Disusun oleh :
Cindy Mayangsari (1510248113)
Sri Wahyuni Zanra (1510248102)
KATA PENGANTAR
Puji syukur kami panjatkan kepada kehadirat Tuhan Yang Maha Esa, karena atas
berkat dan rahmatnyalah kami dapat menyelesaikan tugas ini dengan baik dan benar. Tugas
ini disusun untuk tugas Ujian Tengah Semester (UTS) yang bertemakan tentang keamanan
dari sistem informasi. Adapun yang menjadi referensi sebagai acuan dalam penyusunan
tugas ini yaitu kami ambil dari berbagai sumber buku-buku serta referensi jurnal lainnya
yang berhubungan dengan masalah keamanan dalam sistem informasi.
Kami menyadari bahwa tugas ini masih jauh dari kata sempurna dan masih banyak
kekurangan. Oleh karena itu, kami membuka diri untuk dapat menerima kritik dan saran
yang membangun tentunya dalam rangka penyempurnaan pada pembuatan tugas ini
dikemudian hari. Semoga tugas ini dapat bermanfaat bagi pembaca sekalian. Akhir kata
kami ucapkan terimakasih.
Tim Penyusun
DAFTAR ISI
KATA PENGANTAR .................................................................................................. i
DAFTAR ISI ................................................................................................................ ii
PENDAHULUAN ....................................................................................................... 1
BAB 11 KEAMANAN SISTEM INFORMASI........................................................ 2
11.1. Konsep Keamanan Sistem Informasi.................................................................... 2
11.1.1. Pengertian Keamanan Sistem Informasi................................................. 3
11.1.2. Tujuan Keamanan Sistem Informasi....................................................... 4
11.1.3. Aspek Keamanan Sistem Informasi........................................................ 5
11.2. Manajemen Keamanan Informasi......................................................................... 6
11.2.1. Manajemen Resiko.................................................................................. 8
11.2.2. Kebijakan Keamanan Informasi.............................................................. 11
11.2.3. Pengendalian .......................................................................................... 14
11.3. Ancaman Keamanan dan Pengendalian Informasi............................................... 15
11.3.1. Ancaman Internal.................................................................................... 15
11.3.1.1. Ancaman dan Pengendalian Input............................................ 16
11.3.1.2. Ancaman dan Pengendalian Proses.......................................... 21
11.3.1.3. Ancaman dan Pengendalian Output......................................... 24
11.3.2. Ancaman dan Pengendalian Eksternal.................................................... 26
11.3.2.1. Ancaman Eksternal................................................................... 26
11.3.2.1.1. Perangkat Lunak Berbahaya (Virus, Worm, Trojan
Horse)................................................................... 26
11.3.2.1.2. Hackers dan Crackers........................................... 28
11.3.2.2. Pengendalian Ancaman Eksternal............................................ 31
11.3.2.2.1. Firewall................................................................. 31
11.3.2.2.2. Systrust dan Webtrust............................................ 32
11.3.2.2.3. Pengendalian Kriptografis.................................... 34
KESIMPULAN ............................................................................................................ 37
DAFTAR PUSTAKA ................................................................................................... 37
PENDAHULUAN
Keamanan sistem informasi pada saat ini telah banyak dibangun oleh para
kelompok analis dan programmer namun pada akhirnya ditinggalkan oleh para
pemakainya. Hal tersebut terjadi karena sistem yang dibangun lebih berorientasi pada
pembuatnya sehingga berakibat sistem yang dipakai sulit untuk digunakan atau kurang
user friendly bagi pemakai, sistem kurang interaktif dan kurang memberi rasa nyaman bagi
pemakai,sistem sulit dipahami interface dari sistem menu dan tata letak kurang
memperhatikan kebiasaan perilaku pemakai, sistem dirasa memaksa bagi pemakai dalam
mengikuti prosedur yang dibangun sehingga sistem terasa kaku dan kurang dinamis,
keamanan dari sistem informasi yang dibangun tidak terjamin.
Hal-hal yang disebutkan diatas dapat disimpulkan bahwa dalam membangun
sebuah keamanan sistem informasi harus memiliki orientasi yang berbasis perspektif bagi
pemakai bukan menjadi penghalang atau bahkan mempersulit dalam proses transaksi dan
eksplorasi dalam pengambilan keputusan. Terdapat banyak cara untuk mengamankan data
maupun informasi pada sebuah sistem. Pengamanan data dapat dibagi menjadi dua jenis
yaitu : penecegahan dan pengobatan. Pencegahan dilakukan supaya data tidak rusak,
hilang dan dicuri, sementara pengobatan dilakukan apabila data sudah terkena virus, sistem
terkena worm, dan lubang keamanan sudah diexploitasi.
Keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan.
Masalah tersebut penting karena jika sebuah informasi dapat di akses oleh orang yang
tidak berhak atau tidak bertanggung jawab,maka keakuratan informasi tersebut akan
diragukan, bahkan akan menjadi sebuah informasi yang menyesatkan. Untuk itu
diperlukan pengendalian pada sistem informasi untuk mengatasi ancaman yang akan
dihadapi baik itu ancaman yang berasal dari dalam perusahaan (internal) maupun ancaman
lain yang datang dari luarperusahaan (eksternal)
BAB 11
KEAMANAN SISTEM INFORMASI
11.1
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.
Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat
menjadi sangat esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi,
lembaga pemerintahan, maupun individual. Begitu pentingnya nilai sebuah informasi
menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang
tertentu. Informasi yang ada sangat dijaga keamanannya agar tidak dapat diketahui oleh
oranglain yang tidak berkepentingan sehingga dapat meminimalisir kerugian bagi pemilik
informasi. Banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan
diketahui oleh orang-orang tertentu di dalam perusahaan tersebut. Untuk itu keamanan dari
sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Masalah keamanan menjadi aspek utama dari sebuah sistem informasi. Semua
organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi tetap aman.
Jika sebuah informasi dapat di access oleh orang yang tidak berhak atau tidak bertanggung
jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi sebuah
informasi yang menyesatkan. Kalangan industri telah lama menyadari akan pentingnya
menjaga keamanan dari para kriminal komputer,dan sekarang pemerintah telah
mempertinggi tingkat keamanan sebagai salah satu cara untuk memerangi terorisme.
Ketika organisasi-organisasi ini mampu dalam mengimplementasikan pengendalian
keamanan, isu-isu utama mengenai keamanan terhadap ketersediaan yang ada mampu
diatasi.
Semakin banyak informasi suatu perusahaan yang direkap, dikelola dan di sharingkan
semakin besar pula resiko untuk terjadi kerusakan, kehilangan atau pun bisa dapat
diketahui pihak-pihak eksternal yang tidak berkpentingan (Sarno dan Iffano : 2009). Selain
itu menurut ISO/IEC 17799:2005 tentang information security management system
menyatakan bahwa keamanan informasi merupakan suatu upaya perlindungan dari
berbagai jenis ancaman yang dimana untuk memastikan keberlanjutan bisnis,
meminimalisir resiko bisnis serta meningkatkan investasi dan peluang bisnis yang ada.
Sistem keamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan peralatan-peralatn untuk dapat mengamankan perangkat
keras dan lunak komputer, jaringan komunikasi serta data-data. Keamanan informasi
menggambarkan usaha untuk melindungi komputer dan non peralatan komputer, fasilitas,
data,
dan
informasi
dari
penyalahgunaan
oleh
orang
yang
tidak
bertanggungjawab.Keamanan informasi dimaksudkan untuk mencapai kerahasiaan,
ketersediaan, dan integritas di dalam sumber daya informasi dalam suatu
perusahaan.Masalah keamanan informasi merupakan salah satu aspek penting dari sebuah
sistem informasi.
Tidak hanya pada keamnan sistem informasi, aspek lainnya yang perlu dilakukan
perlindungan yaitu pada keamanan jaringan internet. Keamanan jaringan internet ini
merupakan pengelolaan keamanan yang bertujuan mencegah, mengatasi, dan melindungi
berbagai sistem informasi dari resiko terjadinya suatu tindakan secara ilegal misal
penggunaan tanpa izin, penyusupan, dan perusakan terhadap berbagai informasi yang
dimiliki.
Resiko terhadap keamanan pada sistem informasi meliputi dua hal penting
didalamnya yakni suatu ancaman terhadap keamanan sistem informasi dan kelemahan
keamanan suatu sistem informasi. Untuk menjamin hal tersebut maka keamanan sistem
informasi baru dapat memiliki kriteria dengan baik. Adapun kriteria yang perlu
diperhatikan dalam hal keamanan sistem informasi ini memerlukan 10 hal keamanan yang
perlu diperhatikan yaitu sebagai berikut :
1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang digunakan
3. Manajemen praktis yang digunakan
4. Pegembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitek dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Businees Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada
Dari 10 hal di atas timbul isu pada keamanan sistem informasi yang dapat diklasifikasi
berdasarkan ancaman dan kelemahan sistem yang ada.
11.1.2. Tujuan Keamanan Sistem Informasi
3. Non Repudiation
Aspek yang merupakan hal yang bersangkutan dengan pengirim informasi.
Pengirim tidak dapat mengelak dialah yang mengirimkan informasi tersebut.
4. Authority
Informasi yang berada pada sistem jaringan yang tidak dapat dimodifikasi oleh
orang yang tidak berhak.
5. Confidentiality
Aspek yang merupakan usaha untuk menjaga informasi dari orang yang tidak
behak mengakses. Aspek ini biasanya behubungan dengan informasi yang
diberikan kepada pihak lain.
6. Privacy
Suatu aspek yang lebih kearah data-data yang memiliki sifat private.
7. Availability
Aspek dimana ketersediaan hubungan dengan ketersediaan informasi ketika
dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat
atau meniadakan akses keinformasi.
8. Access Control
Aspek ini behubungan dengan cara pengaturan akses kepada infomasi. Aspek
ini berhubungan dengan aspek Authentication dan Privacy. Access Control
seringkali dilakukan dengan kombinasi user id dan password atau dengan
mekanisme lainnya.
11.2
stakeholder lainnya sehingga dapat dikatakan tugas dari manajemen keamanan terhadap
sistem informasi ini cukup sulit dan rumit. Sebagaimana kita ketahui, para manajer
keamanan harus memperoleh dan mengintegrasi beberapa metode keamanan dan alat-alat
yang dimaksudkan untuk dapat melindungi berbagai sumber daya sistem informasi di
suatu organisasi/perusahaan.
CIO merupakan orang yang tepat untuk memikul tanggung jawab atas keamanan
informasi, namun kebanyakan organisasi mulai menunjuk orang-orang tertentu yang dapat
mencurahkan perhatian penuh terhadap aktifitas ini. Jabatan direktur keamanan sistem
informasi perusahaan (Coorporate Information System Security Officer CISSO)
digunakan untuk individu di dalam organisasi, biasanya anggota dari unit sistem informasi
yang bertanggung jawab atas keamanan sistem informasi perusahaan tersebut.
Tetapi sekarang, perubahan yang sedang dibuat untuk mencapai tingkat informasi
yang cukup tinggi lagi di dalam suatu perusahaan dengan cara menunjuk seorang direktur
assurance informasi perusahaan (Corporate Information Assurance Officer CIAO) yang
akan melaporkan kepada CEO dan mengelola unit penjagaan informasi. Seperti yang
diharapkan, seorang CIAO harus mendapatkan serangkaian sertifikasi keamanan dan
memiliki pengalaman minimum 10 tahun dalam mengelola suatu fasilitas keamanan
informasi.
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas
empat tahap yakni:
1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi
suatu perusahaan
2. Mendefinisikan resiko dari ancaman yang dapat memaksakan
3. Penetapan kebijakan keamanan informasi
4. Menerapkan pengendalian yang tertuju pada resiko
Istilah manajemen risiko (risk management) dibuat untuk menggambarkan
pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan
dengan risiko yang dihadapinya. Terdapat pilihan lain untuk merumuskan kebijakan
keamanan informasi suatu perusahaan. Pilihan ini telah menjadi populer pada beberapa
tahun belakangan ini dengan munculnya standar atau tolak ukur keamanan informasi.
Tolak ukur (benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur
keamanan informasi (information security benchmark) adalah tingkat kemanan yang
disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup
terhadap gangguan yang tidak terotorisasi. Standar atau tolak ukur semacam ini ditentukan
oleh pemerintah dan asosiasi industri serta mencerminkan komponen-komponen program
keamanan informais yang baik menurut otoritas tersebut.
Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap
tolak ukur (benchmark compliance) dapat diasumsikan bahwa pemerintah dan otoritas
industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai
ancaman serta risiko dan tolak ukur tersebut menawarkan perlindungan yang baik.
ditetapkan dan memakai suatu password atau metode identifikasi lainnya saat mengakses
jaringan perusahaan.
Kebijakan keamanan juga meliputi penetapan manajemen identitas. Manajemen
identitas ini terdiri atas proses bisnis dan peralatan perangkat lunak untuk mengidentifikasi
pengguna yang sah pada sistem dan mengendalikan akses mereka terhadap sumber daya
sistem. Manajemen ini meliputi kebijakan untuk mengidentifikasi dan memberi izin bagi
pengguna sistem dari kategori yang berbeda, menetapkan bagian sistem atau porsi dari
sistem mana saja yang dapat diakses oleh pengguna serta proses dan teknologi untuk
autentis pengguna dan perlindungan identitas mereka. Sistem manajemen identitas ini
menetapkan bagian database sumber daya manusia yang dapat diakses bagi setiap
pengguna, berdasarkan informasi yang diperlukan untuk menjalankan pekerjaan seseorang.
Database mengandung informasi personal yang sensitif seperti gaji karyawan, tunjangan
serta rekam medis.
Di perusahaan dalam melakukan kebijakan keamanan informasi, melakukan
penerapan dalam pendekatan secara bertahap. Pendekatan tersebut diantaranya yakni :
1. Fase 1, Inisiasi Proyek. Membentuk sebuah tim yang bertugas dalam
mengembangkan dan mengawasi proyek kebijakan keamanan informasi yang
dibentuk
2. Fase 2, Penyusunan Kebijakan. Tim proyek berkonsultasi dengan pihak-pihak
dan berpengaruh dalam menentukan persyaratan-persyaratan yang dibutuhkan
untuk kebijakan baru.
3. Fase 3, Konsultasi dan Persetujuan.
Tim proyek berkonsultasi dan
menginformasikan kepada para manajemen mengenai hasil temuan, meminta
pandangan dan mengenai berbagai persyaratan kebijakan.
4. Fase 4, Kesadaran dan Edukasi. Melaksanakan program pelatihan kesadaran
dan edukasi dalam unit-unit organisasi.
5. Fase 5, Penyebarluasan Kebijakan. Kebijakan keamanan disebarluaskan
melalui unit-unit organisasi/perusahaan dimana kebijakan tersebut diterapkan.
Unit-unit manajer mengadakan rapat dengan para karyawan untuk memastikan
bahwa mereka mampu memahami mengenai kebijakan tersebut dan merasa
terikat untuk mematuhinya.
Berikut ini struktur penyusunan kebijakan keamanan dari fase-fase di atas :
menjaga keamanan harta milik perusahaan, memeriksa ketelitian dan kebenaran data
informasi, mendorong efisiensi, dan membantu mendorong dipatuhinya kebijakan
manajemen yang telah ditetapkan.
Pengendalian internal yang handal dan efektif dapat memberikan informasi yang
tepat bagi manajer maupun dewan direksi yang bagus untuk mengambil keputusan maupun
kebijakan yang tepat untuk pencapaian tujuan perusahaan yang lebih efektif pula.
Pengendalian internal merupakan suatu proses untuk mencapai tujuan tertentu, atau dapat
diartikan sebagai suatu rangkaian tindakan yang menjadi bagian yang tidak dapat
terpisahkan. Pengendalian internal tidak hanya terdiri dari pedoman, kebijakan, dan
formulir namun dijalankan oleh pihak-pihak dari setiap jenjang organisasi, yang mencakup
dewan komisaris, manajemen dan personil lain. Dengan adanya pengendalian internal
diharapkan mampu memberikan keyakinan memadai, bukan keyakinan mutlak bagi para
manajemen dan dewan komisaris entitas. Keterbatasan yang melekat di dalam semua
sistem pengendalian internal dan mempertimbangkan manfaat serta pengorbanan dalam
pencapaian tujuan pengendalian yang menyebabkan pengendalian internal tidak dapat
memberikan keyakinan mutlak. Sistem pengendalian internal ini meliputi struktur
organisasi, metode, serta ukuran yang diorganisasikan untuk menjaga kekayaan suatu
perusahaan, mengecek ketelitian dan kehandalan data informasi.
Pengendalian internal dalam suatu sistem informasi harus dikembangkan untuk
memastikan entri data, teknik pemrosesan, metode penyimpaan, serta output informasi
yang tepat. Sehingga pengendalian internal ini didesain dan digunakan untuk memonitor
serta memelihara kualitas keamanan input, pemrosesan, output, dan aktifitas penyimpanan
pada sistem informasi dimana pun. Seperti halnya pada pengendalian sistem informasi
dibutuhkan untuk memberikan kepastian dalam entri data yang tepat ke dalam sistem
bisnis suau perusahaan hingga dapat menghindari sindrom sampah masuk dan sampah
keluar (Hill, 2008:613).
Pengendalian pada sistem informasi ini baik secara manual maupun otomatis terdiri
atas kendali umum dan aplikasi. Kendali umum memiliki pengaruh atas desain, keamanan
dan penggunaan program komputer serta keamanan arsi dan secara umum dari semua
infrastruktur teknologi informasi di suatu perusahaan. Secara keseluruhan, kendali umum
ini dimanfaatkan pada semua aplikasi yang terkomputerisasi dan memuat kombinasi
perangkat lunak, perangkat keras dan prosedur manual yang menciptakan lingkungan
kontrol secara menyeluruh.
Kendali umum meliputi pengendalian perangkat lunak, pengendalian fisik
perangkat keras dan pengendalian operasional komputer, pengendalian keamanan data,
pengendalian pada proses implementasi sistem dan pengendalian administratif.
Sedangkan pada kendali aplikasi diartikan sebagai pengendalian khusus dan
spesifik pada setiap aplikasi yang terkomputerisasi, seperti proses pembayaran dan
pemesanan. Kendali aplikasi mencakup baik prosedur manual maupun prosedur otomatis
yang memastikan hanya data sah yang utuh dan akurat yang dapat diproses menggunakan
aplikasi tersebut. Kendali aplikasi ini dapat dikelompokkan menjadi kendali input, kendali
pemrosesan dan kendali output.
Kendali input memeriksa keakuratan dan kelengkapan data yang akan dimasukkan
ke dalam sistem. Terdapat beberapa kendali input yang spesifik bagi autentis input,
konversi data, penyuntingan data dan penganan kesalahan. Pada kendali pemrosesan
meliputi penetapan data yang utuh dan akurat selama pemutakhiran yang dilakukan.
Sedangkan pada kendali output memastikan bahwa hasil dari pemrosesan komputer akurat,
utuh dan dapat didistribusikan dengan benar.
11.3. Ancaman Keamanan dan Pengendalian Informasi
Ancaman Keamanan Informasi (Information Security Threat) merupakan individu,
organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber
sumber informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta
yaitu berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan
dan bersifat disengaja dan tidak disengaja.
11.3.1. Ancaman Internal
Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga
pekerja temporer (sementara), konsultan, kontraktor, bahkan mitra bisnis perusahaan
tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih
serius jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan anccaman
internal yang lebih mendalam akan sistem tersebut.
Kita cenderung berpikir ancaman keamanan untuk bisnis berasal dari luar
organisasi. Namun pada kenyataannya pihak internal perusahaan menimbulkan masalah
keamanan serius. Para karyawan memiliki akses menuju informasi rahasia, dan dengan
lemahnya prosedur keamanan internal dapat memberikan ancaman serius terhadap sistem
informasi perusahaan karena mereka biasanya dapat menjelajah keseluruhan sistem
organisas tanpa meninggalkan jejak.
Penelitian-penelitian menyebutkan bahwa pengguna yang tidak memiliki
pengetahuan yang memadai adalah penyebab terbesar adanya pelanggaran keamanan
jaringan. Banyak karyawan lupa password mereka untuk mengakses sistem komputer atau
mengizinkan rekan kerja untuk menggunakan user pribadi milik mereka dan mengabaikan
keamanan sistem informasi. Selain penggna, para ahli sistem informasi atau ahli teknologi
informasi pada perusahaan juga dapat menjadi ancaman internal terhadap sistem informasi
itu sendiri. Para ahli informasi dan teknnologi informasi dapat menciptakan kesalahan
perangkat lunak ketika mereka mendesain dan mengembangkan perangkat lunak atau
program yang baru atau dapat juga melakukan kesalahan saat pemeliharaan program yang
sudah ada.
Kontrol untuk menghadapi ancaman internal dibuat untuk memprediksi gangguan
keamanan yang mungkin terjadi.Selain itu Tidak semua ancaman berasal dari perbuatan
yang disengaja , banyak diantaranya karena ketidaksengajaan atau kebetulan, baik yang
berasal dari orang di dalam maupun luar perusahaan.
Bukti otorisasi (tanda tangan, dll) yang harus ditelaah oleh control group.
Apabila tidak ada persetujuan sebelum pemrosesan, maka penelaahan
terhadap keluaran harus dilakukan oleh seseorang yang tidak terlibat dalam
pembuatan dokumen awal.
Dalam sistem online, otorisasi ditunjukkan dengan password dan
authorization table. Keduanya memastikan bahwa data tertentu hanya
dapat diakses oleh personil-personil yang saha. Password dapat dibuat satu
kali dari awal hingga selesai atau untuk setiap selesainya suatu proses yang
bersangkutan harus memasukkan kata sandi lagi untuk dapat melaksanakan
proses berikutnya. Sementara authorization table menunjukkan siapa saja
yang memiliki otorisasi untuk mengakses sistem PDE, baik pengolahannya
maupun datanya.
Transaksi-transaksi yang telah dikelompokkan (batch) disetujui sebelum
diproses.
Transaksi pemeliharaan data disetujui oleh penyelia di tempat asal mula
transaksi tersebut dibuat.
Batasan-batasan mengenai persetujuan terhadap transaksi tertentu.
b.
c.
Penelaahan oleh Control Group, Transaksi yang diproses dalam bentuk batch
atau harus dilaksanakan oleh departemen PDI harus ditelaah dahulu oleh control
group.
d.
Transaction Log, Dari penelaahan atas log dapat diketahui frekuensi kesalahan
dalam terminal serta adanya kejadian-kejadian lainnya yang tidak semestinya.
Semua terminal yang digunakan dicatat dalam tape atau disk.
suatu transaksi masukan memiliki kode yang sama dengan yang ada di dalam
daftar komputer yang bersangkutan.
g. Range test, Pengendalian ini serupa dengan limit check hanya saja untuk
menguji apakah suatu field berisi batasan nilai tertentu, misalnya 100 hingga
500.
h. Sequence check, Pengendalian ini menguji urut-urutan suatu field masukan
tertentu.
i. Check-digit verification, Pengendalian ini dilakukan dnegan menghitung suatu
angka tertentu untuk memastikan bahawa nilai yang sebenarnya tidak diubah.
3. Pengendalian Transmisi Data
Bertujuan untuk mencegah agar data yang akan diproses tersebut tidak hilang, tidak
ditambah, atau tidak diubah. Pengendalian transmisi data termasuk dalam
pengendalian detektif.
Teknik dalam pengendalian transmisi data :
a. Batches logging and tracking, Teknik pencatatan dan pentrasiran batch ini
mencakup penghitungan batch control totals, penggunaan nomor urut batch,
nomor lembar transmisi serta pencatatan arus transaksi dan/atau batch.
b. Program-program aplikasi,Pengendalian ini digunakan untuk melakukan
verifikasi terhadap batch control totals dan run-to-run control total. Total runto-run adalah control totals dari penyelesaian suatu pengolahan (pemrosesan)
yang akan digunakan sebagai total pengendalian untuk pemrosesan berikutnya.
Contoh, apabila tidak ada pengeluaran maka saldo awal persediaan ditambah
dengan pembelian harus sama dengan saldo akhirnya.
c. Teknik-teknik verifikasi dalam transmisi on-line,
Konversi data adalah proses mengubah data dari sumber asalnya ke dalam bentuk
yang dapat dibaca oleh mesin (machine readable form), misalnya dalam bentuk
punched cards, pita magnetis, disk, ataupun bentuk-bentuk lainnya.
Teknik pengendalian konversi data adalah sebagai berikut:
a. Visual verification, terminal komputer dapat pula dilengkapi dengan fasilitas
umpan balik yang secara otomatis akan menunjukkan suatu tanda yang dapat
digunakan sebagai pengujian visual oleh pemakainya.
b. Check digit, berfungsi untuk memeriksa atau menguji validitas angka. Apabila
angka tersebut tidak sesuai dnegan angka asalnya, maka nomor angka akun yang
diproses tersebut akan dimunculkan sebagai hal yang salah. Contoh : ISBN
dan nomor akun ATM nasabah.
c. Batch control total, bukti-bukti asal dikelompok-kelompokkan di departemen
pemakan dan control group mencatat batch dan batch control pada batch input
control sheet. Setelah diproses control group membandingkan total batch
keluaran dengan total batch semula, menyelidiki, dan menyelesaikan perbedaanperbedaan yang timbul. Keluaran yang diterima oleh departemen pemakai dari
control group kemudian dibandingkan dengan total batch masukan.
d. Hash totals, hash totals dibuat dalam field yang bukan kuantitas seperti
misalnya jumlah dari nomor akun pelanggan atau jumlah nomor identifikasi
pegawai. Bagi manusia penjumlahan ini tidak ada artinya, tetapi tidak demikian
dengan komputer. Apabila penjumlahan tersebut tidak sesuai dengan jumlah
yang seharusnya, maka akan diketahui pemasukan nomor data yang salah.
5. Pengendalian Penanganan Kesalahan
Transaksi-transaksi yang salah juga harus dikendalikan sehingga transaksi-transaksi
semacam itu tidak diproses. Seluruh koreksi atas kesalahan yang terjadi yang
dimasukkan ke dalam sistem harus mengikuti urut-urutan yang sama dengan prosedurprosedur sebelum adanya kesalahan, yaitu otorisasi, verifikasi, dan sebagainya.
Pengendalian penanganan kesalahan mencakup :
a. Identifikasi atas sebab-sebab penolakan serta penelaahan terhadap sebab-sebab
penolakan tersebut,
b. Penelaahan dan persetujuan perbaikannya,
c. Pemrosesan kembali (re-entry) sesegera mungkin ke dalam sistem.
Yang termasuk dalam pengendalian ini antara lain :
ndalian d
Gambar 11.3 Jenis-jenis Pengendalian Input
11.3.1.2. Ancaman dan Pengendalian pada Proses
Ancaman pada proses sistem informasi memiliki pengaruh yang besar
terhadapkeamanan sistem informasi. Apalagi kesalahan proses baik yang dilakukan secara
sengaja maupun tidak sengaja dapat mempenbgaruhi output yang dihasilkan dan
menyebabkan sistem informasi menjadi tidak valid. Processing controls dilaksanakan
setelah data memasuki sistem dan program-program aplikasi mengolah data tersebut.
Pengendalian atas proses dimaksudkan untuk memperoleh jaminan yang memadai bahwa
:
1. Informasi atau data diolah sebagaimana mestinya oleh komputer,
2. Informasi atau data tidak hilang, ditambah, digandakan, atau diubah tidak
semestinya,
3. Informasi atau data yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan
kembali secara tepat waktu.
Sedangkan pengendalian pada proses untuk sistem yang on-line dimaksudkan
untuk memperoleh jaminan yang memadai bahwa :
1. Hasil perhitungan telah diprogram dengan benar,
2. Logika yang digunakan dalam proses pengolahan adalah benar,
3. File dan record yang digunakan dalam proses pengolahan adalah benar,
4. Operator telah memasukkan data ke komputer console yang semestinya,
5. Tabel yang digunakan selama proses pengolahan adalah benar,
6. Selama proses pengolahan telah digunakan standar operasi (default) yang
semestinya,
7. Data yang tidak sah tidak digunakan dalam proses pengolahan,
8. Proses pengolahan tidak menggunakan program dengan versi yang salah,
9. Hasil penghitungan yang dilakukan secara otomatis oleh program adalah sesuai
dengan kebijakan manajemen satuan usaha,
10. Data masukan yang diolah adalah data yang berotorisasi.
Dengan adanya pengendalian proses, maka pemrosesan data di dalam sistem akan
lengkap, akurat, dan tidak mengandung kesalahan-kesalahan seperti :
1. Informasi atau data gagal diproses , baik tidak seluruhnya diproses maupun
memproses tidak sebagaimana mestinya,
2. Informasi atau data yang diproses salah atau yang bukan seharusnya diproses,
3. Informasi atau data yang diproses tidak logis atau tidak wajar,
4. Informasi atau data yang diproses hilang atau terdistorsi.
Teknik pengendalian pada proses
1. Mempertahankan Keakuratan Data
a. Batch control totals,Teknik ini dimaksudkan untuk mendeteksi adanya data
yang hialang atau data yang tidak terproses. Jenis pengendalian ini meliputi
batch totals, hash totals, dan record count.Record count menghitung jumlah
transaksi yang diproses. Hasilnya digunakan untuk membandingkan dengan
jumlah transaksi yang sebenarnya. Misal, seorang pembeli dapat
membandingkan antara jumlah barang yang dibelinya dnegan angka yang
tercantum dalam tanda terima dari kas register tersebut.
b. Run-to-run control totals, Seperti halnya dalam pengendalian transmisi
data, teknik pengendalian ini digunakan untuk mencocokan jumlah
transaksi yang diproses dengan jumlah masukan atau keluaran transaksi.
c. Transaction log, Sebagaimana disebutkan sebelumnya, transaction log
mencatat semua informasu transaksi seperti fungsi, operator, waktu,
identifikasi terminal, dan nomor pengendalian transaksi. Transaction log
ini dapat pula berfungsi sebagai audit trail karena ia mencatat segala
aktivitas yang terjadi dengan komputer tersebut.
tidak akan terlalu mudah untuk mengetahui bahwa suatu gal berisi pita video
tertentu.
2. Penggunaan label internal, Selain label eksternal, data juga diberi label internal
yang hanya dapat dibaca dengan bantuan komputer. Untuk itu diperlukan
adanya program aplikasi untuk menguji header dan trailer labe internal.
3. Teknik lock-out, Dalam sistem on-line sering digunakan teknik ini yang
bertujuan untuk mencegah agar tidak terjadi pemutakhiran data secara simultan
oleh beberapa pemakai secara sekaligus. Artinya, apabila seseorang tengah
memutakhirkan data maka meskipun data yang digunakan adalah on-line akan
tetapi pemakai lainnya tidak dapat memutakhirkan data yang sama.
4. Teknik rekonsiliasi, Teknik ini mengaitkan dau menghubungkan jumlah record
sebelum perubahan, setalah perubahan, dan jumlah perubahan itu sendiri.
Laporan yang isi dari data induk sebelum dilakukan pengubahan (before image)
dan sesudah dilakukan pengubahan (after image) perlu dibuat dan harus ditelaah
oleh supervisor.
2. Akses terhadap output dibatasi hanya bagi karyawan yang telah mendapat
otorisasi,
3. Output disediakan secara tepat waktu bagi karyawan yang telah mendapat
otorisasi semestinya.
Sementara itu, output controls pada sistem on-line dimaksudkan untuk
memberikan keyakinan bahwa :
1. Keluaran yang diterima oleh satuan usaha adalah tepat dan lengkap,
2. Keluaran yang diterima oleh satuan usaha diklasifikasikan dengan benar,
3. Keluaran didistribusikan kepada pegawai yang mempunya otorisasi.
Teknik pengendalian pada ouitput
1. Rekonsiliasi keluaran dengan masukan dan pengolahan, akan diperoleh jaminan
bahwa masukan telah diproses dengan benar sehingga hasilnya juga benar.
Rekonsiliasi harus dilakukan oleh control group dan departemen pemakan
dengan menggunakan laporan rekonsiliasi yang telah terprogram ataupun secara
manual dengan car amembandingkan jumlah di dalam keluaran dengan jumlah
pengendalian masukan (input control totals). Disamping itu, transaction log
secara reguler juga harus dibandingkan dengan catatan transaksi pada setiap alat
keluaran.
2. Penelaahan dan pengujian hasil-hasil pemrosesan, dapat berupa:
Penelaahan, penyelidikan, dan pengendalian terhadap laporan-laporan
tentang ketidakberesan yang terjadi (exception reports) yang biasanya
dilakukan oleh control group,
Pembandingan keluaran dengan dokumen asalnya,
Penelaahan secara hati-hati terhadap daftar revisi data induk yang biasanya
mencakup pencarian terhadap pos-pos yang tidak biasa atau tidak normal.
3. Pendistribusian output, antara lain
Output hanya didistribusikan kepada para pemakai yang memperoleh
otorisasi,
Pendistribusian tersebut harus dilakukan secara tepat waktu,
Hanya output yang diperlukan saja yang didistribusikan.
Selain itu, cover yang menunjukkan keluaran tersebut (distribution register atau
report distributn logs) sebaiknya menyebutkan identifikasi pemakainya guna
menghindari pemakaian laporan oleh pihak-pihak yang tidak mempunyai
otorisasi. Tanggal penerimaan dan nama penerima hendaknya dicatat secara
reguler setiap keluaran didistribusikan.
4. Record Retention,antara lain:
Menjaga jangka waktu pencatatan tertentu untuk menjaga keamanan
keluaran,
Menghindari rekonstruksi yang tidak perlu terhadap data,
Mengurangi biaya perlengkapan (supplies) dan bahan bagi departemen
EDP,
1. Virus
Virus adalah program komputer yang dapat mereplikasi dirinya tanpa dapat diamati
oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector
lain. Virus berupa penggalan kode dan menempelkan ke berkas program yang dapat
dieksekusi. Selanjutnya salinan virus ini akan menjadi aktif manakala program yang
terinfeksi dijalankan. Beberapa virus hanya sekedar nampang, namun sejumlah virus bisa
menjadi sangat berbahaya karena akan menghapus berkas-berkas dengan ekstensi tertentu
dan bahkan dapat memformat harddisk, menghancurkan program atau data, menyumbat
memori komputer, atau membuat program bekerja tidak sebagimana mestinya. Virus
biasanya menyebar saat pemakai menggandakan arsip atau file yang telah terinfeksi.
Virus komputer biasanya memasuki sistem e-mail dan lampiran file lewat internet
serta layanan online atau melalui proses duplikasi software yang ilegal. Berbagai software
yang di download langsung dari internet dapat merupakan sumber virus. Virus akan
menduplikasi dirinya sendiri ke dalam berbagai file dari sistem operasi komputer,
kemudian akan menyebar ke memori utama dan menduplikasi ke dalam hard disk. Virus
juga menyebar melalui e-mail, transfer file atau aktivitas telekomunikasi lainnya. Untuk
menghindari virus, sebaiknya pemakai harus cermat dalam penggunaan software ilegal dan
juga harus teratur menggunakan program antivirus yang dapat membantu diagnosis serta
menyingkirkan virus komputer dari berbagai file yang terinfeksi.
Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga
kontrol berupa preventif, detektif dan korektif sebagaimana berikut:
a. Preventif
Menggunakan salinan perangkat lunak atau berkas yang berisi makro yang
benar benar bersih (sumber data yang terpercaya)
Menghindari pemakaian perangkat lunak freeware atau shareware dari
sumber yang tidak terpercaya.
Menghindari pengambilan berkas yang mengandung makro dari sumber
yang tidak jelas (non official)
Memeriksa program baru atau berkas berkas baru yang mengandung makro
dengan antiviru yang belum di aktifkan
Menyadarkan pada setiap pemakai untuk waspada terhadap virus
Secara berkala meng-update anti virus yang digunakan agar
memaksimalkan kinerja antivirus tersebut dan menghindarkan dari serangan
virus-virus jenis baru.
b. Detektif
Secara rutin menjalankan program antivirus untuk mendeteksi infeksi virus
Melakukan pembandingan ukuran ukuran berkas untuk mendeteksi
perubahan ukuran pada berkas
Melakukan pembandingan tanggal berkas untuk mendeteksi perubahan
tanggal pada berkas
c. Korektif
Memastikan backup data yang bersih
Memiliki rencana terdokumentasi tentang pemulihan dari infeksi virus
seperti mungkin menargetkan perangkat lunak yang berjalan grid listrik listrik, sistem
kontrol lalu lintas udara, atau jaringan dari bank-bank besar dan lembaga keuangan
kerentanan internet telah mengubah individu dan bahkan keseluruhan negara menjadi
target mudah bagi pembajakan yang didasari oleh motif politik untuk melakukan
sabotase dan spionase. Cyberwarfare adalah kegiatan yang disponsori negara yang
dirancan untuk melumpuhkan dan mengalahkan negara bagian atau negara lain
dengan melakukanpenetrasi pada komputer atau jaringan yang bertujuan untuk
menyebabkan kerusakan dan gangguan. Cyberwarfare memiliki ancaman serius
terhadap infrastruktur masyarakat modern, apalagi ketika sebagian besar kegiatan
keuangan, kesehatan, pemerintahan dan institusi terkait industri bergantung pada
internet untuk operasional sehari-hari.
5. Click Fraud (Klik Penipuan)
Klik penipuan terjadi ketika program individu atau komputer curang mengklik iklan
online tanpa niat belajar lebih banyak tentang pengiklan atau melakukan pembelian.
Klik penipuan telah menjadi masalah serius di Google dan situs lainnya yang
menampilkan bayar per-klik iklan online.
6. Back Door
Suatu serangan (biasanya bersumber dari suatu software yang baru di instal) yang
dengan sengaja membuka suatu pintu belakang bagi pengunjung tertentu, tanpa
disadari oleh orang yang meng-instal software, sehingga mereka dengan mudah masuk
kedalam sistem jaringan.
7. Man in the Middle
Seorang penyerang yang menempatkan dirinya diantara dua orang yang sedang
berkomunikasi melalui jaringan, sehingga semua informasi dari sua arah melewati,
disadap, dan bila perlu diubah oleh penyerang tersebut tanpa diketahui oleh orang
yang sedang berkomunikasi.
8. Replay
Informasi yang sedang didistribusikan dalam jaringan dicegat oleh penyerang, setelah
disadap ataupun diubah maka informasi ini disalurkan kembali ke dalam jaringan,
seakan-akan masih berasal dari sumber asli.
9. Session Hijacking
Sessi TCP yang sedang berlangsung antara dua mesin dalam jaringan diambil alih
oleh hacker, untuk dirusak atau diubah.
10. DNS Poisoning
Hacker merubah atau merusak isi DNS sehingga semua akses yang memakai DNS
ini akan disalurkan ke alamat yang salah atau alamat yang dituju tidak bisa diakses.
11. Brute Force
Suatu usaha untuk memecahkan kode password melalui software yang menggunakan
berbagai teknik kombinasi.
12. Software Exploitation
Suatu usaha penyerangan yang memanfaatkan kelemahan atau bug dari suatu
software, biasanya setelah kebobolan barulah pembuat software menyediakan hot
fix atau Service pack untuk mengatasi bug tersebut.
13. War Dialing
Firewall ini berlokasi antara router dan computer yang menajlankan aplikasi tersebut.
Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah
permintaan diautentifikasi sebagai permintaan yang berasal dari jaringan yang
diotorisasi (tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan paket),
aplikasi tersebut dapat memnita informasi autentifikasi yang lebih jauh seperti
menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan memeriksa
apakah permintaan tersebut berlangsung selama jam-jam kerja biasa. Meskipun
merupakan jenis firewall yang paling efektif, firewall ini cenderung untuk mengurangi
akses ke sumber daya. Masalah lain adalah seorang programmer jaringan harus
penulis kode program yang spesifik untuk masing-masing aplikasi dan mengubah
kode tersebut ketika aplikasi ditambahkan, dihapus, dimodifikasi.
11.3.2.2.1. Systrust dan Webtrust
SysTrust dan WebTrust merupakan bagian dari Trust Service, dimana trust service
berfungsi untuk memberikan assurance services, advisory services atau keduanya bagi
sistem teknologi informasi dan e-commerce. Hanya akuntan public yang bersertifikasi
(CPAs) dan mendapatkan lisensi dari AICPA yang dapat memberikan assurance services
atas Trust Services, yang berupa opini Trust Services, WebTrust atau SysTrust dan laporan
WebTrust atau SysTrust.
WebTrust Menjawab Pernyataan akuntan terhadap kepedulian yang berkaitan dengan
perdagangan elektronik. WebTrust didasarkan pada Prinsip pelayanan Kepercayaan dan
standar-standar, yang mana merupkan pedoman professional dan Penyedian sebagai
latihan-latihan terbaik untuk perdagangan elektronik.
Prinsip-prinsip dan kriterian yang digunakan oleh CPAs untuk membuat range atau
batasan dalam pemberian assurance services adalah :
1. Security,Apakah sistem yang digunakan perusahaan aman dan memiliki
perlindungan dari akses yang tidak legal.
2. Privacy,Apakah informasi yang diberikan customer ditangani dan dijamin
kerahasiaannya, walaupun transaksi telah selesai.
3. Availability,Apakah system dapat digunakan dengan baik seperti yang
seharusnya.
4. Confidentiality,Apakah informasi yang diberikan kepada customer benar-benar
dapat dipertanggungjawabkan atau benar adanya.
5. Processing Integrity,Apakah transaksi yang dilaksanakan oleh perusahaan
benar-benar dilakukan secara komplit, akurat, tepat waktu dan terjamin.
Prinsip-prinsip dan kriteria pada SysTrust :
1. Security,Apakah system yang digunakan aman dan memiliki perlindungan dari
akses-akses yang tidak dikehendaki.
2. Availability,Apakah system yang tersedia untuk operasi dan digunakan pada
waktu yang ditentukan dalam pernyataan atau perjanjian tingkat jasa
3. Processing Integrity,Apakah transaksi yang dilakukan perusahaan dilaksanakan
dengan baik dan terjamin dari segi waktu, akurat, dan kelengkapannya.
4. Confidentiality, Apakah informasi yang didapat oleh customer benar adanya dan
dapat dipertanggungjawabkan, serta system yang ada dapat diinovasi apabila
diperlukan dan terus memberikan keamanan dan integritas system.
Walaupun WebTrust dan SysTrus sama-sama bagian dari Trust Services yang
memiliki fungsi untuk memberikan jaminan atas e-commerce dan system teknologi
informasi, tapi memiliki perbedaan.
Perbedaan yang mendasar adalah objek pemberian assurance servicesnya. Pada
webtrust, objeknya adalah resiko pada e-commerce. Webtrust dikembangkan untuk
mengatasi masalah keraguan yang mungkin timbul akibat resiko-resiko yang menyertai
usaha dibidang e-commerce. Sedangkan systrust memiliki objek assurance services pada
reliabilitas system. Apakah system yang digunakan suatu perusahaan layak atau tidak
dalam bisnis yang dilakukannya.
Objek yang berbeda ini menimbulkan beberapa perbedaan, salah satunya adalah
klien berbeda. Pada webtrust klien yang ditangani hanya perusahaan e-commerce,
sedangkan systrust menangani klien e-commerce dan non e-commerce. Serta stempel
penjamin webtrust harus ditampilkan pada web-site perusahaan untuk jaminan atas
keseluruhan kelayakan usahanya, sedangkan stempel systrust pada suatu web-site hanya
memberi jaminan atas kelayakan system yang digunakan oleh perusahaan tersebut.
11.3.2.2.3. Pengendalian Kriptografis
Kriptografi adalah suatu ilmu yang mempelajari teknik-teknik matematika yang
berhubungan dengan aspek keamanan informasi seperti kerahasiaan data, keabsahan data,
integritas data, serta autentikasi data. Ketika suatu pesan dikirim dari suatu tempat ke
tempat lain, isi pesan tersebut mungkin dapat disadap oleh pihak lain yang tidak berhak.
Agar pesan tidak terbaca, maka pesan tersebut dapat diubah menjadi suatu kode yang tidak
dapat dimengerti oleh pihak lain
algoritma tertentu, dapat diartikan Enkripsi adalah sebuah proses penyandian yang
melakukan perubahan sebuah kode (pesan) dari yang bisa dimengerti (plainteks) menjadi
sebuah kode yang tidak bisa dimengerti (cipherteks). Sedangkan proses kebalikannya
untuk mengubah cipherteks menjadi plainteks disebut dekripsi dengan kata lain deskripsi
mengubah kembali bentuk yang disamarkan menjadi informasi awal.
Ada empat tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek
keamanan informasi yaitu :
1. Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi
dari siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk
membuka/mengupas informasi yang telah disandi.
2. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data
secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki
kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak
berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain
kedalam data yang sebenarnya.
3. Autentikasi, adalah berhubungan dengan identifikasi/pengenalan, baik secara
kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling
berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan
melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan
lain-lain.
4. Non-repudiasi., atau nirpenyangkalan adalah usaha untuk mencegah terjadinya
penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang
mengirimkan/membuat.
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang
menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi
dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika seseorang yang tidak
memiliki otorisasi memperoleh akses enkripsi tersebut akan membuat data dan informasi
yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.
Dengan pertumbuhan Internet dan perdagangan elektronik yang sangat pesat,
enkripsi data (kriptografi) telah menjadi pengendali yang sangat penting. Kriptografi
adalah ilmu kode rahasia dan digunakan untuk memastikan bahwa transmisi data dan
transaksi perdagangan elektronik membatasi akses data atau penggunaan untuk
personil yang mcmiliki otorisasi, melindungi data dari pihak yang tidak memiliki
otorisasi, dan menentukan, dengan kepastian yang hampir absolut siapa yang
mengirim pesan.
Penyimpanan dan transmisi data dapat dilindungi dari pemakaian secara ilegal
melalui kriptografi. Kriptografi juga dapat diartikan sebagai penyusunan dan penggunaan
kode dengan proses-proses matematika, sehingga pemakai ilegal hanya akan mendapatkan
data berbentuk kode yang tidak dapat dibaca.
Teknik kriptografi atau lebih sederhananya dikenal sebagai proses penyandian ini
dilakukan dengan menggunakan sejumlah algoritma matematik yang dapat memiliki
kemampuan serta kekuatan untukmelakukan:
1. konfusi atau pembingungan, merekonstruksi teks yang terang atau mudah
dibaca menjadi suatu format yang membingungkan, dan tidak dapat
dikembalikan ke bentuk aslinya tanpa menggunakan algoritma pembalik
tertentu;
2. difusi atau peleburan, melakukan mekanisme tertentu untuk menghilangkan
satu atau sejumlah karakteristik dari sebuah teks yang terang atau mudah
dibaca.
Sejumlah studi memperlihatkan bahwa di dunia nyata kehandalan sebuah
algoritma bukan terletak pada kerahasiaan algoritma itu sendiri namun berada pada
kuncinya. Secara prinsip algoritma yang dimaksud hanya melakukan dua proses
transformasi yaitu:enkripsi dan dekripsi Adapun kunci yang dimaksud biasa dikenal
sebagai istilah sederhana password, yang dalam implementasinya dapat berupa
serangkaian campuran antara huruf, angka, dan simbol hingga yang berbentuk biometrik
seperti sidik jari, retina mata, karakter suara, suhu tubuh, dan berbagai kombinasi lainnya.
Kriptografi meningkat popularitasnya sejalan dengan perkembangan penggunaan
e-commerce, dan protokol khusus yang ditujukan untuk aplikasi kriptografi telah
dikembangkan. Salah satunya adalah SET (Secure Electronic Transactions/Pengaman
Transaksi Elektronik) yang melakukan pemeriksaan keamanan menggunakan tanda tangan
digital. Penggunaan tanda tangan rangkap ini lebih efektif dibandingkan dengan
penggunaan nomor seri seperti yang terdapat pada kartu kredit. Dengan meningkatnya
popularitas e-commerce dan pengembangan teknologi enkripsi yang berkesinambungan,
penggunaan enkripsi diperkirakan akan meningkat walaupun ada pembatasan-pembatasan
yang dilakukan pemerintah. Perhatian yang cukup besar akhir-akhir ini ditujukan pada
enkripsi yang dilakukan pemerintah, yang mengkhawatirkan pengodean tersebut
digunakan untuk menutupi aktivitas kriminal atau terorisme. Beberapa pembatasan telah
dikenakan dengan penggunaak enkripsi. Saat ini, tidak terdapat pembatasan untuk impor
software dari negara-negara asing namun terdapat pembatasan pada ekspornya. Dengan
meningkatnya popularitas e-commerce dan perrkembangan teknologi enkripsi yang
berkelanjutan, penggunaanya diharapkan untuk meningkat di dalam batasan peraturan
pemerintah.
KESIMPULAN
Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga
seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari
ancaman baik dari dalam atau dari luar. Istilah keamanan sistem informasi digunakan
untuk mengambarkan perlindungan baik peralatan komputer dan nonkomputer, fasilitas,
data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Aktivitas
untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan
informasi (information security management ISM ), sedangkan aktivitas untuk menjaga
agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana
disebut manajemen keberlangsungan bisnis (bussiness continuity management BCM).
Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini
dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko
yang dihadapinya.
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang,
organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal
serta eksternal dan bersifat disengaja dan tidak disengaja.
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai
potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman
keamanan informasi. E-Commerce memperkenalkan suatu permasalahan keamanan baru.
Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan
dari pemalsuan kartu kredit. Pengendalian (control) adalah mekanisme yang diterapkan
baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko
tersebut pada perusahaan jika resiko tersebut terjadi. Pengendalian terhadap ancaman
internal dibagi menjadi tiga yaitu pengendalian pada input, pengendalian pada proses dan
pengendalian pada output. Sedangkan untuk ancaman eksternal berupa gangguan
perangkat lunak yang bisa disebabkan oleh virus, worm , trojan dan lainnya serta ancaman
yang di sebakan oleh pencusrian data (hacker) dapat dilakukan pengendalian dengan
pemamfaatan firewall, systrust dan webtrust serta pengendalian kriptografis. Pengendalian
ini dapat memperkecil risiko keamanan informasi.
DAFTAR PUSTAKA
Efraim Turban, Linda Volonino, 2010, Information Technology for Management, 7th
Edition, John Wiley & Son Inc., United States
Raymond Mcleod Jr, George P. Schell, 2008, Sistem Informasi Manajemen, Edisi
Kesepuluh, Salemba Empat, Jakarta.
Kadir, Abdul, 2013, Pengenalan Sistem Informasi, Edisi Revisi, CV. Andi, Yogyakarta.
Hill, Mc Graw, 2008, Pengantar Sistem Informasi, Perspektif Bisnis dan Manajerial, Edisi
Dua Belas, Salemba Empat, Jakarta.
Ferdinand Aruan, Tugas Keamanan Jaringan Informasi (Dosen. Dr. Budi Rahardjo)
Tinjauan Terhadap ISO 17799 - Program Magister Teknik Elektro Bidang Khusus
Teknologi Informasi Institut Teknologi Bandung 2003.
Sany
Asyari,
Keamanan
Jaringan
Berdasarkan
ISO
17799,
http://sanyasyari.com/2006/09/26/keamanan-jaringan-berdasarkan-iso-17799/ 26
September 2006.
https://kampuskeuangan.wordpress.com/2011/07/19/pengendalian-aplikasi-dalam-auditpde/
http://faithgun.blogspot.co.id/2011/06/jenis-jenis-ancaman-terhadap-sitem.html