilangnya atau aksi yang akan membahayakan aset perusahaan sehingga
menggangu aktivitas bisnis
Mencegah agar tidak ada pencurian informasi atau membahayakan fasilitas pemrosesan
informasi
Compliance
Tujuan Compliance adalah agar tidak ada pelanggaran hukum kriminalitas atau sipil,
undang-undang, kontrak, dan lain-lain yang berkaitan dengan hukum. Selain itu, menjaga
agar sistem memenuhi persyaratan dan standar keamanan perusahaan.
Personnel Securit.
Tujuan Personnel Security adalah mengurangi risiko kesalahan orang, kecurangan, atau
penyalahgunaan fasilitas. Memastikan agar users menyadari kemungkinan ancaman
yang akan terjadi terhadap keamanan sistem informasi serta membekali mereka dengan
peraturan keamanan sistem informasi dalam melaksanakan tugas mereka
7.
8.
9.
10.
3.2.
1.
Security Organization.
Tujuan Security Organization adalah membahas bagaimana mengelola keamanan sistem
keamanan di dalam organisasi sendiri, menjaga agar sistem tidak dapat diakses oleh pihak
ketiga. Selain itu, pembahasan mengenai bagaimana mengurus keamanan informasi jikalau
pemroses pengolahan data diberikan kepada pihak ketiga.
Computer and Network Management.
Tujuan Computer and Network Management adalah :
Memastikan agar fasilitas pengoperasian informasi dapat berjalan Iancar dan benar
Memperkecil kemungkinan untuk kegagalan sistem(failure)
Melindungi integritas software dan informasi
Memastikan akan ketersediaan fasilitas komunikasi
Melindungi jaringan dan infrastruktur pendukungnya
Menjamin agar tidak ada informasi yang hilang, disalahgunakan, dan dimodifikasi pada saat
pertukaran informasi antar organisasi.
Asset Classification and Control.
Tujuan Asset Cl ossification and Control adalah untuk membahas proteksi yang tepat bagi
aset perusahaan dan memastikan agar aset informasi memiliki tingkat keamanan yang tepat dan
baik.
Security Policy.
Tujuan Security Policy adalah memberikan arahan dan bantuan kepada manajemen
mengenai keamanan sistem informasi.
Dampak Teknologi lnformasi
Dampak dari penggunaan komputer yang merupakan alat bantu di dunia bisnis
dengan meningkatkan efisiensi dalam hal pemberian informasi yang lebih cepat dan
akurat, telah menciptakan masalah tambahan untuk pemeriksaan dan pengontrolan, yang
sebelumnya belum pernah ada atau terpikirkan.
Sentralisasi Data.
Sebelum zaman komputer, masing-masing departemen di dalam perusahaan bertanggun
jawab sendiri atas data masing-masing. lnformasi yang masih berupa kertas-kertas akan
disimpan di dalam lemari arsip atau lebih parah lagi disimpan di dalam laci masing-masin
karyawan yang menanganinya.
Saat ini data tersebutyangtelah berupa dokumen digital disimpan di

komputerdepartemen/ pusat komputer. Namun ada juga departemen yang telah memiliki
sistem sendiri dan menyimpan datanya di dalam sistem komputer departemen terkait.
Apabila pada saat itu setiap departemen memiliki sistem yang berdiri sendiri,maka akan sulit
untuk mengintegrasi data mereka ke dalam satu sistem terpadu. Selanjutnya akan terjadi
redundansi data.
2.
Pengaksesan Data.
Pengaksesan informasi dapat lebih mudah dilakukan baik dari dalam maupun dari luar
organisasi. Dengan adanya kemajuan tekhnologi, informasi yang awalnya hanya ditujukan
untuk perorangan sekarang sudah dapat diakses oleh kayawan organisasi yang bersangkutan
(tergantung kewenangannya) dengan memanfaatkan terminal-terminal- di dalam jaringan
organisasi terkait. Dengan adanya jaringan nirkabel/wireless pengguna dapat mengakses data dimana
mereka berada, apakah itu dari kendaraan yang ia tumpangi atau dari pusat
perbelanjaan/mall. Oleh karena itu, pengontrol akses terhadap informasi perusahaan seorang
merupakan satu pekerjaan sendiri dan sangat rumit.
3. Pemisahan tugas/segregation of duties.

Pemisahan tu_gas dan tanggung jawab yang secara tradisional tidak dapat diterapkan
dan diimplementasikan lagi, sehingga pemisahan tugas dan tanggung jawab merupakan
pekerjaan yang tidak mudah.
4.
Kekurangan audit trail (bukti secara fisik).

Pada masa lalu tidak semua komputer sistem yang dibekali dengan audit trail.
Apabila pada saat itu terjadi kejanggalan maka pelacakannya akan sulit dan membutuhkan
banyak waktu untuk menemukan kesalahan ini. Namun, rata-rata sekarang mereka sudah
dibekali dengan fasilitas informasi yang dibutuhkan oleh audit sehingga auditor dapat
mendeteksi kejanggalan transaksi.
5.
Tidak tersedianya prosedur dan dokumentasi yang memadai.

Banyak sistem komputer yang tidak memiliki prosedur/buku panduan yang
seharusnya merupakan bagian yang tidak terpisahkan dari sistem tersebut. Dengan tidak
adanya buku panduan, hal ini akan menjadi faktor kelemahan terhadap pengoperasian dan
tindak lanjut terhadap aplikasi-aplikasi.
Harus diakui bahwa pembuatan dokumentasi merupakan pekerjaan yang membosankan
untuk para pembuat sistem,namun suka atau tidak suka mereka harus dipaksakan untuk
membuat dokumentasi yang memadai dan tidak asal jadi. Para programmer harus
sadar bahwa tanpa dokumentasi para penerusnya akan sulit untuk meng-upgrade dan
menindaklanjuti program yang telah ada. Harus juga disadari bahwa pemakai tidak aka diam
saja dan puas dengan sistem yang telah jadi,karena mereka sudah tentu akan memil gagasan
baru dan meminta untuk mengimplementasikannya.
6.
Pengetahuan teknologi yang tinggi.

Metodologi baru untuk pengembangan sistem baru telah menganggap bahwa semua
pemakai mempunyai ketrampilan yang sama. Kalau dibandingkan dengan teknologi
beberapa tahun yang lalu,pengembang sistem hanyci dapat dilakukan oleh para program Namun
dengan kemajuan pengetahuandan bahasa komputer yang sekarang tersedia, para pemakai
sudah dapat memahami bahasa tersebut. Tidak jarang ditemukan pemakai dapat membuat
program sendiri dengan cara belajar sendiri dengan bantuan buku panduan manual.Namun
kualitas program dibuat tidak sebanding dengan hasil buatan programmer yang telah memiliki
ketrampilan khusus, karena pembuatan program tidak terstruktur dan tidak menerapkan
metodologi tertentu.
7.
8.
9.
Teknologi telah mengubah pola berbisnis.

Perubahan ini dikarenakan telah tersedianya:
Internet dan WWW (World Wide Web) .
Arsitektur distributed Client Server
Jaringan komunikasi berbasis digital yang menggunakan bandwidth tinggi (kabel, satelit) Tidak
jarang lagi semua kegiatan bisnis telah dapat diselesaikan melalui jaringan internet dan di
manapun juga.
Tingkat otorisasi.
Secara umum sistem manual memilki tingkat otorisasi yang kaku yang diterapkan di
dalam sistem. Dengan menggunakan komputer,otorisasi dapat diimplementasikan di dalam
system informasi, di mana akan mempermudah pekerjaan dan juga pemonitorannya. Otorisasi
ini memiliki kaitan juga dengan segregation of duties yang telah disebutka'n sebelumnya.
Keterlibatan audit.
Beberapa tahun yang lalu teknologi telah menyingkirkan audit departemen dari
pengembangan sistem baru dan pengontrolan secara kritis terhadap aplikasi yang telah
berjalan. Meskipun kecenderungan ini telah mulai berubah,. kelalaian yang sudah-sudah
untuk melibatkan pihak auditor telah mengakibatkan kontrol yang lemah di banyak sistem
informasi. Sekarang kete.rlibatan auditor merupakan keharusan yang tidak dapat dipungkiri
lagi.
a)
b)
c)
d)
e)
f)
Dari media cetak kita telah banyak membaca tentang hacking, virus dan kecurangan
yang menggugah kewaspadaan pihak manajemen untuk meningkatkan kebutuhan
keamanan sistem informasi. Oleh karena itu, masalah yang akan dihadapi antara lain :
Seberapa jauh keamanan harus diterapkan.
Berapa biaya yang harus dikeluarkan.
Apakah dampak yang akan timbul dengan menerapkan ekstra keamanan dalam hal
efisiensi dan fleksibiitas dari sistem komputer.
Pertanyaan ini dapat dijawab secara menyeluruh dengan mempertimbangkan
pengaruh dan resiko dimana bisnis perusahaan yang digeluti untuk menerapkan sistem
komputerisasi. Setelah membicarakan hal-hal yang terkait dengan teknologi komputer
yang disebutkan sebelumnya, strategi keamanan sistem informasi dibutuhkan karena :
Tidak dapat dipungkiri lagi bahwa informasi yang dihasilkan oleh komputer merupakan
hal yang penting untuk menyukseskan bisnis.
Teknologi baru telah mengubah pola lingungan bisnis, termasuk ancaman dan serangan
dari ll.iar lingkungan.
Keamanan sistem informasi merupakan kunci keberhasilan untk menggunakan alat bantu
baik dalam bentuk Hardware maupun software dalam berbisnis baru dan pemrosesannya.
Keamanan sistem informasi bukanlah sekedar masalah pengendalian dari sisi teknologi
dengan menggunakan baik Hardware maupun software, namun penerapan kebijakan dan
standar yang memadai akan menentukan arah keamanan sistem informasi.
Bisnis secara elektronik membutuhkan kepercayaan bisnis.
Bisnis perusahaan sangat tergantung dengan ICT.
g) Banyak faktor yang membutuhkan pendekatan secara terintegrasi
Posted by Abanx Gian at 1:45 PM
Email ThisBlogThis!Share to TwitterShare to FacebookShare to Pinterest
Labels: Ilmu Komputer
No comments:
Post a Comment
Newer Post Older Post Home
Lencana Facebook
Sang Penghapus Jejak
Buat Lencana Anda
Blog Archive
2015 (51)
2014 (12)
o June (11)
o January (1)
2013 (41)
2012 (44)
Keamanan Sistem Informasi
Total Pageviews
194,628
About Me
Abanx Gian
lahir di Tanjung Aur,02 februari 1992. nama lengkap I.I.Sugianto,anak ke 3 dari 4
bersaudara kandung,,,,, masih dlam perjalanan kuliah di STMIK ABQ Bengkulu
Selatan
View my complete profile
Followers
Copyright 2016 SANG PENGHAPUS JEJAK. Designed for radiostation.org emichiganpages.com, eminnesotapages.com, emississippipages.com
K
A
J
E
J
S
U
P
A
H
G
N
E
P
G
N
A
S
Information Security Awareness Based On

ISO 27001
Pendahuluan
Program Kesadaran Keamanan Informasi (Information Security Awareness) ini
dimaksudkan untuk mendidik personil dalam organisasi/perusahaan tentang risiko yang
melekat pada kerahasiaan, integritas, atau ketersediaan system dan data, dan bagaimana
personil dapat mengambil bagian untuk membantu melindungi system ini dan data.
Program ini dirancang untuk meningkatkan kesadaran tentang keamanan informasi
(Information Security Awareness), praktek keamanan informasi yang baik, dan kebijakan
terkait untuk membantu mencegah penyalahgunaan dan pengubahan informasi dan komputasi
sistem yang sensitif. Mengadopsi perilaku yang melindungi informasi organisasi, keamanan
personil, dan keamanan keluarga
Tujuan dan Sasaran
1. Mengidentifikasi tujuan keamanan informasi
2. Melindungi sumberdaya informasi dari gangguan keamanan informasi
3. Mempelajari tentang tanggungjawab personil untuk menjaga keamanan informasi
4. Merespon insiden keamanan informasi apabila mengalami masalah keamanan
informasi.
Peserta
1. Manajemen Puncak
2. Senior Manager
3. Manager
4. Staff
Materi Pelatihan
1. Informasi dan keamanan informasi [E,P]*
2. Resiko terhadap keamanan informasi [E,P]*

3. Pengelolaan asset informasi dan klasifikasi informasi[E]*
4. Kebijakan keamanan informasi dan Tata KelolaTeknologi informasi [E]*
5. Organisasi keamanan informasi [E]*
6. Keamanan Sumberdaya Manusia [E,P]*
7. Keamanan Fisik, Komunikasi dan Operasional[E,P]*
8. Dasar-dasar keamanan Pengembangan Aplikasi dan Infrastuktur Teknologi Informasi
[E]*
9. Pengelolaan keamanan informasi dengan organisasi eksternal [E]*
10. Standar keamanan informasi [E]*
11. Peraturan tentang keamanan informasi di Indonesia [E,P]*
*Keterangan :
E = Enterprise, materi terkait implementasi di organisasi/perusahaan
P = Public, materi terkait implementasi di organisasi/perusahaan/public/umum.
Facebook
Twitter
LinkedIn
GooglePlus
more
0
RAMADHAN DEAL WITH ITGID
IT Risk Video
Gallery
12345
Tweet ITGID

OK

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

OK

Diunggah oleh

Hak Cipta:

Format Tersedia

OK. Topik yang menarik.

Silakan dilanjutkan dan temukan studi kasus yang

Topik :Manajemen Keamanan Sistem Informasi

Let's Safety Riding !

Keamanan Sistem E-Commerce | Download Materi Kuliah Teknik

>> Sabtu, 06 November 2010

Dalam prakteknya, berbelanja di web memerlukan koneksi ke internet dan browser

menjadikan proses belanja menjadi lebih mudah dan aman.

B. KONSEP DASAR KEAMANAN

- Keamanan media yang digunakan meliputi pengontrolan terhadap media

4. A Threat (Ancaman yang tidak diinginkan) merupakan kemungkinankemungkinan

System Penetration : orang-orang yang tidak berhak, mendapatkan akses

kesistem computer dan diperbolehkan melakukan segalanya.

- Authorization Violation: Ancaman berupa pelanggaran dan penayalahgunaan wewenang

Denial of Service (DoS): Penolakan service terhadap client yang berhak.

Repudiation: Penolakan terhadap sebuah aktivitas transaksi atau sebuah

Macam-macam Security service safe guards :

ketika transaksi atau komunikasi sedang terjadi.

C. JENIS KEAMANAN E-COMMERCE

Data integrity (integritas data)

o System Penetration : orang-orang yang tidak berhak, mendapatkan akses kesistem

2. Data origin authentication: membuktikan sah tidaknya identitas dalam bentuk

2. Access Control services

4. Data integrity services

5. Non repudiation Service

karakteristik khas, yaitu :

Nilai Lebih E-Commerce

Munculnya Jenis Kejahatan Baru

Mizan Online Telecommunication Mall dan Trikomsel.

sehingga e-commerce dapat dimanfaatkan dengan maksimal. Sayangnya, daya beli

1. Sosialisasi dan edukasi pasar E-Commerce Indonesia.

Diposkan oleh Handrie Noprisson di 05.25

Cari Materi Kuliah Anda Disini!

Daftar Materi Kuliah

SISTEM MANAJEMEN KEAMANAN INFORMASI

Integritas melindungi kelengkapan dan ketelitian informasi dan memproses metoda.

Gambar 1 : Menunjukkan hasil dari survei ISBS 2000.

a. Mengapa Sistem Manajemen Keamanan Informasi Dibutuhkan?

60% tentang organisasi sudah menderita/mengalami suatu pelanggaran keamanan dalam 2

Gambar pertunjukan 60% tentang perusahaan menderita pelanggaran keamanan.

Gambar 2 menunjukkan hasil survey ISBS 2000 terhadap pelanggaran keamanan

b . Penerapan Standard ISO 17799 : ISMS

Information Security Policy

Memanfaatkan kebutuhan bagi Kebijakan Keamanan Informasi untuk menyediakan arah

Struktur keamanan organisasi harus dengan jelas direncanakan.

Asset Classification and Control (Penggolongan Asset dan Kendali Informasi ):

Physical and Environmental Security

Computer and Network Security

System Access Control

Systems Development and Maintenance

Business Continuity Planning

Secara internal keuntungan-keuntungan menerapkan suatu ISO 17799 Sistem Manajemen

About these ads

Konsep Sistem Informasi Manajemen

Sistem Informasi Manajemen pada Perusahaan

Tugas Sistem Informasi Manajemen

Sistem Informasi Manajemen Sekolah E-School

SISTEM MANAJEMEN KEAMANAN INFORMASI

Sistem Informasi Manajemen pada Perusahaan

MANAJEMEN SISTEM INFORMASI PENDIDIKAN

Sistem Informasi Manajemen II

Peranan Teknologi Informasi di Bidang Manajemen/Bisnis

Struktur Sistem Informasi Manajemen