TUGAS BESAR MSI

Topik : Personnel Security & Physical Security

D
I
S
U
S
U
N

OLEH :
Nama : Ayu Tiana Silaban
Nim

: 132111772

Kelas : ESA-Pagi

STMIK MIKROSKIL

BAB I
PENDAHULUAN
A. Latar Belakang
Seiring dengan pesatnya kemajuan Teknologi informasi di era digital membuat
banyak organisasi tidak pernah lepas dari peranan teknologi di dalam menjalani
proses bisnis yang ada, dengan kemajuan zaman yang serba digital membuat berbagai
organisasi sadar akan pentingnya menjaga serta mengamankan seluruh sumberdaya
mereka dari berbagai ancaman baik yang bersifat virtual maupun fisik. Berbicara
mengenai ancaman, akan erat kaitannya dengan Manajemen keamanan sistem
informasi, dalam hal ini suatu organisasi, perusahaan, institusi di tuntut untuk pekah
terhadap berbagai ancaman yang berpotensi untuk membahayakan sumber daya
informasi perusahaan. Ancaman itu sendiri dapat datang dari internal maupun
eksternal perusahaan. Ancaman dari internal perusahaan tidak hanya mencakup
karyawan perusahaan tetapi juga pekerja temporer, konsultan, kontraktor, bahkan
mitra bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan
kerusakan yang secara potensi lebih serius jika dibandingkan dengan ancaman yang
datangnya dari eksternal perusahaan, dikarenakan pengetahuan ancaman internal yang
lebih mendalam akan sistem tersebut. Sementara Ancaman dari eksternal perusahaan
terlihat jelas dalam hal Persaingan didalam menjajalkan produk yang sama atau
sering dikenal sebagai pesaing usaha. Dalam hal ini dibutuhkan perlindungan
terhadap sistem informasi yang digunakan dalam menunjang proses bisnis yang ada.
Laudon menuliskan bahwa pengamanan adalah merujuk kepada kebijakan, prosedur,
dan pengukuran teknik yang digunakan untuk mencegah akses yang tidak sah,
penggantian, pencurian, atau kerusakan fisik pada sistem informasi. Sedangkan
pengendalian terdiri atas semua metode, kebijakan, dan prosedur organisasi yang
menjamin keselamatan aset-aset organisasi, ketepatan, dan keandalan catatan
rekeningnya serta kepatuhan operasional pada standar-standar manajemen.
Pentingnya keamanan sistem informasi itu sendiri guna mencegah terjadi pencurian
dan penyalahgunaan terhadap data dari suatu sistem informasi yang dapat
menyebabkan kerugian bagi seseorang atau sekelompok individu. Dengan adanya
pengamanan dan pengendalian tentu akan meminimalisir terjadinya penyalahgunaan
yang dimiliki oleh seseorang atau sekelompok individu. Keamanan sistem informasi
terbagi menjadi beberapa bagian diantaranya Keamanan personel, Keamanan
Aplikasi, Keamanan Sistem Operasi, Keamanan Jaringan, Keamanan Middleware dan
web service dan Keamanan Fasilitas. Diantara semua yang ada Ancaman terbesar
datangnya dari Manusia (People), mengingat bahwa Manusia adalah penghubung
utama dalam program keamanan informasi.yang ada pada suatu perusahaan. Oleh
karena itu penulis tertarik untuk melakukan pembahasan secara mendalam mengenai
Personnel Security beserta kebijakan-kebijakan yang diterapkan dan aturan-aturan
krusial yang terdapat dalam suatu organisasi atau perusahaan.

BAB II
PEMBAHASAN
Menurut ISO/IEC 17799:2005 tentang information security management system bahwa
keamanan informasi adalah upaya perlindungan dari berbagai macam ancaman untuk
memastikan keberlanjutan bisnis, meminimalisir resiko bisnis, dan meningkatkan investasi
dan peluang bisnis.
Keamanan Informasi memiliki 3 aspek, diantaranya adalah :
1. Confidientality
Keamanan informasi menjamin bahwa hanya mereka yang memiliki hak yang boleh
mengakses informasi tertentu. Pengertian lain dari confidentiality merupakan tindakan
pencegahan dari orang atau pihak yang tidak berhak untuk mengakses informasi.
Dalam hal ini Memproteksi informasi yang kira-kira menjadi incaran yang akan
disingkap oleh Pesaing.
2. Integrity
Keamanan informasi menjamin kelengkapan informasi dan menjaga dari kerusakan
atau ancaman lain yang mengakibatkan berubah informasi dari aslinya. Integrity juga
sama halnya dengan memastikan bahwa informasi tersebut masih utuh, akurat, dan
belum dimodifikasi oleh pihak yang tidak berhak dan tidak memiliki otorisasi untuk
mengakses informasi perusahaan.
3. Availability
Keamanan informasi menjamin pengguna dapat mengakses informasi kapanpun tanpa
adanya gangguan dan tidak dalam format yang tidak bisa digunakan. Pengguna dalam
hal ini bisa jadi manusia, atau komputer yang tentunya dalam hal ini memiliki
otorisasi untuk mengakses informasi. Availability meyakinkan bahwa pengguna
mempunyai kesempatan dan akses pada suatu informasi.
Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang
layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-prosedur, strukturstruktur organisasi dan piranti lunak.

Gambar 1 Elemen-elemen keamanan informasi

Tiga elemen dasar confidentiality, integrity, dan availability (CIA) merupakan dasar diantara
program program keamanan yang dikembangkan. Ketiga elemen tersebut merupakan mata
rantai yang saling berhubungan dalam konsep information protection. Keamanan bisa dicapai
dengan beberapa cara atau strategi yang biasa dilakukan secara simultan atau dilakukan
dalam kombinasi satu dengan yang lainnya. Strategi-strategi dari keamanan informasi
masing-masing memiliki fokus dan dibangun tujuan tertentu sesuai kebutuhan. Contoh dari
keamanan informasi antara lain :
1. Physical security adalah keamanan informasi yang memfokuskan pada
strategi untuk mengamankan individu atau anggota organisasi, aset fisik,
dan tempat kerja dari berbagai ancaman yang meliputi bahaya kebakaran,
akses tanpa otorisasi, dan bencana alam.
2. Personal security adalah keamanan informasi yang berhubungan dengan
keamanan personil. Biasanya saling berhubungan dengan ruang lingkup
physical security.
3. Operasional security adalah keamanan informasi yang membahas
bagaimana strategi suatu organisasi untuk mengamankan kemampuan
organisasi tersebut untuk beroperasi tanpa gangguan.
4. Communication security adalah keamanan informasi yang bertujuan
mengamankan media komunikasi, teknologi komunikasi serta apa yang
masih ada didalamnya. Serta kemampuan untuk memanfaatkan media
dan teknologi komunikasi untuk mencapai tujuan organisasi.
5. Network security adalah keamanan informasi yang memfokuskan pada
bagaimana pengamanan peralatan jaringannya, data organisasi, jaringan
dan isinya, serta kemampuan untuk menggunakan jaringan tersebut
dalam memenuhi fungsi komunikasi data organisasi.
Dalam Personnal Security Masalah etika juga mendapat perhatian dalam
pengembangan dan pemakaian sistem informasi. Masalah ini di
identifikasi oleh Richard Mason pada tahun 1986 (Zwass, 1998) yang
mencakup privasi, akurasi, property, dan akses. Privasi Privasi
menyangkut hak individu untuk mempertahankan informasi pribadi dari

pengaksesan oleh orang lain yang memang tidak diberi ijin untuk
melakukannya. Contoh isu mengenai privasi sehubungan diterapkannya
sistem informasi adalah :

Pada kasus seorang manajer pemasaran yang ingin mengamati

email yang dimiliki bawahannya karena diperkirakan mereka lebih
banyak berhubungan dengan email pribadi daripada email para
pelanggan. Sekalipun manajer dengan kekuasaannya dapat
melakukan hal itu, tetapi ia telah melanggar privasi bawahannya.
Itulah mengapa perlu adanya suatu kebijakan yang harus
diberlakukan di suatu organisasi atau perusahaan, Agar ketika ada
yang melakukan pelanggaran akan diberi sanksi sesuai dengan
kebijakan yang telah di tetapkan.

Akurasi
Akurasi terhadap informasi merupakan factor yang harus dipenuhi
oleh sebuah sistem informasi. Ketidakakurasian informasi dapat
menimbulkan hal yang mengganggu, merugikan, dam bahkan
membahayakan. Sebuah kasus akibat kesalahan penghapusan
nomor keamanan social dialami oleh Edna Rismeller. Akibatnya,
kartu asuransinya tidak bisa digunakan dan bahkan pemerintah
menarik kembali cek pensiun sebesar $672 dari rekening banknya.
Mengingat data dalam sistem informasi menjadi bahan dalam
pengambilan keputusan, keakurasiannya benar-benar harus
diperhatikan. Properti Perlindungan terhadap hak property yang
sedang digalakkan saat ini yaitu dikenal dengan sebutan HAKI (Hak
Atas Kekayaan Intelektual). Kekayaan Intelektual diatur melalui 3
mekanisme yaitu hak cipta (copyright), paten, dan rahasia
perdagangan (trade secret).

Hak Cipta
Hak cipta adalah hak yang dijamin oleh kekuatan hukum yang
melarang penduplikasian kekayaan intelektual tanpa seijin
pemegangnya. Hak cipta biasa diberikan kepada pencipta buku,
artikel, rancangan, ilustrasi, foto, film, musik, perangkat lunak, dan
bahkan kepingan semi konduktor. Hak seperti ini mudah didapatkan
dan diberikan kepada pemegangnya selama masih hidup
penciptanya ditambah 70 tahun.

Paten
Paten merupakan bentuk perlindungan terhadap kekayaan
intelektual yang paling sulit didapat karena hanya akan diberikan
pada penemuan-penemuan inovatif dan sangat berguna. Hukum
paten memberikan perlindungan selama 20 tahun. Rahasia
Perdagangan Hukum rahasia perdagangan melindungi kekayaan
intelektual melalui lisensi atau kontrak. Pada lisensi perangkat
lunak, seseorang yang menandatangani kontrak menyetujui untuk

tidak menyalin perangkat lunak tersebut untuk diserhakan pada

orang lain atau dijual.

Akses
Fokus dari masalah akses adalah pada penyediaan akses untuk
semua kalangan. Teknologi informasi malah tidak menjadi halangan
dalam melakukan pengaksesan terhadap informasi bagi kelompok
orang tertentu, tetapi justru untuk mendukung pengaksesan untuk
semua pihak.

Contractor Case Study

Kebijakan Keamanan Informasi (Information Security Policy)

Tujuan kebijakan keamanan informasi adalah untuk memberikan arahan dan
dukungan manajemen keamanan informasi. Manajemen harus menetapkan arah kebijakan
yang jelas dan menunjukkan dukungan, serta komitmen terhadap keamanan informasi
melalui peerapan dan pemeliharaan suatu kebijakan keamanan informasi di seluruh tatanan
organisasi.
Kebijakan Keamanan Informasi meliputi :
1. Dokumen Kebijakan Keamanan Informasi (Information security policy document)
Kontrol yang seharusnya dipenuhi adalah dokumen kebijakan keamanan informasi harus
disetujui oleh manajemen, dipublikasikan dan disosialisasikan dengan baik kepada seluruh
pegawai. Di dalam dokumen kebijakan tersebut harus ada pernyataan komitmen manajemen
dan pendekatan organisasi dalam mengelola keamanan informasi. Dokumen tersebut paling
tidak harus mencakup hal-hal sebagai berikut :

Definisi keamanan informasi, sasaran umum dan cakuoan, serta pentingnya keamanan
sebagai mekanisme untuk berbagi informasi

Pernyataan komitmen manajemen, dukungan terhadap tujuan, dan prinsip, persyaratan

standard an kesesuaian sebagai bagian penting untuk organisasi, seperti berikut.

a) Kesesuaian persyaratan legalitas dan kontraktual

b) Kebutuhan pendidikan keamanan
c) Pencegahan dan deteksi terhadap virus dan piranti lunak berbahaya lain
d) Manajemen kelangsungan bisnis
e) Konsekuensi atas pelanggaran kebijakan keamanan
f) Definisi tanggungjawab umum dan khusu untuk manajemen keamanan informasi,
termasuk melaporkan insiden keamanan
g) Rujukan untuk dokumentasi yang mendukung kebijakan, seperti detil kebijakan
keamanan dan prosedur untuk system informasi tertentu atau aturan keamanan yang
harus dipatuhi pengguna.
Kebijakan ini harus disosialisasikan kepada pengguna di seluruh tatanan organisasi, dalam
bentuk yang relevan, mudah diakses, dan dimengerti oleh pembaca.

1. Tinjauan Ulang Kebijakan Keamanan Informasi (Review of the information security

policy)
Kontrol yang seharusnya dipenuhi bahwa suatu kebijakan harus mempunyai pemilik yang
bertanggungjawab atas pemeliharaan dan melakukan tinjauan ulang sesuai prosedur tinjauan
ulang yang ditetapkan. Proses dimaksud harus memastikan bahwa tinjauan ulang dilakukan
untuk mengantisipasi setiap perubahan yang mempengaruhi analisa resiko, seperti insiden
keamanan yang serius, kerawanan beau, perubahan organisasi atau infrastruktur teknis.
Karena itu tinjauan ulang berkala berikut harus juga dijadwalkan :
1)

Efektivitas kebijakan, yang ditunjukkan oleh jenis, jumlah dan dampak dari insiden
keamanan yang di dokumentasikan

2)

Biaya dan dampak dari keberadaan kontrol terhadap efisiensi bisnis

3)

Pengaruh perubahan perkembangan teknologi

ISO sebagai salah satu badan dunia yang membuat standarisasi yang digunakan oleh para
pengguna dan produsen dalam bidang tertentu.
ISO 17799 : 27002 adalah standar yang berisi tentang tahapan praktis untuk mengatur sistem
keamanan informasi. Standar ISO mempunyai 12 klausa keamanan, dengan jumlah 39
kategori utama dalam bidang keamana, dimana dalam beberapa kategori itu mempunyai
banyak komponen-komponen yang lebih detail.

Penjabaran kedua-belas klausa itu adalah ;

Risk assessment and treatment

1. Assessing security risks,

Perlu dibuat kebijakan tentang resiko yang mungkin akan timbul. Kebijakan dapat
dibuat dengan diawali analisa tentang resiko yang mungkin muncul pada sistem
keamanan, misalnya

Berapa besar efek dari berhentinya layanan IT

Berapa besar efek resiko pada saat data dan informasi berhasil ditembus oleh
penyusup

Berapa lama sistem akan normal pada saat layanan terhenti

2. Treating security risks treatment,

Kebijakan untuk menjamin perawatan pada seluruh sistem IT yang digunakan, aturan
yang akan mengikat secara standar tentang perawatan, misalnya Perlu dibuat aturan
tentang berapa kali dalam satu waktu untuk masalah maintenance, analisa penetrasi
sistem, backup, restorasi, dan sebagainya yang berhubungan dengan kegagalan resiko
keamanan.

Security policy

Information security policy document & Review of information securit

Policies
Kebijakan ini menyangkut permasalahan tentang bagaimana perusahaan bagai
aturan keamanan dan privacy regulation seperti standar dari Health Insurance
Portability and Accountability Act (HIPAA) , Gramm-Leach-Bliley Financial
Services Modernization Act (GLBA). Misalnya beberapa tipe dari security
policy document, seperti :

a. Mobile computer policy

b. Firewall policy
c. Electronic mail policy
d. Data classification policy
e. Network Security Policy
f. Internet Acceptable use policy
g. Password Policy

Coordination with other security policies,

Jangan sampai kebijakan yang telah dibuat atau akan dibuat akan
menyebabkan kontradiktif dengan kebijakan yang telah ada dengan
departemen lain atau malah dengan visi dan misi perusahaan. Masalah seperti
ini sering kali muncul jika policy keamanan yang dibuat tidak melihat blue
print perusahaan, misalnya ; Dalam policy keamanan karyawan bagian teknis
harus dapat leluasa masuk ke ruangan lain sesuai dengan tingkatannya, namun
dalam policy perusahaan dibuat aturan tentang model authentikasi sistem
untuk masuk ke ruangan tertentu9