MAKALAH TEKNOLOGI INFORMASI UNTUK

MANAJEMEN DAN AKUNTANSI

(Dalam rangka Ujian tengah semester)
Dosen: DR. Emrinaldi Nur DP, SE, M.Si, Ak, CA

Keamanan Sistem Informasi

Disusun oleh :
Cindy Mayangsari (1510248113)
Sri Wahyuni Zanra (1510248102)

PROGRAM STUDI MAGISTER AKUNTANSI

FAKULTAS EKONOMI
UNIVERSITAS RIAU
2016
1

KATA PENGANTAR
Puji syukur kami panjatkan kepada kehadirat Tuhan Yang Maha Esa, karena atas
berkat dan rahmatnyalah kami dapat menyelesaikan tugas ini dengan baik dan benar. Tugas
ini disusun untuk tugas Ujian Tengah Semester (UTS) yang bertemakan tentang keamanan
dari sistem informasi. Adapun yang menjadi referensi sebagai acuan dalam penyusunan
tugas ini yaitu kami ambil dari berbagai sumber buku-buku serta referensi jurnal lainnya
yang berhubungan dengan masalah keamanan dalam sistem informasi.
Kami menyadari bahwa tugas ini masih jauh dari kata sempurna dan masih banyak
kekurangan. Oleh karena itu, kami membuka diri untuk dapat menerima kritik dan saran
yang membangun tentunya dalam rangka penyempurnaan pada pembuatan tugas ini
dikemudian hari. Semoga tugas ini dapat bermanfaat bagi pembaca sekalian. Akhir kata
kami ucapkan terimakasih.

Pekanbaru, 25 Oktober 2016

Tim Penyusun

DAFTAR ISI
KATA PENGANTAR .................................................................................................. i
DAFTAR ISI ................................................................................................................ ii
PENDAHULUAN ....................................................................................................... 1
BAB 11 KEAMANAN SISTEM INFORMASI........................................................ 2
11.1. Konsep Keamanan Sistem Informasi.................................................................... 2
11.1.1. Pengertian Keamanan Sistem Informasi................................................. 3
11.1.2. Tujuan Keamanan Sistem Informasi....................................................... 4
11.1.3. Aspek Keamanan Sistem Informasi........................................................ 5
11.2. Manajemen Keamanan Informasi......................................................................... 6
11.2.1. Manajemen Resiko.................................................................................. 8
11.2.2. Kebijakan Keamanan Informasi.............................................................. 11
11.2.3. Pengendalian .......................................................................................... 14
11.3. Ancaman Keamanan dan Pengendalian Informasi............................................... 15
11.3.1. Ancaman Internal.................................................................................... 15
11.3.1.1. Ancaman dan Pengendalian Input............................................ 16
11.3.1.2. Ancaman dan Pengendalian Proses.......................................... 21
11.3.1.3. Ancaman dan Pengendalian Output......................................... 24
11.3.2. Ancaman dan Pengendalian Eksternal.................................................... 26
11.3.2.1. Ancaman Eksternal................................................................... 26
11.3.2.1.1. Perangkat Lunak Berbahaya (Virus, Worm, Trojan
Horse)................................................................... 26
11.3.2.1.2. Hackers dan Crackers........................................... 28
11.3.2.2. Pengendalian Ancaman Eksternal............................................ 31
11.3.2.2.1. Firewall................................................................. 31
11.3.2.2.2. Systrust dan Webtrust............................................ 32
11.3.2.2.3. Pengendalian Kriptografis.................................... 34
KESIMPULAN ............................................................................................................ 37
DAFTAR PUSTAKA ................................................................................................... 37

PENDAHULUAN
Keamanan sistem informasi pada saat ini telah banyak dibangun oleh para
kelompok analis dan programmer namun pada akhirnya ditinggalkan oleh para
pemakainya. Hal tersebut terjadi karena sistem yang dibangun lebih berorientasi pada
pembuatnya sehingga berakibat sistem yang dipakai sulit untuk digunakan atau kurang
user friendly bagi pemakai, sistem kurang interaktif dan kurang memberi rasa nyaman bagi
pemakai,sistem sulit dipahami interface dari sistem menu dan tata letak kurang
memperhatikan kebiasaan perilaku pemakai, sistem dirasa memaksa bagi pemakai dalam
mengikuti prosedur yang dibangun sehingga sistem terasa kaku dan kurang dinamis,
keamanan dari sistem informasi yang dibangun tidak terjamin.
Hal-hal yang disebutkan diatas dapat disimpulkan bahwa dalam membangun
sebuah keamanan sistem informasi harus memiliki orientasi yang berbasis perspektif bagi
pemakai bukan menjadi penghalang atau bahkan mempersulit dalam proses transaksi dan
eksplorasi dalam pengambilan keputusan. Terdapat banyak cara untuk mengamankan data
maupun informasi pada sebuah sistem. Pengamanan data dapat dibagi menjadi dua jenis
yaitu : penecegahan dan pengobatan. Pencegahan dilakukan supaya data tidak rusak,
hilang dan dicuri, sementara pengobatan dilakukan apabila data sudah terkena virus, sistem
terkena worm, dan lubang keamanan sudah diexploitasi.
Keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan.
Masalah tersebut penting karena jika sebuah informasi dapat di akses oleh orang yang
tidak berhak atau tidak bertanggung jawab,maka keakuratan informasi tersebut akan
diragukan, bahkan akan menjadi sebuah informasi yang menyesatkan. Untuk itu
diperlukan pengendalian pada sistem informasi untuk mengatasi ancaman yang akan
dihadapi baik itu ancaman yang berasal dari dalam perusahaan (internal) maupun ancaman
lain yang datang dari luarperusahaan (eksternal)

BAB 11
KEAMANAN SISTEM INFORMASI

11.1

Konsep Keamanan Sistem Informasi

Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.
Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat
menjadi sangat esensial bagi sebuah organisasi, seperti perusahaan, perguruan tinggi,
lembaga pemerintahan, maupun individual. Begitu pentingnya nilai sebuah informasi
menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang
tertentu. Informasi yang ada sangat dijaga keamanannya agar tidak dapat diketahui oleh
oranglain yang tidak berkepentingan sehingga dapat meminimalisir kerugian bagi pemilik
informasi. Banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan
diketahui oleh orang-orang tertentu di dalam perusahaan tersebut. Untuk itu keamanan dari
sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Masalah keamanan menjadi aspek utama dari sebuah sistem informasi. Semua
organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi tetap aman.
Jika sebuah informasi dapat di access oleh orang yang tidak berhak atau tidak bertanggung
jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi sebuah
informasi yang menyesatkan. Kalangan industri telah lama menyadari akan pentingnya
menjaga keamanan dari para kriminal komputer,dan sekarang pemerintah telah
mempertinggi tingkat keamanan sebagai salah satu cara untuk memerangi terorisme.
Ketika organisasi-organisasi ini mampu dalam mengimplementasikan pengendalian
keamanan, isu-isu utama mengenai keamanan terhadap ketersediaan yang ada mampu
diatasi.

Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan, serta

integritas pada semua sumber daya informasi. Pada kalangan industi mulai menyadari
kebutuhan untuk mengamankan sumber daya informasi mereka, sehingga sangat terfokus
secara spesifik dan ekslusif terhadap suatu perlindungan baik pada peranti keras dan data
maka keamanan sistem memiliki peran yang sangat penting. Namun hal ini diperluas
sehingga mencakup bukan hanya peranti keras dan data saja, tetapi juga pada peranti
lunak, fasilitas komputer dan personel. Dan kini cakupannya pun cukup meluas hingga
pada semua jenis data dan bukan hanya data di dalam komputer. Hal ini dapat dinamai
dengan istilah keamanan informasi (Raymond dan George, 2008: 270).
Keamanan informasi ini digunakan untuk mendeskripsikan perlindungan baik pada
peralatan komputer maupun non komputer, fasilitas, data, dan informasi dari
penyalahgunaan pada pihak-pihak yang tidak berwenang dan tidak memiliki akses
kepentingan didalamnya. Makna ini meluas sehingga mencakup pada beberapa peralatan
seperti halnya pada mesin faks dan mesin fotokopi serta semua jenis media, termasuk
dokumen kertas didalamnya.
Informasi yang dijaga keamanan sebenarnya memiliki nilai-nilai baik secara
ekonomis dan politis yang semestinya harus dijaga. Dengan adanya keamanan informasi
maka sistem yang ada didalamnya dapat aman dari pihak-pihak yang tidak berpentingan
yang sifatnya memiliki kriminalitas. Untuk itu perlu diketahui sebelumnya makna penting
yang terdapat pada keamanan sistem informasi serta tujuan dan aspek-aspek penting
didalamnya.
11.1.1. Pengertian Keamanan Sistem Informasi
Pertumbuhan keamanan sistem informasi telah disejajarkan dengan perkembangan
komputer itu sendiri. Dengan mengetahui secara rinci tentang masalah atau potensi yang
mungkin terjadi dan implementasi solusi yang disarankan, komputer bisa diharapkan untuk
memenuhi tantangan dalam hal keamanan yang menggangu keamanan sistem dan
melindungi informasi yang ada. Security/keamanan dapat didefinisikan sebagai keadaan
yang bebas dari bahaya dan tidak terkena kerusakan dari serangan atau kecelakaan, atau
dapat didefinisikan sebagai proses untuk mencapai keadaan yang diinginkan.
Menurut G.J.Simons, keamanan sistem informasi ialah cara untuk dapat mencegah
penipuan atau juga dapat mendeteksi adanya penipuan di suatu sistem yang memiliki basis
informasi dimana informasi ini sendiri tidak memiliki makna fisik. Adapun makna lain dari
keamanan sistem informasi yaitu dapat diartikan sebagai prosedur, kebijakan dan
pengukuran teknis yang dimanfaatkan untuk mencegah akses yang tidak sah, pencurian,
perubahan program, maupun kerusakan fisik terhadap sistem informasi.
Tidak hanya itu adapun pendapat dari berbagai sumber telah mendefinisikan
keamanan sistem informasi ini. Menurut Sarno dan Iffano mengartikan keamanan sistem
informasi ini sebagai upaya dalam suatu ancaman yang mungkin timbul dengan
mengamankan aset-aset informasi serta sistem yang ada. Sehingga keamanan sistem
informasi secara tidak langsung mampu menjamin kontinuitas bisnis, meminimalisir
resiko-resiko yang akan terjadi serta memaksimalkan pengembalian suatu investasi.

Semakin banyak informasi suatu perusahaan yang direkap, dikelola dan di sharingkan
semakin besar pula resiko untuk terjadi kerusakan, kehilangan atau pun bisa dapat
diketahui pihak-pihak eksternal yang tidak berkpentingan (Sarno dan Iffano : 2009). Selain
itu menurut ISO/IEC 17799:2005 tentang information security management system
menyatakan bahwa keamanan informasi merupakan suatu upaya perlindungan dari
berbagai jenis ancaman yang dimana untuk memastikan keberlanjutan bisnis,
meminimalisir resiko bisnis serta meningkatkan investasi dan peluang bisnis yang ada.
Sistem keamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan peralatan-peralatn untuk dapat mengamankan perangkat
keras dan lunak komputer, jaringan komunikasi serta data-data. Keamanan informasi
menggambarkan usaha untuk melindungi komputer dan non peralatan komputer, fasilitas,
data,
dan
informasi
dari
penyalahgunaan
oleh
orang
yang
tidak
bertanggungjawab.Keamanan informasi dimaksudkan untuk mencapai kerahasiaan,
ketersediaan, dan integritas di dalam sumber daya informasi dalam suatu
perusahaan.Masalah keamanan informasi merupakan salah satu aspek penting dari sebuah
sistem informasi.
Tidak hanya pada keamnan sistem informasi, aspek lainnya yang perlu dilakukan
perlindungan yaitu pada keamanan jaringan internet. Keamanan jaringan internet ini
merupakan pengelolaan keamanan yang bertujuan mencegah, mengatasi, dan melindungi
berbagai sistem informasi dari resiko terjadinya suatu tindakan secara ilegal misal
penggunaan tanpa izin, penyusupan, dan perusakan terhadap berbagai informasi yang
dimiliki.
Resiko terhadap keamanan pada sistem informasi meliputi dua hal penting
didalamnya yakni suatu ancaman terhadap keamanan sistem informasi dan kelemahan
keamanan suatu sistem informasi. Untuk menjamin hal tersebut maka keamanan sistem
informasi baru dapat memiliki kriteria dengan baik. Adapun kriteria yang perlu
diperhatikan dalam hal keamanan sistem informasi ini memerlukan 10 hal keamanan yang
perlu diperhatikan yaitu sebagai berikut :
1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang digunakan
3. Manajemen praktis yang digunakan
4. Pegembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitek dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Businees Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada
Dari 10 hal di atas timbul isu pada keamanan sistem informasi yang dapat diklasifikasi
berdasarkan ancaman dan kelemahan sistem yang ada.
11.1.2. Tujuan Keamanan Sistem Informasi

Keamanan sistem mengacu pada perlindungan terhadap semua sumberdaya

informasi organisasi dari ancaman oleh pihak-pihak yang tidak berwenang.
Institusi/organisasi menerapkan suatu program keamanan sistem yang efektif dengan
mengidentifikasi berbagai kelemahan dan kemudian menerapkan perlindungan yang
diperlukan. Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu;
kerahasiaan, ketersediaan dan integritas. Berikut ini dijelaskan mengenai tujuan utamanya:
1. Kerahasian
Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan
kepada orang-orang yang tidak berwenang. Sistem informasi eksekutif, sistem
informasi sumber daya manusia, sistem informasi kepagawaian (SDM) dan
sistem pemrosesan transaksi seperti penggajian, piutang dagang, pembelian, dan
utang dagang amat penting dalam hal ini.
2. Ketersediaan
Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan
informasi bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
Tujuan ini penting, khususnya bagi sistem berorientasi informasi seperti informasi
sumber daya manusia, sistem informasi eksekutif dan sistem pakar (ES).
3. Integritas
Semua sistem dan subsistem yang dibangun harus mampu memberikan gambaran
yang lengkap dan akurat dari sistem fisik yang diwakilinya.
11.1.3. Aspek Keamanan Sistem Informasi
Dalam dunia komputerisasi seperti saat ini, keamanan dan keaslian suatu informasi
sudah sangat penting. Cukup banyak cara-cara serta solusi yang diberikan untuk dapat
menjaga agar informasi menjadi aman dan terhindar dari berbagai masalah-masalah yang
bisa mucul seperti halnya dilakukannya penyadapan lalu lintas informasi serta pemalsuan
informasi. Namun cara dan teknik pada pihak-pihak yang tidak bertanggung jawab dalam
menyerang sebuah sistem komputer demi mendapatkan suatu informasi yang semestinya
bukan diperuntukkan padanya juga semakin berkembang. Sehingga masalah keamanan
sistem informasi ini tidak ada habisnya.
Dari sekian banyak cara yang diberikan serta referensi dari berbagai buku-buku
mengenai kemanan sistem informasi ini, sebenarnya terdapat 8 asepek yang jika semua
dapat dipenuhi dan dijalankan dengan maka keamanan pada sistem informasi dapat terjaga
dengan baik pula. Berikut 8 aspek-aspek penting didalamnya, yakni :
1. Aithentication
Aspek ini dimana agar penerima informasi dapat memastikan keaslian pesan
tersebut datang dari orang yang dimintai informasi. Artinya informasi yang
diterima benar dari orang yang dikehendaki.
2. Integrity
Keaslian pesan yang dikirim melalui sebuah jaringan dan dapat dipastikan
dapat dipastikan pesan yang dikirim tidak dapat dimodifikasi oleh orang yang
tidak berhak dalam perjalan pengiriman informasi tersebut.

3. Non Repudiation
Aspek yang merupakan hal yang bersangkutan dengan pengirim informasi.
Pengirim tidak dapat mengelak dialah yang mengirimkan informasi tersebut.
4. Authority
Informasi yang berada pada sistem jaringan yang tidak dapat dimodifikasi oleh
orang yang tidak berhak.
5. Confidentiality
Aspek yang merupakan usaha untuk menjaga informasi dari orang yang tidak
behak mengakses. Aspek ini biasanya behubungan dengan informasi yang
diberikan kepada pihak lain.
6. Privacy
Suatu aspek yang lebih kearah data-data yang memiliki sifat private.
7. Availability
Aspek dimana ketersediaan hubungan dengan ketersediaan informasi ketika
dibutuhkan. Sistem informasi yang diserang atau dijebol dapat menghambat
atau meniadakan akses keinformasi.
8. Access Control
Aspek ini behubungan dengan cara pengaturan akses kepada infomasi. Aspek
ini berhubungan dengan aspek Authentication dan Privacy. Access Control
seringkali dilakukan dengan kombinasi user id dan password atau dengan
mekanisme lainnya.

11.2

Manajemen Keamanan Informasi

Pada keamanan informasi memiliki cakupan yang cukup meluas, khususnya

terfokus pada tanggung jawab manajemen. Manajemen tidak hanya diperlukan untuk
menjaga sumber daya informasi aman, tetapi juga diperlukan untuk menjaga suatu
organisasi/perusahaan tersebut tetap berfungsi setelah suatu bencana atau bocornya sistem
keamanan. Aktifitas dalam melindungi sumber daya informasi tetap aman dan jauh dari
pengetahuan pihak-pihak tidak berwenang disebut manajemen keamanan informasi
(Information Security Management ISM), sedangkan aktifitas dalam melindungi suatu
organisasi/perusahaan dan sumber daya informasi yang dimiliki tetap berfungsi ketika
telah terjadi masalah seperti adanya bencana ataupun kebocoran informasi disebut dengan
manajemen keberlangsungan bisnis (Bussiness Contibuity Management BCM).
Manajemen keamanan informasi menjadi penting diterapkan agar informasi yang
beredar di perusahaan dapat dikelola dengan benar sehingga perusahaan dapat mengambil
keputusan berdasarkan informasi yang ada dengan benar pula dalam rangka memberikan
layanan yang terbaik kepada pelanggan. Secara spesifik, manajemen keamanan ini juga
dapat berfungsi untuk akurasi, integritas dan keamanan yang efektif yang dapat
meminimalkan kesalahan, kecurangan, serta kerugian dalam sistem informasi yang saling
berkaitan pada suatu organisasi/perusahaan dengan para pelanggan, pemasok dan

stakeholder lainnya sehingga dapat dikatakan tugas dari manajemen keamanan terhadap
sistem informasi ini cukup sulit dan rumit. Sebagaimana kita ketahui, para manajer
keamanan harus memperoleh dan mengintegrasi beberapa metode keamanan dan alat-alat
yang dimaksudkan untuk dapat melindungi berbagai sumber daya sistem informasi di
suatu organisasi/perusahaan.
CIO merupakan orang yang tepat untuk memikul tanggung jawab atas keamanan
informasi, namun kebanyakan organisasi mulai menunjuk orang-orang tertentu yang dapat
mencurahkan perhatian penuh terhadap aktifitas ini. Jabatan direktur keamanan sistem
informasi perusahaan (Coorporate Information System Security Officer CISSO)
digunakan untuk individu di dalam organisasi, biasanya anggota dari unit sistem informasi
yang bertanggung jawab atas keamanan sistem informasi perusahaan tersebut.
Tetapi sekarang, perubahan yang sedang dibuat untuk mencapai tingkat informasi
yang cukup tinggi lagi di dalam suatu perusahaan dengan cara menunjuk seorang direktur
assurance informasi perusahaan (Corporate Information Assurance Officer CIAO) yang
akan melaporkan kepada CEO dan mengelola unit penjagaan informasi. Seperti yang
diharapkan, seorang CIAO harus mendapatkan serangkaian sertifikasi keamanan dan
memiliki pengalaman minimum 10 tahun dalam mengelola suatu fasilitas keamanan
informasi.
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas
empat tahap yakni:
1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya informasi
suatu perusahaan
2. Mendefinisikan resiko dari ancaman yang dapat memaksakan
3. Penetapan kebijakan keamanan informasi
4. Menerapkan pengendalian yang tertuju pada resiko
Istilah manajemen risiko (risk management) dibuat untuk menggambarkan
pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan
dengan risiko yang dihadapinya. Terdapat pilihan lain untuk merumuskan kebijakan
keamanan informasi suatu perusahaan. Pilihan ini telah menjadi populer pada beberapa
tahun belakangan ini dengan munculnya standar atau tolak ukur keamanan informasi.
Tolak ukur (benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur
keamanan informasi (information security benchmark) adalah tingkat kemanan yang
disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup
terhadap gangguan yang tidak terotorisasi. Standar atau tolak ukur semacam ini ditentukan
oleh pemerintah dan asosiasi industri serta mencerminkan komponen-komponen program
keamanan informais yang baik menurut otoritas tersebut.
Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap
tolak ukur (benchmark compliance) dapat diasumsikan bahwa pemerintah dan otoritas
industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai
ancaman serta risiko dan tolak ukur tersebut menawarkan perlindungan yang baik.

Berikut dibawah ini menggambarkan pendekatan tolak ukur (Raymond dan

George, 2008:272) :

Gambar 11.1. Pendekatan Tolak Ukur

Manajemen keamanan informasi juga dimanfaatkan untuk perlindungan aset di
suatu perusahaan atau organisasi. Adapun dasar-dasar manajemen informasi sebagai aset
yaitu :
1. Informasi merupakan salah satu aset penting bagi sebuah perusahaan atau
organisasi dengan memiliki nilai tertentu bagi perusahaan ataupun organisasi
2. Kerahasiaan dan integritas informasi dapat menjamin kelangsungan bisnis
perusahaan atau organisasi tersebut
3. Perlindungan terhadap informasi dapat meminimalisir kerusakan karena
kebocoran sistem keamanan informasi, mempercepat kembalinya investasi dan
memperluas peluang usaha
11.2.1 Manajemen Risiko
Risiko merupakan kemungkinan untuk terjadinya beberapa ancaman yang bisa saja
datang dan mudah menyerang. Risiko juga diartikan sebagai suatu umpan balik negatif
yang timbul dari suatu kegiatan dengan tingkat probabilitas untuk setiap kegiatan. Pada
dasarnya risiko dari suatu kegiatan tidak dapat dihilangkan akan tetapi dapat diperkecil
yang dampaknya terhadap hasil suatu kegiatan. Risiko dapat dianalisa dan diperkirakan.
Proses dalam menganalisa serta memperkirakan timbulnya suatu risiko yang akan terjadi
dalam suatu kegiatan dikenal dengan sebutan Manajemen Risiko.
Manajemen risiko dapat pula diartikan sebagai pelaksanaan fungsi-fungsi
manajemen dalam penanggulangan risiko yang ada di suatu perusahaan. Jadi mencakup

kegiatan merencanakan, mengorganisir, meyusun, dan memimpin serta mengawasi

sekaligus mengevaluasi program penanggulangan risiko.
Seiring dengan berkembangnya teknologi informasi yang bergerak sangat cepat
saat ini, pengembangan unit usaha yang berupaya menerapkan sistem informasi dalam
organisasinya telah menjadi kebutuhan dasar dan semakin meningkat dari tahun ke tahun.
Namun pola pembangunan sistem informasi yang mengindahkan faktor risiko telah
menyebabkan beberapa organisasi mengalami kegagalan dalam menerapkan sistem
informasi tersebut, atau meningkatnya nilai investasi dari suatu plafon yang seharusnya,
hal ini juga dapat menghambat proses pencapaian misi organisasi.
Pada dasarnya risiko memiliki faktor-faktor dalam suatu perencanaan sistem
informasi, hal ini dapat diklasifikasi ke dalam 4 bagian kategori suatu risiko, yaitu :
1. Catastrophic (Bencana)
2. Critical (Kritis)
3. Marginal (Kecil)
4. Negligible (Dapat Diabaikan)
Adapun pengaruh atau dampak yang muncul terhadap suatu proyek sistem
informasi dapat berpengaruh kepada :
1. Nilai unjuk kerja dari sistem yang dikembangkan
2. Biaya yang dikeluarkan oleh suatu organisasi yang mengembangkan teknologi
informasi
3. Dukungan pihak manajemen terhadap pengembangan teknologi informasi
4. Skedul terhadap waktu penerapan pengembangan teknologi informasi
Suatu risiko perlu diartikan dalam suatu pendekatan yang sistematis, sehingga
pengaruh dari risiko yang timbul atas pengembangan tekonologi informasi pada suatu
organisasi dapat diantipasi dan diidentifikasi sebelumnya. Untuk itu manajemen risiko
berusaha mengoptimalkan alokasi sumber daya pada keamanan sistem informasi.
Manajemen risiko memiliki 3 bagian yakni :
1. Identifikasi risiko secara material
2. Pemilihan dan pelaksanaan langkah-langkah untuk mengurangi risiko
3. Melakukan pelacakan dan mengevaluasi risiko kerugian yang dialami dalam
rangka untuk memvalidasi pada bagian nomor 1 dan 2 dari suatu proses
Baik untuk risiko yang parah maupun signifikan, analisis kelemahan harus
dilakukan. Ketika analisis tersebut mengindikasikan kelemahan tingkat tinggi yang dimana
terdapat kelemahan substansial didalam suatu sistem, maka pengendalian sebaiknya
diimplementasikan. Jika kelemahan bersifat rendah dimana sistem tersebut terkonstruksi
dengan baik dan beroperasi dengan benar, maka pengendalian yang ada harus tetap dijaga.
Setelah analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan
kedalam laporan analisis risiko. Isi dari laporan tersebut meliputi informasi mengenai tiaptiap risiko baik tentang deskripsi risiko, sumber risiko yang didapat, tingginya tingkat
risiko yang ada, pengendalian yang diterapkan pada risiko, para pemilik risiko tersebut,
tindakan yang direkomendasikan untuk mengatasi risiko serta jangka waktu yang
direkomendasikan untuk mengatasi risiko. Jika perusahaan telah mengatasi risiko tersebut,
laporan harus segera diselesaikan dengan cara menambahkan apa yang telah dilaksanakan
untuk mengatasi risiko tersebut.

Implementasi Kemampuan pada Manajemen Risiko terhadap Sistem Informasi

Kemampuan manajemen risiko terhadap sistem informasi yang efektif merupakan
kemampuan manajemen yang memenuhi kebutuhan dalam bisnis suatu perusahaan,
dimana elemen-elemen penting yang harus dipertimbangkan yaitu :
1. Strategi dan Kebijakan
Strategi-strategi dan kebijakan-kebijakan manajemen risiko terhadap sistem
informasi diperlukan untuk menentukan tujuan dari manajemen risiko sistem
informasi yang secara keseluruhan, membangun prioritas dan pentingnya
manajemen risiko terhadap sistem informasi, memastikan cakupan area yang
potensial dari risiko sistem informasi tersebut. Kebijakan manajemen risiko
sistem informasi harus didokumentasikan secara formal dan didukung oleh tim
tata kelola sistem informasi dan dikomunikasikan secara aktif kepada seluruh
organisasi/perusahaan.
2. Peran dan Tanggung Jawab
Peran yang perlu ditentukan terlebih dahulu dan sesudah itu pihak yang tepat
harus dipilih dan ditempatkan untuk melakukan peran tersebut. Beberapa hal
yang perlu dipertimbangkan yakni :
Pemisahan tugas, hal ini diperlukan untuk memastikan bahwa setiap
peran kelas risiko independen menjalankan pemantauan dan melakukan
tinjauan ulang.
Menyeimbangkan kebutuhan masukan untuk bagian spesialis kontribusi
pengertian proses, sistem dan risiko spesifik, manajerial pembuatan
keputusan-mempertimbangkan semua factor dan menentukan tindakan
Mencocokkan peran manajemen risiko teknologi informasi ke dalam
struktur di mana dia seharusnya ditempatkan. Misalnya, aktivitas
perawatan manajemen risiko teknologi informasi harus sejalan dengan
manajer proyek untuk risiko proyek
Membuat peran manajemen risiko teknologi informasi yang baru ketika
dibutuhkan
Mengalokasikan tanggung jawab bersama jika diperlukan dan
memastikan semua tempat yang telah diambil
3. Proses dan Pendekatan
Siklus hidup manajemen risiko memiliki beberapa langkah yang dikembangkan
dengan beberapa langkah yang berbeda untuk berbagai jenis risiko yakni :
Identifikasi/Penemuan : Mendapatkan risiko sistem informasi
berdasarkan radar dari para manajemen
Penilaian/Analisis : Memahami risiko dalam konteks keseluruhan
portofolio risiko terhadap sistem informasi dan menilai kemungkinan
terjadinya serta dampak potensial pada bisnis suatu perusahaan
Perawatan : Menetukan pilihan terbaik dari banyaknya program untuk
menangani risiko, perencanaan dan menyelesaikan tindakan yang
diperlukan

Pemantauan dan Tinjauan : Menindaklanjuti untuk memastikan rencana

apa yang telah dilakukan dan memahami adanya perubahan lebih lanjut
dalam risiko
4. Orang dan Performa
Manajemen risiko pada sistem informasi juga dijelaskan mengenai pihak yang
terkait serta performa mereka. Kemampuan dan pengetahuan dari orang-orang
dalam manajemen risiko harus dikembangkan dan dipelihara. Pengembangan
dan pemeliharaan ini memerlukan beberapa kombinasi pendidikan dan
pelatihan penanggulangan risiko pada sistem informasi sesuai dengan peran dan
tanggung jawab yang ada
5. Implementasi dan Pengembangan
Pihak yang berkepentingan terhadap sistem informasi ini tidak hanya akan
menerima strategi dan cara baru dalam pengelolaan risiko sistem informasi ini
tanpa pernah diberitahu mengapa diperlukan. Hal ini dilakukan dengan
meyakinkan tentang pentingnya hal tersebut untuk sebuah perusahaan yang
menerapkannya.
11.2.2. Kebijakan Keamanan Informasi
Setiap perusahaan tentunya memiliki pedoman bagi karyawan untuk mencapai
sasaran yang telah direncanakan oleh perusahaan tersebut. Setiap karyawan tidak dapat
bertindak semaunya dan harus disiplin dalam melaksanakan tugas dan kewajibannya. Oleh
karena itu dibentuklah suatu kebijakan yang dapat dijadikan suatu pedoman dalam
bertindak. Hal ini dapat diterapkan pada sistem informasi yang ada didalam suatu
perusahaan. Kebijakan keamanan sistem informasi disusun oleh pimpinan operasi beserta
pimpinan ICT (Information Communication Technology) dengan bantuan arahan dari
pimpinan perusahaan tersebut.
Tujuan kebijakan keamanan informasi itu sendiri adalah untuk memberikan arahan
dan dukungan kepada para manajemen keamanan informasi. Manajemen harus
menetapkan arah kebijakan yang jelas dan menunjukkan dukungan, serta komitmen
terhadap keamanan informasi melalui penerapan dan pemeliharaan suatu kebijakan
keamanan informasi di seluruh tatanan perusahaan.
Kebijakan keamanan informasi mendorong kebijakan lainnya dalam menentukan
penggunaan sumber daya informasi suatu perusahaan yang dapat diterima dan siapa saja
anggota perusahaan yang mendapat akses terhadap aset informasi. Suatu kebijakan
penggunaan yang dapat diterima memberikan arti dalam penggunaan sumber daya
informasi perusahaan dan perlengkapan komputer, yang mencakup desktop dan laptop,
telepon, perangkat nirkabel, dan internet yang dapat diterima. Kebijakan tersebut
sebaiknya memberikan penjelasan terhadap kebijakan perusahaan terkait privasi, tanggung
jawab pengguna dan menetapkan konsekuensi bagi ketidakpatuhan. Seperti halnya yang
diterapkan oleh suatu perusahaan besar yakni Unilever dimana merupakan perusahaan
multinasional raksasa yang menjual konsumsi sehari-hari, terkait kebijakan keamanannya
setiap karyawan diharuskan untuk menggunakan perangkat komputer yang telah

ditetapkan dan memakai suatu password atau metode identifikasi lainnya saat mengakses
jaringan perusahaan.
Kebijakan keamanan juga meliputi penetapan manajemen identitas. Manajemen
identitas ini terdiri atas proses bisnis dan peralatan perangkat lunak untuk mengidentifikasi
pengguna yang sah pada sistem dan mengendalikan akses mereka terhadap sumber daya
sistem. Manajemen ini meliputi kebijakan untuk mengidentifikasi dan memberi izin bagi
pengguna sistem dari kategori yang berbeda, menetapkan bagian sistem atau porsi dari
sistem mana saja yang dapat diakses oleh pengguna serta proses dan teknologi untuk
autentis pengguna dan perlindungan identitas mereka. Sistem manajemen identitas ini
menetapkan bagian database sumber daya manusia yang dapat diakses bagi setiap
pengguna, berdasarkan informasi yang diperlukan untuk menjalankan pekerjaan seseorang.
Database mengandung informasi personal yang sensitif seperti gaji karyawan, tunjangan
serta rekam medis.
Di perusahaan dalam melakukan kebijakan keamanan informasi, melakukan
penerapan dalam pendekatan secara bertahap. Pendekatan tersebut diantaranya yakni :
1. Fase 1, Inisiasi Proyek. Membentuk sebuah tim yang bertugas dalam
mengembangkan dan mengawasi proyek kebijakan keamanan informasi yang
dibentuk
2. Fase 2, Penyusunan Kebijakan. Tim proyek berkonsultasi dengan pihak-pihak
dan berpengaruh dalam menentukan persyaratan-persyaratan yang dibutuhkan
untuk kebijakan baru.
3. Fase 3, Konsultasi dan Persetujuan.
Tim proyek berkonsultasi dan
menginformasikan kepada para manajemen mengenai hasil temuan, meminta
pandangan dan mengenai berbagai persyaratan kebijakan.
4. Fase 4, Kesadaran dan Edukasi. Melaksanakan program pelatihan kesadaran
dan edukasi dalam unit-unit organisasi.
5. Fase 5, Penyebarluasan Kebijakan. Kebijakan keamanan disebarluaskan
melalui unit-unit organisasi/perusahaan dimana kebijakan tersebut diterapkan.
Unit-unit manajer mengadakan rapat dengan para karyawan untuk memastikan
bahwa mereka mampu memahami mengenai kebijakan tersebut dan merasa
terikat untuk mematuhinya.
Berikut ini struktur penyusunan kebijakan keamanan dari fase-fase di atas :

Gambar 11.2 struktur penyusunan kebijakan keamanan dari fase-fase

Selain itu, kebijakan keamanan informasi juga meliputi hal-hal dibawah ini, yaitu :
1. Dokumen Kebijakan Keamanan Informasi (Information Security Policy
Document)
Kontrol yang seharusnya dipenuhi adalah dokumen kebijakan keamanan
informasi yang harus disetujui oleh manajemen, dipublikasikan dan
disosialisasikan dengan baik kepada seluruh pegawai. Di dalam dokumen
kebijakan tersebut harus ada pernyataan komitmen manajemen dan pendekatan
organisasi dalam mengelola keamanan informasi. Dokumen tersebut harus
mencakup hal-hal sebagai berikut :
Definisi keamanan informasi, sasaran umum dan cakupan, serta pentingnya
keamanan sebagai mekanisme untuk berbagi informasi
Pernyataan komitmen manajemen, dukungan terhadap tujuan, dan prinsip,
persyaratan standar kesesuaian sebagai bagian penting untuk organisasi,
diantaranya yakni :
a. Kesesuaian persyaratan legalitas dan kontraktual
b. Kebutuhan pendidikan keamanan
c. Pencegahan dan deteksi terhadap virus dan peranti lunak berbahaya lain
d. Manajemen kelangsungan bisnis

e. Konsekuensi atas pelanggaran kebijakan keamanan

f. Definisi tanggungjawab umum dan khusus untuk manajemen keamanan
informasi, termasuk melaporkan insiden keamanan
g. Rujukan untuk dokumentasi yang mendukung kebijakan, seperti
spesifik kebijakan keamanan dan prosedur untuk sistem informasi
tertentu atau aturan keamanan yang harus dipatuhi pengguna.
Kebijakan ini harus disosialisasikan kepada pengguna di seluruh tatanan
organisasi, dalam bentuk yang relevan, mudah diakses, dan dimengerti oleh
pembaca.
2. Tinjauan Ulang Kebijakan Keamanan Informasi (Review Of The Information
Security Policy)
Kontrol yang seharusnya dipenuhi bahwa suatu kebijakan harus mempunyai
pemilik yang bertanggungjawab atas pemeliharaan dan melakukan tinjauan
ulang sesuai prosedur tinjauan ulang yang ditetapkan. Proses dimaksud harus
memastikan bahwa tinjauan ulang dilakukan untuk mengantisipasi setiap
perubahan yang mempengaruhi analisa resiko, seperti insiden keamanan yang
serius, kerawanan, perubahan organisasi atau infrastruktur teknis. Karena itu
tinjauan ulang berkala berikut harus juga dijadwalkan :
Efektivitas kebijakan, yang ditunjukkan oleh jenis, jumlah dan dampak dari
insiden keamanan yang di dokumentasikan
Biaya dan dampak dari keberadaan kontrol terhadap efisiensi bisnis
Pengaruh perubahan perkembangan teknologi
Selanjutnya kebijakan yang telah ditetapkan pada suatu perusahaan, dikembangkan
dengan membuat suatu standar yang ditujukan untuk keamanan informasi agar terhindar
dari pihak-pihak yang tidak berwenang. Dikenal dengan sebutan ISO, ISO (International
Standards Organization) merupakan salah satu badan dunia yang membuat standarisasi
yang digunakan oleh para pengguna dan produsen dalam bidang tertentu terhadap kualitas
suatu layanan.
Salah satu ISO yang terkait mengenai masalah keamanan sistem informasi yakni
ISO 17799. ISO 17799 ini merupakan struktur dan rekomendasi pedoman yang diakui
secara internasional untuk keamanan informasi yang menyeluruh dapat diusahakan atau
diimplementasikan bagi perusahaan agar memperoleh manfaat keamanan yang diinginkan.
Didalamnya terkait dengan proses evaluasi, implementasi, pemeliharaan dan pengaturan
keamanan informasi yang singkat. ISO 17799 bukan merupakan suatu ketetapan yang
dikeluarkan oleh pemerintah.
Suatu perusahaan yang menerapkan ISO 17799 akan memiliki suatu alat untuk
mengukur, mengatur dan mengendalikan informasi yang penting bagi operasional sistem
di perusahaan tersebut. Sehingga hal ini dapat mendorong kepercayaan pelanggan,
efisiensi dan efektifitas serta juga dapat mengurangi biaya manajemen.
11.2.3 Pengendalian Internal
Suatu perencanaan yang meliputi struktur suatu perusahaan dan semua metode dan
alat-alat yang dikoordinasikan yang digunakan di dalam perusahaan dengan tujuan untuk

menjaga keamanan harta milik perusahaan, memeriksa ketelitian dan kebenaran data
informasi, mendorong efisiensi, dan membantu mendorong dipatuhinya kebijakan
manajemen yang telah ditetapkan.
Pengendalian internal yang handal dan efektif dapat memberikan informasi yang
tepat bagi manajer maupun dewan direksi yang bagus untuk mengambil keputusan maupun
kebijakan yang tepat untuk pencapaian tujuan perusahaan yang lebih efektif pula.
Pengendalian internal merupakan suatu proses untuk mencapai tujuan tertentu, atau dapat
diartikan sebagai suatu rangkaian tindakan yang menjadi bagian yang tidak dapat
terpisahkan. Pengendalian internal tidak hanya terdiri dari pedoman, kebijakan, dan
formulir namun dijalankan oleh pihak-pihak dari setiap jenjang organisasi, yang mencakup
dewan komisaris, manajemen dan personil lain. Dengan adanya pengendalian internal
diharapkan mampu memberikan keyakinan memadai, bukan keyakinan mutlak bagi para
manajemen dan dewan komisaris entitas. Keterbatasan yang melekat di dalam semua
sistem pengendalian internal dan mempertimbangkan manfaat serta pengorbanan dalam
pencapaian tujuan pengendalian yang menyebabkan pengendalian internal tidak dapat
memberikan keyakinan mutlak. Sistem pengendalian internal ini meliputi struktur
organisasi, metode, serta ukuran yang diorganisasikan untuk menjaga kekayaan suatu
perusahaan, mengecek ketelitian dan kehandalan data informasi.
Pengendalian internal dalam suatu sistem informasi harus dikembangkan untuk
memastikan entri data, teknik pemrosesan, metode penyimpaan, serta output informasi
yang tepat. Sehingga pengendalian internal ini didesain dan digunakan untuk memonitor
serta memelihara kualitas keamanan input, pemrosesan, output, dan aktifitas penyimpanan
pada sistem informasi dimana pun. Seperti halnya pada pengendalian sistem informasi
dibutuhkan untuk memberikan kepastian dalam entri data yang tepat ke dalam sistem
bisnis suau perusahaan hingga dapat menghindari sindrom sampah masuk dan sampah
keluar (Hill, 2008:613).
Pengendalian pada sistem informasi ini baik secara manual maupun otomatis terdiri
atas kendali umum dan aplikasi. Kendali umum memiliki pengaruh atas desain, keamanan
dan penggunaan program komputer serta keamanan arsi dan secara umum dari semua
infrastruktur teknologi informasi di suatu perusahaan. Secara keseluruhan, kendali umum
ini dimanfaatkan pada semua aplikasi yang terkomputerisasi dan memuat kombinasi
perangkat lunak, perangkat keras dan prosedur manual yang menciptakan lingkungan
kontrol secara menyeluruh.
Kendali umum meliputi pengendalian perangkat lunak, pengendalian fisik
perangkat keras dan pengendalian operasional komputer, pengendalian keamanan data,
pengendalian pada proses implementasi sistem dan pengendalian administratif.
Sedangkan pada kendali aplikasi diartikan sebagai pengendalian khusus dan
spesifik pada setiap aplikasi yang terkomputerisasi, seperti proses pembayaran dan
pemesanan. Kendali aplikasi mencakup baik prosedur manual maupun prosedur otomatis
yang memastikan hanya data sah yang utuh dan akurat yang dapat diproses menggunakan
aplikasi tersebut. Kendali aplikasi ini dapat dikelompokkan menjadi kendali input, kendali
pemrosesan dan kendali output.

Kendali input memeriksa keakuratan dan kelengkapan data yang akan dimasukkan
ke dalam sistem. Terdapat beberapa kendali input yang spesifik bagi autentis input,
konversi data, penyuntingan data dan penganan kesalahan. Pada kendali pemrosesan
meliputi penetapan data yang utuh dan akurat selama pemutakhiran yang dilakukan.
Sedangkan pada kendali output memastikan bahwa hasil dari pemrosesan komputer akurat,
utuh dan dapat didistribusikan dengan benar.
11.3. Ancaman Keamanan dan Pengendalian Informasi
Ancaman Keamanan Informasi (Information Security Threat) merupakan individu,
organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber
sumber informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta
yaitu berasal dari dalam perusahaan, maupun eksternal atau berasal dari luar perusahaan
dan bersifat disengaja dan tidak disengaja.
11.3.1. Ancaman Internal
Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga
pekerja temporer (sementara), konsultan, kontraktor, bahkan mitra bisnis perusahaan
tersebut. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih
serius jika dibandingkan denga ancaman eksternal, dikarenakan pengetahuan anccaman
internal yang lebih mendalam akan sistem tersebut.
Kita cenderung berpikir ancaman keamanan untuk bisnis berasal dari luar
organisasi. Namun pada kenyataannya pihak internal perusahaan menimbulkan masalah
keamanan serius. Para karyawan memiliki akses menuju informasi rahasia, dan dengan
lemahnya prosedur keamanan internal dapat memberikan ancaman serius terhadap sistem
informasi perusahaan karena mereka biasanya dapat menjelajah keseluruhan sistem
organisas tanpa meninggalkan jejak.
Penelitian-penelitian menyebutkan bahwa pengguna yang tidak memiliki
pengetahuan yang memadai adalah penyebab terbesar adanya pelanggaran keamanan
jaringan. Banyak karyawan lupa password mereka untuk mengakses sistem komputer atau
mengizinkan rekan kerja untuk menggunakan user pribadi milik mereka dan mengabaikan
keamanan sistem informasi. Selain penggna, para ahli sistem informasi atau ahli teknologi
informasi pada perusahaan juga dapat menjadi ancaman internal terhadap sistem informasi
itu sendiri. Para ahli informasi dan teknnologi informasi dapat menciptakan kesalahan
perangkat lunak ketika mereka mendesain dan mengembangkan perangkat lunak atau
program yang baru atau dapat juga melakukan kesalahan saat pemeliharaan program yang
sudah ada.
Kontrol untuk menghadapi ancaman internal dibuat untuk memprediksi gangguan
keamanan yang mungkin terjadi.Selain itu Tidak semua ancaman berasal dari perbuatan
yang disengaja , banyak diantaranya karena ketidaksengajaan atau kebetulan, baik yang
berasal dari orang di dalam maupun luar perusahaan.

11.3.1.1. Ancaman dan Pengendalian Input

Ancaman internal dapat berupa kesalahan input pada sistem informasi yang
memiliki pengaruh yang besar terhadap keamanan sistem informasi. Ancaman ini berupa
kesalahan penginputan sehingga data yang diinput dapat tidak sah, tidak akurat dan tidak
diotorisasi kedalam proses sitem informasi. Pengendalian Input, Dirancang untuk
menjamin bahwa hanya data yang sah, akurat dan diotorisasi saja yg dimasukkan kedalam
proses sistem informasi penggndalian input dapat berupa edit test pada saat data
diinputkan ke layar komputer (validity check, limit check,field check, relationship check)
dapat berupa batch control total (amount control total, hash total dan record count) jika
data diinput secara batch.
Pengendalian yang baik tidak memperbolehkan suatu transaksi diproses apabila
transaksi tersebut tidak disertai dengan otorisasi dari pejabat yang berwenang. Dalam
bisnis tertentu, tahap otorisasi ini berjenjang-jenjang sehingga diperoleh jaminan bahwa
hanya data yang valid saja yang masuk ke dalam sistem. Selain itu sedapat mungkin
dokumen-dokumen masukan mengandung bukti otorisasi dan harus telah ditelaah oleh
control group. Pengendalian atas masukan ini dapat dilakukan secara manual ataupun
secara terprogram melalui sistem online.
Tujuan pengendalian input adalah sebagai berikut:
1. Informasi diotorisasi sebagaimana mestinya sebelum diolah dengan komputer,
2. Informasi atau data tidak hilang, ditambah, digandakan, atau diubah tidak
semestinya.
3. Transaksi yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan kembali
secara tepat waktu,
4. Informasi atau data dientri ke terminal yang semestinya,
5. Data yang dientri telah diklasifikasikan dengan benar dan pada nilai yang valid,
6. Data yang tidak valid tidak dientri pada saat transmisi,
7. Data tidak dientri lebih dari sekali,
8. Data yang dientri tidak hilang selama masa transmisi berlangsung,
9. Data yang tidak berotorisasi tidak dientri selama transmisi berlangsung
Perusahaan harus membentuk prosedur pengendalian untuk memastikan bahwa
semua dokumen sumber memiliki otoritas, akurat, lengkap, jelas dan masuk ke dalam
sistem atau dikirim ketujuannya dengan tepat waktu.
Pengendalian penginputan sumber data meliputi:
1. Forms design / design bentuk data yang diinput
2. Prenumbered forms sequence test/ pemberian nomor urut untuk data
3. Turnaround documents/ alur penginputan dokumen
4. Cancellation and storage of documents / pembatalan dan penyimpanan dokumen
5. Authorization and segregation of duties/ otorisasi dan pemisahan tugas
6. Visual scanning
7. Check digit verification/pemeriksaan angka atau nomor verifikasi
8. Key verification/penguncian verifikasi

Jenis-jenis Pengendalian Input:

1. Input Authorization Control
Pengendalian yang baik tidak memperbolehkan suatu transaksi diproses apabila
transaksi tersebut tidak disertai dengan otorisasi dari pejabat yang berwenang. Dalam
bisnis tertentu, tahap otorisasi ini berjenjang-jenjang sehingga diperoleh jaminan
bahwa hanya data yang valid saja yang masuk ke dalam sistem. Selain itu sedapat
mungkin dokumen-dokumen masukan mengandung bukti otorisasi dan harus telah
ditelaah oleh control group. Pengendalian atas masukan ini dapat dilakukan secara
manual ataupun secara terprogram melalui sistem online.
Jenis input authorization control adalah :
a.

Prosedur-prosedur persetujuan,Prosedur ini menjelaskan mengenai bagaimana

dan oleh siapa data akan dimasukkan ke dalam dokumen masukan, dan meliputi
hal-hal berikut :

Bukti otorisasi (tanda tangan, dll) yang harus ditelaah oleh control group.
Apabila tidak ada persetujuan sebelum pemrosesan, maka penelaahan
terhadap keluaran harus dilakukan oleh seseorang yang tidak terlibat dalam
pembuatan dokumen awal.
Dalam sistem online, otorisasi ditunjukkan dengan password dan
authorization table. Keduanya memastikan bahwa data tertentu hanya
dapat diakses oleh personil-personil yang saha. Password dapat dibuat satu
kali dari awal hingga selesai atau untuk setiap selesainya suatu proses yang
bersangkutan harus memasukkan kata sandi lagi untuk dapat melaksanakan
proses berikutnya. Sementara authorization table menunjukkan siapa saja
yang memiliki otorisasi untuk mengakses sistem PDE, baik pengolahannya
maupun datanya.
Transaksi-transaksi yang telah dikelompokkan (batch) disetujui sebelum
diproses.
Transaksi pemeliharaan data disetujui oleh penyelia di tempat asal mula
transaksi tersebut dibuat.
Batasan-batasan mengenai persetujuan terhadap transaksi tertentu.

b.

Prenumbered document, Urutan formulir akan diuji selama pemrosesan

berlangsung. Apabila terjadi formulir tidak urut (hilang) maka harus ditelaah
oleh pejabat yang berwenang di departemen asal formulir tersebut dikirimkan.

c.

Penelaahan oleh Control Group, Transaksi yang diproses dalam bentuk batch
atau harus dilaksanakan oleh departemen PDI harus ditelaah dahulu oleh control
group.

d.

Transaction Log, Dari penelaahan atas log dapat diketahui frekuensi kesalahan
dalam terminal serta adanya kejadian-kejadian lainnya yang tidak semestinya.
Semua terminal yang digunakan dicatat dalam tape atau disk.

2. Input Validation Control

Pengendalian ini telah terprogram di dalam sistem dan dimaksudkan untuk
memperoleh keyakinan bahwa semua data masukan adalah akurat, lengkap, dan
memadai (logis). Dalam kaitannya dengan pengendalian menurut tujuannya, maka
validasi masukan juga termasuk dalam pengendalian detektif.
Fungsi input validation control adalah sebagai berikut:
a. untuk mendeteksi kehilangan data,
b. untuk menguji perhitungan matematis,
c. untuk menjamin adanya pembukuan transaksi secara benar.
Jenis input validation control yaitu:
a. Numeric and alphabetic check,Istilah lain yang digunakan adalah field test yang
berfungsi menetapkan field tertentu adalah angka, sedangkan field lainnya
adalah huruf. Apabila terjadi kesalahan maka komputer akan memberitahukan
hal ini sebagai suatu kesalahan.
b. Logic check,Pengujian ini dimaksudkan untuk menilai atau membandingkan
suatu logis tertentu dengan keadaan data yang sebenarnya. Misal, jurnal
penyusutan akan dianggap komputer sebagai tidak logis ketika kreditnya adalah
kas atau saldo kas bertanda negatif.
c. Sign check,Program ini menguji apakah suatu field tertentu memiliki simbol atau
tanda matematis yang sesuai, apakah suatu angka dalam field tertentu harus
positif (debet) ataukah negatif (kredit).
d. Valid field size check, Pengujian ini mengharuskan suatu field mempunyai besar
tertentu, enam digit misalnya.
e. Limit check,Program ini menguji apakah suatu field tertentu berada dalam suatu
batasan yang sebelumnya telah ditetapkan, misal batas maksimum penarikan
ATM adalah Rp 2.500.000,f. Valid code check, Pengujian ini disebut juga dengan dial back methode atau
existence test dimana keabsahan kode ini dimaksudkan untuk menguji apakah

suatu transaksi masukan memiliki kode yang sama dengan yang ada di dalam
daftar komputer yang bersangkutan.
g. Range test, Pengendalian ini serupa dengan limit check hanya saja untuk
menguji apakah suatu field berisi batasan nilai tertentu, misalnya 100 hingga
500.
h. Sequence check, Pengendalian ini menguji urut-urutan suatu field masukan
tertentu.
i. Check-digit verification, Pengendalian ini dilakukan dnegan menghitung suatu
angka tertentu untuk memastikan bahawa nilai yang sebenarnya tidak diubah.
3. Pengendalian Transmisi Data
Bertujuan untuk mencegah agar data yang akan diproses tersebut tidak hilang, tidak
ditambah, atau tidak diubah. Pengendalian transmisi data termasuk dalam
pengendalian detektif.
Teknik dalam pengendalian transmisi data :
a. Batches logging and tracking, Teknik pencatatan dan pentrasiran batch ini
mencakup penghitungan batch control totals, penggunaan nomor urut batch,
nomor lembar transmisi serta pencatatan arus transaksi dan/atau batch.
b. Program-program aplikasi,Pengendalian ini digunakan untuk melakukan
verifikasi terhadap batch control totals dan run-to-run control total. Total runto-run adalah control totals dari penyelesaian suatu pengolahan (pemrosesan)
yang akan digunakan sebagai total pengendalian untuk pemrosesan berikutnya.
Contoh, apabila tidak ada pengeluaran maka saldo awal persediaan ditambah
dengan pembelian harus sama dengan saldo akhirnya.
c. Teknik-teknik verifikasi dalam transmisi on-line,

Echo-check (closed loop verification), mengirimkan data kembali pada

pengirimnya untuk dibandingkan dengan data asal (aslinya).
Redudancy check (matching check), meminta pengirimnya untuk
memasukkan sebagian dari data selain dari data yang telah ditransmisikan.
Completeness test, pegujian kelengkapan data terhadap setiap transaksi
dengan tujuan untuk membuktikan bahwa semua data yang diperlukan telah
dimasukkan.

4. Pengendalian Konversi Data

Konversi data adalah proses mengubah data dari sumber asalnya ke dalam bentuk
yang dapat dibaca oleh mesin (machine readable form), misalnya dalam bentuk
punched cards, pita magnetis, disk, ataupun bentuk-bentuk lainnya.
Teknik pengendalian konversi data adalah sebagai berikut:
a. Visual verification, terminal komputer dapat pula dilengkapi dengan fasilitas
umpan balik yang secara otomatis akan menunjukkan suatu tanda yang dapat
digunakan sebagai pengujian visual oleh pemakainya.
b. Check digit, berfungsi untuk memeriksa atau menguji validitas angka. Apabila
angka tersebut tidak sesuai dnegan angka asalnya, maka nomor angka akun yang
diproses tersebut akan dimunculkan sebagai hal yang salah. Contoh : ISBN
dan nomor akun ATM nasabah.
c. Batch control total, bukti-bukti asal dikelompok-kelompokkan di departemen
pemakan dan control group mencatat batch dan batch control pada batch input
control sheet. Setelah diproses control group membandingkan total batch
keluaran dengan total batch semula, menyelidiki, dan menyelesaikan perbedaanperbedaan yang timbul. Keluaran yang diterima oleh departemen pemakai dari
control group kemudian dibandingkan dengan total batch masukan.
d. Hash totals, hash totals dibuat dalam field yang bukan kuantitas seperti
misalnya jumlah dari nomor akun pelanggan atau jumlah nomor identifikasi
pegawai. Bagi manusia penjumlahan ini tidak ada artinya, tetapi tidak demikian
dengan komputer. Apabila penjumlahan tersebut tidak sesuai dengan jumlah
yang seharusnya, maka akan diketahui pemasukan nomor data yang salah.
5. Pengendalian Penanganan Kesalahan
Transaksi-transaksi yang salah juga harus dikendalikan sehingga transaksi-transaksi
semacam itu tidak diproses. Seluruh koreksi atas kesalahan yang terjadi yang
dimasukkan ke dalam sistem harus mengikuti urut-urutan yang sama dengan prosedurprosedur sebelum adanya kesalahan, yaitu otorisasi, verifikasi, dan sebagainya.
Pengendalian penanganan kesalahan mencakup :
a. Identifikasi atas sebab-sebab penolakan serta penelaahan terhadap sebab-sebab
penolakan tersebut,
b. Penelaahan dan persetujuan perbaikannya,
c. Pemrosesan kembali (re-entry) sesegera mungkin ke dalam sistem.
Yang termasuk dalam pengendalian ini antara lain :

a. Error log, dalam kaitannya dengan pengendalian penanganan kesalahan, fungsi

control group adalah membuat pencatatan mengenai kesalahan yang terjadi
(error log) guna mencatat semua data masukan yang ditolak, menyelidiki, dan
memperbaiki kesalahan sesegera mungkin. Error log harus ditelaah secara
reguler.
b. Suspended file, teknik data yang ditunda pelaksanaannya ini digunakan untuk
memberikan jaminan bahwa kesalahan yang terjaid telah dikoreksi dan
diserahkan kembali ke bagian PDE untuk diproses ulang. Kesalahan dalam data
yang ditunda pelaksanaannya tersebut akan tetap di dalam data sampai
diperbaiki dan ditelaah secara reguler.
c. Laporan kesalahan, tujuannya untuk mengidentifikasi mengenai catatan yang
ada, kesalahan dalam data, serta sebab-sebabnya. Laporan kesalahan ini
biasanya dikirimkan kepada departemen pemakai dengan maksud agar
kesalahan tersebut diperbaiki, kemudian data yang semua salah dikirimkan
kebali kepada departemen EDP untuk diproses.

ndalian d
Gambar 11.3 Jenis-jenis Pengendalian Input
11.3.1.2. Ancaman dan Pengendalian pada Proses
Ancaman pada proses sistem informasi memiliki pengaruh yang besar
terhadapkeamanan sistem informasi. Apalagi kesalahan proses baik yang dilakukan secara
sengaja maupun tidak sengaja dapat mempenbgaruhi output yang dihasilkan dan
menyebabkan sistem informasi menjadi tidak valid. Processing controls dilaksanakan
setelah data memasuki sistem dan program-program aplikasi mengolah data tersebut.

Pengendalian atas proses dimaksudkan untuk memperoleh jaminan yang memadai bahwa
:
1. Informasi atau data diolah sebagaimana mestinya oleh komputer,
2. Informasi atau data tidak hilang, ditambah, digandakan, atau diubah tidak
semestinya,
3. Informasi atau data yang keliru ditolak, dikoreksi, dan jika perlu, dimasukkan
kembali secara tepat waktu.
Sedangkan pengendalian pada proses untuk sistem yang on-line dimaksudkan
untuk memperoleh jaminan yang memadai bahwa :
1. Hasil perhitungan telah diprogram dengan benar,
2. Logika yang digunakan dalam proses pengolahan adalah benar,
3. File dan record yang digunakan dalam proses pengolahan adalah benar,
4. Operator telah memasukkan data ke komputer console yang semestinya,
5. Tabel yang digunakan selama proses pengolahan adalah benar,
6. Selama proses pengolahan telah digunakan standar operasi (default) yang
semestinya,
7. Data yang tidak sah tidak digunakan dalam proses pengolahan,
8. Proses pengolahan tidak menggunakan program dengan versi yang salah,
9. Hasil penghitungan yang dilakukan secara otomatis oleh program adalah sesuai
dengan kebijakan manajemen satuan usaha,
10. Data masukan yang diolah adalah data yang berotorisasi.
Dengan adanya pengendalian proses, maka pemrosesan data di dalam sistem akan
lengkap, akurat, dan tidak mengandung kesalahan-kesalahan seperti :
1. Informasi atau data gagal diproses , baik tidak seluruhnya diproses maupun
memproses tidak sebagaimana mestinya,
2. Informasi atau data yang diproses salah atau yang bukan seharusnya diproses,
3. Informasi atau data yang diproses tidak logis atau tidak wajar,
4. Informasi atau data yang diproses hilang atau terdistorsi.
Teknik pengendalian pada proses
1. Mempertahankan Keakuratan Data
a. Batch control totals,Teknik ini dimaksudkan untuk mendeteksi adanya data
yang hialang atau data yang tidak terproses. Jenis pengendalian ini meliputi
batch totals, hash totals, dan record count.Record count menghitung jumlah
transaksi yang diproses. Hasilnya digunakan untuk membandingkan dengan
jumlah transaksi yang sebenarnya. Misal, seorang pembeli dapat
membandingkan antara jumlah barang yang dibelinya dnegan angka yang
tercantum dalam tanda terima dari kas register tersebut.
b. Run-to-run control totals, Seperti halnya dalam pengendalian transmisi
data, teknik pengendalian ini digunakan untuk mencocokan jumlah
transaksi yang diproses dengan jumlah masukan atau keluaran transaksi.
c. Transaction log, Sebagaimana disebutkan sebelumnya, transaction log
mencatat semua informasu transaksi seperti fungsi, operator, waktu,
identifikasi terminal, dan nomor pengendalian transaksi. Transaction log
ini dapat pula berfungsi sebagai audit trail karena ia mencatat segala
aktivitas yang terjadi dengan komputer tersebut.

d. Fullback procedures, Befungsi untuk mengumpulkan dan mengendalikan

transaksi yang mestinya telah diproses apabila sistem tersebut beroperasi.
Artinya, ketika sistem tidak beroperasi maka transaksi-transaksi tersebut
dikumpulkan dan dikendalikan sehingga pada saat sistem beroperasi
kembali maka transaksi-transaksi tersebut tidak tercecer atau hilang.
e. Restart procedures, Prosedur ini dimaksudkan untuk memulai pemakai
kembali sistem (restart) setelah terjadinya pemberhentian aktivitas
(shutdown).
f. Recovery procedures, Prosedur ini dimaksudkan untuk mempersiapkan
apabila terjadi bencana.
2. Programmed Limit and Reasonableness Test
Dalam kaitannya dengan pengendalian menurut tujuannya, maka programmed
limit and reasonableness tests termasuk dalam jenis pengendalian detektif.
Teknik-teknik yang ada antara lain :
a. Check Digit,
b. Sign Check,
c. Numerin and alphabetic check,
d. Logic check,
e. Limit and reasonableness checks,
f. Zero balancing check,Maksud pengujian ini adalah untuk emmbuktikan
bahwa dua jumlah dalam pembukuan yang dilakukan mempunyai angka
yang sama sehingga apabila kedua jumlah tersebut dikurangkan akan
menghasilkan selisih sebesar nol. Misal, debet VS kredit atau jumlah
rincian VS jumlah yang dirinci.
g. Crossfooting check, tujuan dari penjumlah ke samping (crossfooting)
adalah untuk mengetahui apakah penjumlah ke bawahnya (footing) telah
benar.
h. Overflow check, Pengendalian ini digunakan untuk menentukan apakah
besarnya hasil perhitungan pemrosesan melebihi besarnya register yang
dialokasikan untuk menyimpannya.
3. File Controls
Dalam kaitannya dengan pengendalian menurut tujuannya, maka file controls
termasuk dalam jenis pengendalian detektif. Data-data informasi yang ada harus
dikendalikan selain untuk tujuan pencegahan dari pemakaian oleh orang yang
tidak mempunyai otorisasi juga untuk tujuan-tujuan pengendalian atas
pengolahan sebagai berikut :
Teknik-teknik dalam File Controls :
1. Penggunaan label eksternal, Label eksternal biasanya digunakan untuk terhadap
pita, disk, dan data kartu seperti halnya dengan pemberian nomor dan nama
(indeks) pada buku-buku perpustakaan. Akan tetapi perlu diperhatikan bahwa
label eksternal seharusnya tidak secara jelas mencantumkan keterangan nama
data tersebut sehingga apabila seseorang ingin mengambil data tersebut maka ia

tidak akan terlalu mudah untuk mengetahui bahwa suatu gal berisi pita video
tertentu.
2. Penggunaan label internal, Selain label eksternal, data juga diberi label internal
yang hanya dapat dibaca dengan bantuan komputer. Untuk itu diperlukan
adanya program aplikasi untuk menguji header dan trailer labe internal.
3. Teknik lock-out, Dalam sistem on-line sering digunakan teknik ini yang
bertujuan untuk mencegah agar tidak terjadi pemutakhiran data secara simultan
oleh beberapa pemakai secara sekaligus. Artinya, apabila seseorang tengah
memutakhirkan data maka meskipun data yang digunakan adalah on-line akan
tetapi pemakai lainnya tidak dapat memutakhirkan data yang sama.
4. Teknik rekonsiliasi, Teknik ini mengaitkan dau menghubungkan jumlah record
sebelum perubahan, setalah perubahan, dan jumlah perubahan itu sendiri.
Laporan yang isi dari data induk sebelum dilakukan pengubahan (before image)
dan sesudah dilakukan pengubahan (after image) perlu dibuat dan harus ditelaah
oleh supervisor.

Gambar 11.4 Jenis-jenis Pengendalian pada Proses

11.3.1.3. Ancaman dan Pengendalian pada Output
Ancaman Internal terhadap sistem informasi juga terjadi pada tahap output atau
keluaran hasil dari informasi. Pengendalian atas keluaran (output controls) dimaksudkan
untuk menetapkan bahwa data yang diproses adalah lengkap, akurat, dan didistribusikan
kepada pihak-pihak yang berhak serta tepat waktu.
Pengendalian ini dimaksudkan untuk memberikan keyakinan yang memadai
bahwa :
1. Hasil pengolahan adalah cermat,

2. Akses terhadap output dibatasi hanya bagi karyawan yang telah mendapat
otorisasi,
3. Output disediakan secara tepat waktu bagi karyawan yang telah mendapat
otorisasi semestinya.
Sementara itu, output controls pada sistem on-line dimaksudkan untuk
memberikan keyakinan bahwa :
1. Keluaran yang diterima oleh satuan usaha adalah tepat dan lengkap,
2. Keluaran yang diterima oleh satuan usaha diklasifikasikan dengan benar,
3. Keluaran didistribusikan kepada pegawai yang mempunya otorisasi.
Teknik pengendalian pada ouitput
1. Rekonsiliasi keluaran dengan masukan dan pengolahan, akan diperoleh jaminan
bahwa masukan telah diproses dengan benar sehingga hasilnya juga benar.
Rekonsiliasi harus dilakukan oleh control group dan departemen pemakan
dengan menggunakan laporan rekonsiliasi yang telah terprogram ataupun secara
manual dengan car amembandingkan jumlah di dalam keluaran dengan jumlah
pengendalian masukan (input control totals). Disamping itu, transaction log
secara reguler juga harus dibandingkan dengan catatan transaksi pada setiap alat
keluaran.
2. Penelaahan dan pengujian hasil-hasil pemrosesan, dapat berupa:
Penelaahan, penyelidikan, dan pengendalian terhadap laporan-laporan
tentang ketidakberesan yang terjadi (exception reports) yang biasanya
dilakukan oleh control group,
Pembandingan keluaran dengan dokumen asalnya,
Penelaahan secara hati-hati terhadap daftar revisi data induk yang biasanya
mencakup pencarian terhadap pos-pos yang tidak biasa atau tidak normal.
3. Pendistribusian output, antara lain
Output hanya didistribusikan kepada para pemakai yang memperoleh
otorisasi,
Pendistribusian tersebut harus dilakukan secara tepat waktu,
Hanya output yang diperlukan saja yang didistribusikan.
Selain itu, cover yang menunjukkan keluaran tersebut (distribution register atau
report distributn logs) sebaiknya menyebutkan identifikasi pemakainya guna
menghindari pemakaian laporan oleh pihak-pihak yang tidak mempunyai
otorisasi. Tanggal penerimaan dan nama penerima hendaknya dicatat secara
reguler setiap keluaran didistribusikan.
4. Record Retention,antara lain:
Menjaga jangka waktu pencatatan tertentu untuk menjaga keamanan
keluaran,
Menghindari rekonstruksi yang tidak perlu terhadap data,
Mengurangi biaya perlengkapan (supplies) dan bahan bagi departemen
EDP,

untuk mengendalikan keluaran-keluaran yang sudah tidak diperlukan lagi

(laporan yang sudah tidak dipakai lagi harus dihancurkan).

Gambar 11.5 Jenis-jenis Pengendalian pada output

11.3.2. Ancaman dan Pengendalian Eksternal
Ancaman eksternal merupakan ancaman keamanan untuk bisnis yang berasal dari
luar organisasi berupa perusahaan lain yang memiliki produk yang sama dengan produk
perusahaan kita atau disebut juga pesaing usaha atau hal-hal lain yang dapat mengancam
keamanan informasi.
Kontrol untuk menghadapi ancaman eksternal baru mulai bekerja jika serangan
terhadap keamanan terdeteksi sedangkan biasanya kontrol untuk menghadapi ancaman
internal dibuat untuk memprediksi gangguan keamanan yang mungkin terjadi.Selain itu
Tidak semua ancaman berasal dari perbuatan yang disengaja , banyak diantaranya karena
ketidaksengajaan atau kebetulan.
11.3.2.1. Ancaman Eksternal
Malicious software, atau malware terdiri atas program-program lengkap atau
segmen-segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi
yang tidak diharapkan oleh pemilik system. Fungsi-fungsi tersebut dapat menghapus
file,atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jensi peranti lunak yang
berbahaya, yakni:
11.3.2.1.1. Perangkat Lunak Berbahaya (Virus, Worm, Trojan Horse)
Dalam dunia komputer dikenal jenis perangkat lunak yang disebut "perangkat
lunak perusak" (malacious software atau malware), terdiri dari program atau segmen kode
yang menyerang sistem dan melakukan fungsi perusakan. Terdapat banyak jenis perangkat
lunak perusak selain virus, di antaranya worm dan Trojan horses.

1. Virus
Virus adalah program komputer yang dapat mereplikasi dirinya tanpa dapat diamati
oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector
lain. Virus berupa penggalan kode dan menempelkan ke berkas program yang dapat
dieksekusi. Selanjutnya salinan virus ini akan menjadi aktif manakala program yang
terinfeksi dijalankan. Beberapa virus hanya sekedar nampang, namun sejumlah virus bisa
menjadi sangat berbahaya karena akan menghapus berkas-berkas dengan ekstensi tertentu
dan bahkan dapat memformat harddisk, menghancurkan program atau data, menyumbat
memori komputer, atau membuat program bekerja tidak sebagimana mestinya. Virus
biasanya menyebar saat pemakai menggandakan arsip atau file yang telah terinfeksi.
Virus komputer biasanya memasuki sistem e-mail dan lampiran file lewat internet
serta layanan online atau melalui proses duplikasi software yang ilegal. Berbagai software
yang di download langsung dari internet dapat merupakan sumber virus. Virus akan
menduplikasi dirinya sendiri ke dalam berbagai file dari sistem operasi komputer,
kemudian akan menyebar ke memori utama dan menduplikasi ke dalam hard disk. Virus
juga menyebar melalui e-mail, transfer file atau aktivitas telekomunikasi lainnya. Untuk
menghindari virus, sebaiknya pemakai harus cermat dalam penggunaan software ilegal dan
juga harus teratur menggunakan program antivirus yang dapat membantu diagnosis serta
menyingkirkan virus komputer dari berbagai file yang terinfeksi.
Untuk mengurangi terjangkitnya virus, administrator sistem harus melakukan tiga
kontrol berupa preventif, detektif dan korektif sebagaimana berikut:
a. Preventif
Menggunakan salinan perangkat lunak atau berkas yang berisi makro yang
benar benar bersih (sumber data yang terpercaya)
Menghindari pemakaian perangkat lunak freeware atau shareware dari
sumber yang tidak terpercaya.
Menghindari pengambilan berkas yang mengandung makro dari sumber
yang tidak jelas (non official)
Memeriksa program baru atau berkas berkas baru yang mengandung makro
dengan antiviru yang belum di aktifkan
Menyadarkan pada setiap pemakai untuk waspada terhadap virus
Secara berkala meng-update anti virus yang digunakan agar
memaksimalkan kinerja antivirus tersebut dan menghindarkan dari serangan
virus-virus jenis baru.
b. Detektif
Secara rutin menjalankan program antivirus untuk mendeteksi infeksi virus
Melakukan pembandingan ukuran ukuran berkas untuk mendeteksi
perubahan ukuran pada berkas
Melakukan pembandingan tanggal berkas untuk mendeteksi perubahan
tanggal pada berkas
c. Korektif
Memastikan backup data yang bersih
Memiliki rencana terdokumentasi tentang pemulihan dari infeksi virus

Menjalankan program antivirus untuk memperbaiki program atau data yang

telah terinveksi
2. Worm (cacing)
Worm adalah Program yang tidak dapat mereplikasikan dirinya sendiri di dalam
sistem, tetapi dapat menyebarkan salinannya melalui e-mail atau dengan kata lain
merupakan program perangkat lunak independen yang menggandakan dirinya sendiri dari
satu komputer ke komputer lainnya melalui sebuah jaringan. Tidak seperti virus, worm
dapat mengoperasikan dirinya sendiri tampa harus mengikatkan diri pada arsip program
komputer dan tidak banyak bergantung pada perilaku pemakai untuk menyebarkannya dari
satu komputer ke komputer lainnya. Worm merusak dan mengacaukan data bahkan dapat
menghentikan operasional jaringan komputer.
Contoh worm yang terkenal adalah yang diciptakan oleh Robert Morris pada tahun
1988. Program yang dibuatnya dapat menyusup ke jaringan yang menghubungkan
Massachusets Institute of Technology, perusahaan RAND, Ames Research Center-nya
NASA, dan sejumlah universitas di Amerika. Worm ini telah menyebar ke 6000 komputer
sebelum akhirnya terdeteksi.
3. Trojan Horses
Trojan Horses adalah program yang dirancang agar dapat digunakan untuk
menyusup ke dalam sistem. Sebagai contoh, trojan horses dapat menciptakan pemakai
dengan wewenang suupervisor atau super-user. Pemakai inilah yang nantinya dipakai
untuk menyusup ke dalam sistem informasi trojan ini tidak dapat mereplikasi atau
mendistribusikan dirinya sendiri, si pamakai menyebarkan sebagai suatu perangkat. Pada
saat perangkat itu digunakan, perangkat itu menghasilkan perubahan perubahan yang tidak
diinginkan dalam fungsionalitas sistem tersebut. Contoh kuda Trojan yang terkenal adalah
program Machintosh yang bernama Sexy Ladu HyperCard yang pada tahun 1998
membawa korban dengan janji menyajikan gambar-gambar erotis. Sekalipun janjinya
dipenuhi, program ini juga menghapus data pada komputer-komputer yang memuatnya.
11.3.2.1.2. Hacker Dan Crakers
Hacker pada hakekatnya adalah orang-orang yang dapat dikategorikan sebagai
programmer yang pandai dan senang meng-utak-utik sesuatu yang dirasakan sebagai
penghalang terhadap apa yang ingin dicapainya. Bagi seorang hacker perlindungan
terhadap sistem komputer adalah tantangan, mereka akan mencari cara bagaimana bisa
menembus password, firewall, access-key dan sebagainya. Walau demikian hacker bisa
dibedakan atas dua golongan, golongan putih (white hat) dan golongan hitam (black hat).
Golongan putih biasanya tidak memiliki niat jahat, mereka melakukan penyusupan
hanya untuk memuaskan rasa ingin tahu atau untuk memuaskan kemampuan
programming-nya dalam menembus penghalang yang ada, atau hanya untuk mencari tahu
kelemahan sistem pertahanan komputer sehingga bisa membuat pertahanan yang lebih
baik. Golongan hitam melakukan penyusupan paling tidak untuk mencuri rahasia dari
sistem komputer, dan kalau perlu merusak data atau merusak sistem yang sedang berjalan.

Cracker adalah orang-orang yang menembus pertahanan keamanan sistem

komputer untuk merusak, mencari keuntungan pribadi dan merugikan pemilik sistem
komputer. Hacker golongan hitam sebenarnya bisa dikategorikan sebagai cracker.
Hacker dan Cracker keduanya tetap melakukan tindakan yang melanggar aturan
yaitu menembus pertahanan keamanan sistem komputer karena tidak mendapat hak akses.
Seorang hacker umunya bermaksud untuk mendapatkan akses tidak sah ke
komputer sistem. Dalam komunitas hacker, istilah cracker biasanya digunakan untuk
menunjukkan seorang hacker dengan maksud kriminal, meskipun dalam pers umum,
persyaratan hacker dan cracker digunakan secara bergantian. Hacker dan cracker
memperoleh sah akses dengan mencari kelemahan dalam perlindungan keamanan yang
dipekerjakan oleh Situs web dan sistem komputer, sering mengambil keuntungan dari
berbagai fitur Internet yang membuatnya sistem terbuka yang mudah digunakan.
Berbagai teknik yang digunakan untuk melakukan hacking:
1. Spoofing dan Sniffing
Hacker mencoba untuk menyembunyikan identitas mereka yang sebenarnya sering
spoof, atau menggambarkan sendiri dengan menggunakan alamat e-mail palsu atau
menyamar sebagai orang lain. Sebuah Sniffer adalah jenis program penyadapan yang
memonitor informasi bepergian melalui jaringan. Ketika digunakan secara sah, sniffer
membantu mengidentifikasi potensi titik masalah jaringan atau kegiatan kriminal pada
jaringan, tetapi ketika digunakan untuk tujuan kriminal, mereka dapat merusak dan
sangat sulit untuk mendeteksi.
2. Denial-of-Service
Dalam denial-of-service (DoS), hacker banjir server jaringan atau Web server dengan
ribuan komunikasi palsu atau permintaan untuk layanan kecelakaan jaringan. Jaringan
menerima begitu banyak permintaan yang tidak dapat menjaga dengan mereka dan
dengan demikian tidak tersedia untuk melayani permintaan yang sah. Sebuah
didistribusikan denial-of-service (DDoS) serangan menggunakan banyak komputer
untuk menggenangi dan membanjiri jaringan dari berbagai titik peluncuran. Serangan
yang bertujuan untuk menggagalkan pelayanan sistem jaringan kepada pengguna-nya
yang sah, misalnya pada sebuah situs e-commerce layanan pemesanan barang selalu
gagal, atau user sama sekali tidak bisa login, daftar barang tidak muncul atau sudah
diacak, dsb. Bentuk serangan yang lebih parah disebut DDoS (Distributed Denial of
Service) dimana berbagai bentuk serangan secara simultan bekerja menggagalkan
fungsi jaringan.
3. Pencurian identitas
Pencurian identitas adalah kejahatan di mana seorang penipu memperoleh potongan
kunci informasi pribadi, seperti identifikasi jaminan sosial nomor, nomor SIM, atau
nomor kartu kredit, untuk menyamar orang lain. Informasi yang dapat digunakan
untuk memperoleh kredit, barang, atau jasa atas nama korban atau untuk memberikan
pencuri dengan mandat palsu.
4. Ancaman global: Cyberterrorism dan cyberwarfare
Kegiatan cybercriminal meluncurkan malware, penolakan-ofservice serangan, dan
phishing probe-yang tanpa batas. Sifat global Internet memungkinkan untuk penjahat
cyber untuk mengoperasikan-dan merugikan negara mana saja di dunia. Cyberattacks

seperti mungkin menargetkan perangkat lunak yang berjalan grid listrik listrik, sistem
kontrol lalu lintas udara, atau jaringan dari bank-bank besar dan lembaga keuangan
kerentanan internet telah mengubah individu dan bahkan keseluruhan negara menjadi
target mudah bagi pembajakan yang didasari oleh motif politik untuk melakukan
sabotase dan spionase. Cyberwarfare adalah kegiatan yang disponsori negara yang
dirancan untuk melumpuhkan dan mengalahkan negara bagian atau negara lain
dengan melakukanpenetrasi pada komputer atau jaringan yang bertujuan untuk
menyebabkan kerusakan dan gangguan. Cyberwarfare memiliki ancaman serius
terhadap infrastruktur masyarakat modern, apalagi ketika sebagian besar kegiatan
keuangan, kesehatan, pemerintahan dan institusi terkait industri bergantung pada
internet untuk operasional sehari-hari.
5. Click Fraud (Klik Penipuan)
Klik penipuan terjadi ketika program individu atau komputer curang mengklik iklan
online tanpa niat belajar lebih banyak tentang pengiklan atau melakukan pembelian.
Klik penipuan telah menjadi masalah serius di Google dan situs lainnya yang
menampilkan bayar per-klik iklan online.
6. Back Door
Suatu serangan (biasanya bersumber dari suatu software yang baru di instal) yang
dengan sengaja membuka suatu pintu belakang bagi pengunjung tertentu, tanpa
disadari oleh orang yang meng-instal software, sehingga mereka dengan mudah masuk
kedalam sistem jaringan.
7. Man in the Middle
Seorang penyerang yang menempatkan dirinya diantara dua orang yang sedang
berkomunikasi melalui jaringan, sehingga semua informasi dari sua arah melewati,
disadap, dan bila perlu diubah oleh penyerang tersebut tanpa diketahui oleh orang
yang sedang berkomunikasi.
8. Replay
Informasi yang sedang didistribusikan dalam jaringan dicegat oleh penyerang, setelah
disadap ataupun diubah maka informasi ini disalurkan kembali ke dalam jaringan,
seakan-akan masih berasal dari sumber asli.
9. Session Hijacking
Sessi TCP yang sedang berlangsung antara dua mesin dalam jaringan diambil alih
oleh hacker, untuk dirusak atau diubah.
10. DNS Poisoning
Hacker merubah atau merusak isi DNS sehingga semua akses yang memakai DNS
ini akan disalurkan ke alamat yang salah atau alamat yang dituju tidak bisa diakses.
11. Brute Force
Suatu usaha untuk memecahkan kode password melalui software yang menggunakan
berbagai teknik kombinasi.
12. Software Exploitation
Suatu usaha penyerangan yang memanfaatkan kelemahan atau bug dari suatu
software, biasanya setelah kebobolan barulah pembuat software menyediakan hot
fix atau Service pack untuk mengatasi bug tersebut.
13. War Dialing

Pelacakan nomer telepon yang bisa koneksi ke suatu modem sehingga

memungkinkan penyerang untuk masuk kedalam jaringan.
14. SYN flood
Serangan yang memanfaatkan proses hand-shaking dalam komunikasi melalui
protokol TCP/IP, sehingga ada kemungkinan dua mesin yang berkomunikasi akan
putus hubungan.
15. Ping of Death
Suatu usaha untuk mematikan suatu host/komputer dengan cara mengirim paket
besar melalui ping, misalnya dari command-line dari Window ketik: ping l 65550
192.168.1.x
16. Port Scanning
Usaha pelacakan port yang terbuka pada suatu sistem jaringan sehingga dapat
dimanfaatkan oleh hacker untuk melakukan serangan.
17. Unicode
Serangan terhadap situs web melalui perintah yang disertakan dalam url http,
misalnya : http://www.xxxx.com/scripts/..%c1%9c../cmd1.exe?/ c+echo..
18. SQL Injectio
Serangan yang memanfaatkan karakter khusus seperti dan or yang memiliki arti
khusus pada SQL server sehingga login dan password bisa dilewati.
19. XSS
Cross site scripting, serangan melalui port 80 (url http) yang memanfaatkan
kelemahan aplikasi pada situs web sehingga isi-nya bisa diubah (deface).
11.3.2.2. Pengendalian Ancaman Eksternal
Pengendalian adalah mekanisme yang diterapkan baik untuk melindungi sistem
informasi dari risiko atau untuk meminimalkan dampak risiko tersebut pada perusahaan
jika risiko tersebut terjadi. Pengendalian terhadap ancaman eksternal kebanyakan
pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak, yang paling
populer akan dijelaskan sebagai berikut:
11.3.2.2.1. Firewall
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan.
Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan
dengan jaringan internal perusahaan yang berisikan data sensitif dan sistem informasi.
Fungsi Firewall sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari
perusahaan tersebut dan internet. Firewall mencegah pengguna yang tidak sah mengakses
jaringan pribadi. firewall adalah kombinasi dari hardware dan software yang mengontrol
aliran lalu lintas jaringan masuk dan keluar.

Gambar 11.6 Lokasi Firewall di Jaringan

Konsep dibalik firewall adalah dibuatnya suatu pengaman untuk semua komputer
pada jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing
computer.
Ada tiga jenis firewall, yaitu:
1. Firewall Penyaring Paket.
Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router
diposisikan antara Internet dan jaringan internal, maka router dapat berlaku sebagai
firewall. Router dilengkapi dengan table data dan alamat-alamat IP yang
menggambarkan kebijakan penyaringan. Untuk masing-masing transmisi, router
mengakses table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari
beberapa lokasi Internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah
serangkaian empat angka (masing-masing dari 0 ke 255) yang secara unik
mengidentifikasi masing-masing computer yang terhubung dengan Internet. Salah satu
keterbasan router adalah router hanya merupakan titik tunggal keamanan, sehingga
jika hacker dapat melampuinya perusahaan tersebut bisa mendapatkan masalah. IP
spoofing, yaitu menipu table akses router, adalah dalah satu metode yang digunakan
untuk pembajak untuk menipu router.
2. Firewall Tingkat Sirkuit.
Salah satu peningkatan keamanan dari router adalah firewall tingkat sirkuit yang
terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan medium
komunikasi (sirkuit) daripada router. Pendekatan ini memungkinkan tingkat
autentifikasi dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router.
Namun, keterbatasan dari titik tunggal keamanan tetap berlaku.
3. Firewall Tingkat Aplikasi.

Firewall ini berlokasi antara router dan computer yang menajlankan aplikasi tersebut.
Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah
permintaan diautentifikasi sebagai permintaan yang berasal dari jaringan yang
diotorisasi (tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan paket),
aplikasi tersebut dapat memnita informasi autentifikasi yang lebih jauh seperti
menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan memeriksa
apakah permintaan tersebut berlangsung selama jam-jam kerja biasa. Meskipun
merupakan jenis firewall yang paling efektif, firewall ini cenderung untuk mengurangi
akses ke sumber daya. Masalah lain adalah seorang programmer jaringan harus
penulis kode program yang spesifik untuk masing-masing aplikasi dan mengubah
kode tersebut ketika aplikasi ditambahkan, dihapus, dimodifikasi.
11.3.2.2.1. Systrust dan Webtrust
SysTrust dan WebTrust merupakan bagian dari Trust Service, dimana trust service
berfungsi untuk memberikan assurance services, advisory services atau keduanya bagi
sistem teknologi informasi dan e-commerce. Hanya akuntan public yang bersertifikasi
(CPAs) dan mendapatkan lisensi dari AICPA yang dapat memberikan assurance services
atas Trust Services, yang berupa opini Trust Services, WebTrust atau SysTrust dan laporan
WebTrust atau SysTrust.
WebTrust Menjawab Pernyataan akuntan terhadap kepedulian yang berkaitan dengan
perdagangan elektronik. WebTrust didasarkan pada Prinsip pelayanan Kepercayaan dan
standar-standar, yang mana merupkan pedoman professional dan Penyedian sebagai
latihan-latihan terbaik untuk perdagangan elektronik.
Prinsip-prinsip dan kriterian yang digunakan oleh CPAs untuk membuat range atau
batasan dalam pemberian assurance services adalah :
1. Security,Apakah sistem yang digunakan perusahaan aman dan memiliki
perlindungan dari akses yang tidak legal.
2. Privacy,Apakah informasi yang diberikan customer ditangani dan dijamin
kerahasiaannya, walaupun transaksi telah selesai.
3. Availability,Apakah system dapat digunakan dengan baik seperti yang
seharusnya.
4. Confidentiality,Apakah informasi yang diberikan kepada customer benar-benar
dapat dipertanggungjawabkan atau benar adanya.
5. Processing Integrity,Apakah transaksi yang dilaksanakan oleh perusahaan
benar-benar dilakukan secara komplit, akurat, tepat waktu dan terjamin.
Prinsip-prinsip dan kriteria pada SysTrust :
1. Security,Apakah system yang digunakan aman dan memiliki perlindungan dari
akses-akses yang tidak dikehendaki.
2. Availability,Apakah system yang tersedia untuk operasi dan digunakan pada
waktu yang ditentukan dalam pernyataan atau perjanjian tingkat jasa
3. Processing Integrity,Apakah transaksi yang dilakukan perusahaan dilaksanakan
dengan baik dan terjamin dari segi waktu, akurat, dan kelengkapannya.

4. Confidentiality, Apakah informasi yang didapat oleh customer benar adanya dan
dapat dipertanggungjawabkan, serta system yang ada dapat diinovasi apabila
diperlukan dan terus memberikan keamanan dan integritas system.
Walaupun WebTrust dan SysTrus sama-sama bagian dari Trust Services yang
memiliki fungsi untuk memberikan jaminan atas e-commerce dan system teknologi
informasi, tapi memiliki perbedaan.
Perbedaan yang mendasar adalah objek pemberian assurance servicesnya. Pada
webtrust, objeknya adalah resiko pada e-commerce. Webtrust dikembangkan untuk
mengatasi masalah keraguan yang mungkin timbul akibat resiko-resiko yang menyertai
usaha dibidang e-commerce. Sedangkan systrust memiliki objek assurance services pada
reliabilitas system. Apakah system yang digunakan suatu perusahaan layak atau tidak
dalam bisnis yang dilakukannya.
Objek yang berbeda ini menimbulkan beberapa perbedaan, salah satunya adalah
klien berbeda. Pada webtrust klien yang ditangani hanya perusahaan e-commerce,
sedangkan systrust menangani klien e-commerce dan non e-commerce. Serta stempel
penjamin webtrust harus ditampilkan pada web-site perusahaan untuk jaminan atas
keseluruhan kelayakan usahanya, sedangkan stempel systrust pada suatu web-site hanya
memberi jaminan atas kelayakan system yang digunakan oleh perusahaan tersebut.
11.3.2.2.3. Pengendalian Kriptografis
Kriptografi adalah suatu ilmu yang mempelajari teknik-teknik matematika yang
berhubungan dengan aspek keamanan informasi seperti kerahasiaan data, keabsahan data,
integritas data, serta autentikasi data. Ketika suatu pesan dikirim dari suatu tempat ke
tempat lain, isi pesan tersebut mungkin dapat disadap oleh pihak lain yang tidak berhak.
Agar pesan tidak terbaca, maka pesan tersebut dapat diubah menjadi suatu kode yang tidak
dapat dimengerti oleh pihak lain

Gambar 11.7 Sistem Kriptografi

Suatu sistem kriptografi terdiri dari sebuah algoritma, seluruh kemungkinan
plainteks, cipherteks dan kunci-kuncinya. Sistem kriptografi merupakan suatu fasilitas
untuk mengkonversikan plainteks menjadi cipherteks, dan sebaliknya .Enkripsi adalah
proses dimana informasi atau data yang hendak dikirim, diubah menjadi bentuk yang
hampir tidak dapat dikenali sebagai informasi pada awalnya dengan menggunakan

algoritma tertentu, dapat diartikan Enkripsi adalah sebuah proses penyandian yang
melakukan perubahan sebuah kode (pesan) dari yang bisa dimengerti (plainteks) menjadi
sebuah kode yang tidak bisa dimengerti (cipherteks). Sedangkan proses kebalikannya
untuk mengubah cipherteks menjadi plainteks disebut dekripsi dengan kata lain deskripsi
mengubah kembali bentuk yang disamarkan menjadi informasi awal.
Ada empat tujuan mendasar dari ilmu kriptografi ini yang juga merupakan aspek
keamanan informasi yaitu :
1. Kerahasiaan, adalah layanan yang digunakan untuk menjaga isi dari informasi
dari siapapun kecuali yang memiliki otoritas atau kunci rahasia untuk
membuka/mengupas informasi yang telah disandi.
2. Integritas data, adalah berhubungan dengan penjagaan dari perubahan data
secara tidak sah. Untuk menjaga integritas data, sistem harus memiliki
kemampuan untuk mendeteksi manipulasi data oleh pihak-pihak yang tidak
berhak, antara lain penyisipan, penghapusan, dan pensubsitusian data lain
kedalam data yang sebenarnya.
3. Autentikasi, adalah berhubungan dengan identifikasi/pengenalan, baik secara
kesatuan sistem maupun informasi itu sendiri. Dua pihak yang saling
berkomunikasi harus saling memperkenalkan diri. Informasi yang dikirimkan
melalui kanal harus diautentikasi keaslian, isi datanya, waktu pengiriman, dan
lain-lain.
4. Non-repudiasi., atau nirpenyangkalan adalah usaha untuk mencegah terjadinya
penyangkalan terhadap pengiriman/terciptanya suatu informasi oleh yang
mengirimkan/membuat.
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang
menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi
dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika seseorang yang tidak
memiliki otorisasi memperoleh akses enkripsi tersebut akan membuat data dan informasi
yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.
Dengan pertumbuhan Internet dan perdagangan elektronik yang sangat pesat,
enkripsi data (kriptografi) telah menjadi pengendali yang sangat penting. Kriptografi
adalah ilmu kode rahasia dan digunakan untuk memastikan bahwa transmisi data dan
transaksi perdagangan elektronik membatasi akses data atau penggunaan untuk
personil yang mcmiliki otorisasi, melindungi data dari pihak yang tidak memiliki
otorisasi, dan menentukan, dengan kepastian yang hampir absolut siapa yang
mengirim pesan.
Penyimpanan dan transmisi data dapat dilindungi dari pemakaian secara ilegal
melalui kriptografi. Kriptografi juga dapat diartikan sebagai penyusunan dan penggunaan
kode dengan proses-proses matematika, sehingga pemakai ilegal hanya akan mendapatkan
data berbentuk kode yang tidak dapat dibaca.

Teknik kriptografi atau lebih sederhananya dikenal sebagai proses penyandian ini
dilakukan dengan menggunakan sejumlah algoritma matematik yang dapat memiliki
kemampuan serta kekuatan untukmelakukan:
1. konfusi atau pembingungan, merekonstruksi teks yang terang atau mudah
dibaca menjadi suatu format yang membingungkan, dan tidak dapat
dikembalikan ke bentuk aslinya tanpa menggunakan algoritma pembalik
tertentu;
2. difusi atau peleburan, melakukan mekanisme tertentu untuk menghilangkan
satu atau sejumlah karakteristik dari sebuah teks yang terang atau mudah
dibaca.
Sejumlah studi memperlihatkan bahwa di dunia nyata kehandalan sebuah
algoritma bukan terletak pada kerahasiaan algoritma itu sendiri namun berada pada
kuncinya. Secara prinsip algoritma yang dimaksud hanya melakukan dua proses
transformasi yaitu:enkripsi dan dekripsi Adapun kunci yang dimaksud biasa dikenal
sebagai istilah sederhana password, yang dalam implementasinya dapat berupa
serangkaian campuran antara huruf, angka, dan simbol hingga yang berbentuk biometrik
seperti sidik jari, retina mata, karakter suara, suhu tubuh, dan berbagai kombinasi lainnya.
Kriptografi meningkat popularitasnya sejalan dengan perkembangan penggunaan
e-commerce, dan protokol khusus yang ditujukan untuk aplikasi kriptografi telah
dikembangkan. Salah satunya adalah SET (Secure Electronic Transactions/Pengaman
Transaksi Elektronik) yang melakukan pemeriksaan keamanan menggunakan tanda tangan
digital. Penggunaan tanda tangan rangkap ini lebih efektif dibandingkan dengan
penggunaan nomor seri seperti yang terdapat pada kartu kredit. Dengan meningkatnya
popularitas e-commerce dan pengembangan teknologi enkripsi yang berkesinambungan,
penggunaan enkripsi diperkirakan akan meningkat walaupun ada pembatasan-pembatasan
yang dilakukan pemerintah. Perhatian yang cukup besar akhir-akhir ini ditujukan pada
enkripsi yang dilakukan pemerintah, yang mengkhawatirkan pengodean tersebut
digunakan untuk menutupi aktivitas kriminal atau terorisme. Beberapa pembatasan telah
dikenakan dengan penggunaak enkripsi. Saat ini, tidak terdapat pembatasan untuk impor
software dari negara-negara asing namun terdapat pembatasan pada ekspornya. Dengan
meningkatnya popularitas e-commerce dan perrkembangan teknologi enkripsi yang
berkelanjutan, penggunaanya diharapkan untuk meningkat di dalam batasan peraturan
pemerintah.

KESIMPULAN
Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga
seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari
ancaman baik dari dalam atau dari luar. Istilah keamanan sistem informasi digunakan
untuk mengambarkan perlindungan baik peralatan komputer dan nonkomputer, fasilitas,
data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Aktivitas
untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan
informasi (information security management ISM ), sedangkan aktivitas untuk menjaga
agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana
disebut manajemen keberlangsungan bisnis (bussiness continuity management BCM).
Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini
dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko
yang dihadapinya.
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang,
organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal
serta eksternal dan bersifat disengaja dan tidak disengaja.
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai
potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman
keamanan informasi. E-Commerce memperkenalkan suatu permasalahan keamanan baru.
Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan
dari pemalsuan kartu kredit. Pengendalian (control) adalah mekanisme yang diterapkan
baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko

tersebut pada perusahaan jika resiko tersebut terjadi. Pengendalian terhadap ancaman
internal dibagi menjadi tiga yaitu pengendalian pada input, pengendalian pada proses dan
pengendalian pada output. Sedangkan untuk ancaman eksternal berupa gangguan
perangkat lunak yang bisa disebabkan oleh virus, worm , trojan dan lainnya serta ancaman
yang di sebakan oleh pencusrian data (hacker) dapat dilakukan pengendalian dengan
pemamfaatan firewall, systrust dan webtrust serta pengendalian kriptografis. Pengendalian
ini dapat memperkecil risiko keamanan informasi.

DAFTAR PUSTAKA

Efraim Turban, Linda Volonino, 2010, Information Technology for Management, 7th
Edition, John Wiley & Son Inc., United States
Raymond Mcleod Jr, George P. Schell, 2008, Sistem Informasi Manajemen, Edisi
Kesepuluh, Salemba Empat, Jakarta.
Kadir, Abdul, 2013, Pengenalan Sistem Informasi, Edisi Revisi, CV. Andi, Yogyakarta.
Hill, Mc Graw, 2008, Pengantar Sistem Informasi, Perspektif Bisnis dan Manajerial, Edisi
Dua Belas, Salemba Empat, Jakarta.
Ferdinand Aruan, Tugas Keamanan Jaringan Informasi (Dosen. Dr. Budi Rahardjo)
Tinjauan Terhadap ISO 17799 - Program Magister Teknik Elektro Bidang Khusus
Teknologi Informasi Institut Teknologi Bandung 2003.
Sany

Asyari,
Keamanan
Jaringan
Berdasarkan
ISO
17799,
http://sanyasyari.com/2006/09/26/keamanan-jaringan-berdasarkan-iso-17799/ 26
September 2006.

https://kampuskeuangan.wordpress.com/2011/07/19/pengendalian-aplikasi-dalam-auditpde/

http://faithgun.blogspot.co.id/2011/06/jenis-jenis-ancaman-terhadap-sitem.html