Keamanan Sistem Informasi
Keamanan Sistem Informasi
Desain sistem
Implementasi sistem
Operasi, evaluasi, dan pengendalian sistem
Tujuan
Analisis kerentanan sistem dalam arti mengacu
yang relevan dan eksposur kerugian yang
terkait dengan ancaman tersebut.
Desain ukuran keamanan dan rencana
kontingensi untuk mengendalikan eksposur
kerugian yang teridentifikasi.
Menerapkan ukuran keamanan seperti yang
telah didesain.
Mengoperasikan
sistem
dan
menaksir
efektivitas dan efisiensi.
Membuat perubahan sebagaimana diperlukan
sesuai dengan kondisi yang ada
Tujuan fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan laporan
analisis kerentanan dan ancaman. Tujuan fase kedua adalah untuk mendesain serangkaian
ukuran pengendalian risiko yang komprehensif, termasuk ukuran keamanan untuk mencegah
kerugian dan rencana kontingensi untuk menangani kerugian pada saat kerugian tersebut
harus terjadi. Secara kolektif, keempat fase tersebut disebut manajemen risiko sistem
informasi.Manajemen risiko sistem informasi merupakan proses untuk menaksir dan
mengendalikan risiko sistem komputer.
Analisis sistem
Pencurian data
Kecurangan dan
serangan virus
Sabotase
Perubahan file
Perubahan program
Pencurian peralatan
Bencana alam
manajer gagal melihat masalah di masa yang akan datang terkait dengan virus komputer.
Lebih jauh, dalam upaya menaksir probabilitas terjadinya serangan yang disengaja terhadap
suatu sistem, seseorangan harus mengestimasi biaya dan manfaat serangan semacam ini bagi
penyerang. Estimasi ini memerlukan asumsi mengenai preferensi risiko penyerang. Sebagai
contoh, seorang penyerang mungkin bersedia untuk menerima risiko yang lebih besar
dibandingkan dengan penyerang lain untuk mendapatkan sejumlah dollar yang
sama. Penyerang yang sangat suka risiko mungkin akan bersedia menerima risiko sangat
besar untuk mendapatkan sedikit upah.
Metode kedua yang dapat digunakan untuk menaksir risiko keamanan komputer
adalah pendekatan kualitatif. Pendekatan ini secara sederhana merinci daftar kerentanan
dan ancaman terhadap sistem, kemudian secara subjektif maranking item-item tersebut
berdasarkan kontribusi setiam item tersebut terhadap total eksposur kerugian perusahaan.
Baik pendekatan kualitatif maupun pendekatan kuantitatif sering digunakan di dalam praktik.
Banyak perusahaan mengombinasikan kedua pendekatan tersebut. Apa pun metode yang
dipakai, analisis eksposur kerugian tersebut harus mencakup area berikut ini:
Interupsi bisnis
Kerugian perangkat lunak
Kerugian data
Kerugian perangkat keras
Kerugian fasilitas
Kerugian jasa dan personel
Jika pendekatan kuantitatif digunakan, biaya dapat diestimasi menggunakan satu dari banyak
metode, termasuk replacement cost, service denial, kewajiban kepada pihak ketiga (yang
disebabkan oleh ketidakmampuan perusahaan memenuhi suatu kontrak), dan interupsi bisnis.
masalah kejahatan komputer. Banyak negara bagian telah mengeluarkan statula kriminal guna
menentang kejahatan komputer. Computer Fraud and Abuse Act Tahun 1986 menyatakan
akses tidak legal yang dilakukan dengan sengaja terhadap data yang disimpan dalam
komputer lembaga keuangan, komputer yang dimiliki atau digunakan oleh pemerintah
federal, atau komputer yang beroperasi dalam perdagangan terbatas merupakan sebuah
kejahatan federal. Pencurian password untuk akses komputer juga dilarang. Tindakan
kriminal ditentukan oleh kerugian perangkat lunak senilai $1,000 atau lebih; pencurian
barang berwujud, jasa, atau uang; atau akses tanpa atau dengan perubahan terhadap catatan
medis. Denda tanpa mencapai $250,000 atau dua kali lipat nilai data yang dicuri, dan pelaku
utama dapat dikenai hukuman penjara satu sampai dengan lima tahun.
National Commission on Fraudulent Financial Reporting (Treadway Commission)
mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan manajemen
merupakan kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk
menipu investor dan kreditor melalui pelaporan keuangan yang menyesatkan. Kecurangan
semacam ini dilakukan oleh mereka yang memiliki posisi cukup tinggi di dalam organisasi
sehingga memungkinkan mereka melanggar pengendalian akuntansi. Memang bisa saja
manajemen melakukan kesalahan lain yang memiliki potensi untuk merugikan karyawan atau
investor, namun biasanya istilah kecurangan namajemen mengacu pada manipulasi laporan
keuangan.
Undang-Undang Keamanan Komputer Internasional
Canada
Kode Kriminal 301.2 (1). Penggunaan Komputer tanpa Otoritas legal,
menetapkan pinalti criminal sampai dengan 10 tahun untuk kecurangan
penggunaan jasa komputer atau penyadapan sinyal atau fungsi komputer.
Denmark
Kode Kriminal Pasal 263, Akses ke Informasi Orang Lain, menetapkan
penalti kriminal sampai dua tahun atas akses tidak legal terhadap
informasi atau program pengolahan data orang lain.
Firlandia
Penal Provision of Personal Registers Act,1987, Pasal 45, Personal
Registers Trespass, menetapkan penalti kriminal sampai enam bulan atas
penggunaan kode pengguna lain atau sarana kecurangan untuk mengakses
data personal yang disimpan dalam pemrosesan data komputer.
Perancis
Undang-Undang Nomor 88-19, Kode Kriminal, Bab 111, Artikel 462-2
sampai 9, menetapkan penalti kriminal sampai tiga tahun atas akses illegal
terhadap pemalsuan, modifikasi atau penghapusan data, atau penggunaan
data yang diperoleh dari sistem pemrosesan data yang terotomatisasi.
Switserland
Kode Kriminal Pasal 147, Kecurangan Penggunaan Sistem Pengolahan
Data, menetapkan penalti kriminal sampai 10 tahun atas kesengajaan
menambah atau menghapus record data dengan tujuan untuk kepentingan
diri sendiri.
Gambar 5.2 Undang-Undang Keamanan Komputer Internasional
Treadway Commission mendefinisikan kejahatan pelaporan keuangan sebagai perilaku
sengaja atau tidak sengaja, entah dengan melakukan sesuatu atau lalai melakukan sesuatu,
yang menghasilkan laporan keuangan yang secara material menyesatkan. Komisi memelajari
456 kasus siding terhadap auditor. Kecurangan manajemen ditemukan pada separuh dari total
kasus tersebut. Komisi mengamati bahwa sistem informasi berbasis komputer menggandakan
potensi penyalahgunaan atau rekayasa informasi sehingga meningkatkan risiko kecurangan
dalam peloporan keuangan.
Pengguna
Pengguna terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang
lain karena area fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak
pengguna memiliki akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing
perusahaan. Dalam beberapa kasus, pengguna memiliki kendali terhadap input komputer
yang cukup penting, seperti memo kredit, kredit rekening, dan lain sebagainya.
Penyusup
Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak yang legal
merupakan penyusup. Penyusup yang menyerang sistem informasi sebagai sebuah
kesenangan dan tantangan dikenal dengan namahacker.
Tipe lain dari penyusup mencakup:
1. Unnoticed Intruder Seorang pelanggan bisa berjalan masuk ke dalam area yang tidak dijaga
dan melihat data yang sensitif di dalam komputer personal yang sedang tidak ada orangnya.
Seorang hacker bisa saja masuk ke dalam sistem dan merusak website perusahaan.
2. Wiretapper Sebagian besar dari informasi diproses oleh komputer perusahaan melewati
kabel. Sebagian informasi ditransmisikan hanya dari satu ruang ke ruang lain. Informasi yang
lain mungkin saja ditransmisikan antarnegara melalui internet. Jaringan ini rentan terhadap
canggih pun harus menjadi korban. Hampir setiap hari media keuangan secara terus menerus
melaporkan kasus hacker yang berhasil mengambil alih Website perusahaan.
Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan
sumber daya komputer organisasi untuk kepentingan pribadi. Luasnya permasalahan tersebut,
seperti tipe kejahatan komputer yang lain, tidak terlalu diketahui. Namun, sangat mungkin
masalah ini terjadi di banyak perusahaan.
E. Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian.
Pembangu-nan lingkungan pengendalian yang bagus tergantung pada tujuh faktor yaitu:
1. Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang
tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Tidak
peduli seberapa canggih suatu sistem, pasti selalu ada cara untuk mengganggu keamanan
sistem. Oleh karena itu, garis pertahanan yang utama adalah suasanan kesadaran akan
pentingnya keamanan. Menciptakan suasana semacam ini dapat dilakukan dengan banyak
cara.
Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuan
pendidikan keamanan adalah agar setiap karyawan memiliki kepedulian terhadap keamanan.
Keamanan harus diperlakukan dengan sangat serius. Semua pelanggaran harus
mengakibatkan adanya rasa bersalah dalam diri karyawan. Mereka yang memegang tanggung
jawab harus memberikan teladan yang baik.
Peraturan keamanan harus selalu dimonitor. Jika tidak, sistem akan mudah dilupakan.
Hubungan yang baik harus selalu dibina dengan seluruh karyawan. Moral yang rendah dapat
menyeb abkan tingginya probabilitas terjadinya kecurangan. Komunikasi yang baik dengan
karyawan dapat mengurangi masalah rendahnya moral.
2. Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya diorganisasi
di bawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan
fungsi pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputasi. Hal ini
menimbulkan banyak masalah dalam upaya membuat dan menjaga pola otoritas dan
wewenang yang jelas. Satu hal yang penting adalah, harus dibuat satu garis wewenang yang
3.
4.
5.
6.
7.
jelas untuk menentukan siapa yang bertanggung jawab mengambil keputusan terkait dengan
perangkat lunak akuntansi dan prosedur akuntansi. Harus ada orang yang bertanggung jawab
terhadap sistem keamanan komputer.
Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui
pemilihan auditor internal. Idealnya, auditor internal seharusnya memiliki pengalaman yang
baik terkait dengan keamanan komputer dan bertindak sebagai chief computer security
officer. Dalam situasi apa pun, individu-individu tersebut harus melapor secara periodic
kepada komite audit mengenai semua fase sistem keamanan komputer.
Aktivitas Pengendalian Manajemen
Penting untuk membangun pengendalian terkait dengan penggunaan dan pertanggung
jawaban semua sumber daya sistem komputer dan informasi.
Fungsi Audit Internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi
kebutuhan yang terus berubah. Chief security officer harus membangun kebijakan keamanan
yang relevan dengan sistem yang ada saat ini dan relevan dengan perubahan sistem yang
terjadi. Semua modifikasi sistem, baik perangkat keras, perangkat lunak, atau personalia,
harus diimplementasikan sesuai dengan kebijakan keamanan yang telah dibuat.
Kebijakan dan Praktik Personalia
Pemisahan tugas, supervise yang memadai, rotasi pekerjaan, vakasi wajib, dan penge-cekan
ganda semua merupakan praktik personalia yang penting. Peraturan yang terpenting
barangkali adalah memisahkan pekerjaan pengguna komputer dan persona-lia sistem
komputer.
Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hokum dan regulasi local, federal, dan
Negara bagian. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data,
termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka,
personalia dan pemerintah. Hukum dan regulasi ini juga mengatur pengiriman informasi ke
negara lain.
F. Keamanan Internet
Topik mengenai keamanan internet menuntut perhatian khusus karena koneksi perusahaan
dengan internet memberi peluang bagi perusahaan untuk menjadi sasaran setiap hacker yang
ada di dunia. Internet menciptakan jendela elektronik bagi dunia luar yang mengeliminasi
semua isolasi fisik sumber daya informasi perusahaan. Oleh karena itu, semua lapisan
pemisahan fisik yang terkait dengan pendekatan akses berlapis guna menciptakan keamanan
sistem, tidak sepenuhnya dapat mengamankan sistem informasi perusahaan. Kerentanan
terkait dengan internet dapat muncul akibat kelemahan-kelemahan berikut ini:
1. Kerentanan Sistem Operasi
Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya, setiap kelemahan
di dalam keamanan sistem operasi juga menjadi kelemahan keamanan web server. Untuk
alasan inilah administrator keamanan harus pertama dan terpenting mengamankan sistem
operasi.
Masalahnya, tidak ada sistem operasi yang bebas dari serangan. Hacker selalu menemukan
kelemahan baru di dalam sistem operasi. Oleh karena itu, administrator harus secara konstan
memonitor bulletin keamanan yang dipublikasikan oleh vendor sistem operasi dan oleh jasa
2.
3.
4.
5.
advisory pihak ketiga. Sebagai contoh, Microsoft selalu memperbarui informasi keamanan
untuk Windows melalui webside perusahaan di www.microsoft.com/.
Kerentanan Web Server
Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu
memonitor buletin terkait dengan informasi dan pembaruan keamanan perihal konfigurasi
web server. Pengawasan informasi terkini semacam ini penting karena web server dan web
browser lebih sering mengalami pembaruan dibandingkan sistem operasi.
Kerentanan Jaringan Privat
Ketika web server ditempatkan pada suatu komputer host yang terkoneksi ke berbagai
komputer melalui suatu LAN, akan timbul suatu risiko, Hacker dapat menyerang satu
komputer melalui satu komputer yang lain. Jika pengguna komputer memiliki akses ke
komputer yang memiliki host web server, maka hacker pertama kali akan masuk ke dalam
komputer pengguna. Kemudian, hacker akan menggunakan hak akses penggu-na yang asli
untuk melakukan invasi ke dalam komputer host web server.
Kerentanan Berbagai Program Server
Banyak komputer host suatu web server tidak hanya menjalankan web server, tetapi juga
server-server yang lain, seperti FTP server (untuk transfer file dari dank e komputer lain), email server, dan remote control server (yang memungkinkan komputer yang lokasinya jauh
mengendalikan komputer host). Yang menjadi masalah adalah setiap tambahan server
merupakan satu tambahan risiko. Cacat keamanan terkait dengan salah satu server dapat
menjadi pintu masuk bagi hacker untuk menyerang semua server yang lain dan samua file di
dalam komputer, bahkan komputer-komputer lain yang terhubung ke server dalam LAN.
Prosedur Keamanan Umum
Suasana keamanan yang secara keseluruhan baik merupakan satu hal yang penting. Perangkat
lunak keamanan yang terbaik di dunia tidaka akan banyak membantu jika administrator
sistem tidak menegakkan kebijakan keamanan.
Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana dapat
dikurangi atau dihindari dengan kebijakan keamanan yang baik.
Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan
dan perencanaan keamanan yang baik. Sistem elektronik dan mekanik yang memadai untuk
menangani kebakaran, banjir, dan intrusi merupakan satu hal yang penting. Sistem semprotan
air dapat membahayakan komponen elektronik. Banyak perusahaan menggunakan sistem
pemadam api yang berbasis sesuatu selain air, seperti gas, busa, atau bedak.
KESIMPULAN
Sistem keamanan sistem informasi merupakan subsistem organisasi yang berperan
mengen-dalikan risiko khusus terkait dengan sistem informasi terkomputerisasi. Sistem
keamanan dikembangkan dengan menerapkan pendekatan siklus hidup tradisional, seperti
analisis sistem, desain sistem, implementasi sistem, serta operasi, evaluasi, dan pengendalian
sistem.
Ada dua pendekatan utama untuk menganalisis kerentanan dan ancaman sistem dalam
perencanaan keaman komputer. Dalam pendekatan kuantitatif untuk menaksir risiko, seperti
eksposur kerugian dihitung dengan mengalikan biaya kerugian setiap item eksposur dengan
probabilitas terjadinya eksposur tersebut. Pendekatan kualitatif guna menaksir risiko
mendaftar dan meranking (secara subjektif) tingkat kerentanan dan ancaman sistem, dengan
tujuan untuk menentukan kontribusi item eksposur terhadap kerugian perusahaan secara total.
Kerentanan adalah suatu kelemahan dan sistem komputer, dan ancaman adalah potensi
eksploitasi suatu kerentanan. Berbagai hukum, regulasi, dan publikasi mengarah kepada
masalah kejahatan komputer. Keberhasilan serangan terhadap suatu sistem komputer
mensyaratkan akses ke perangkat keras, file data yang sensitive, atau program-program yang
penting. Setiap orang yang punya akses keperalatan data komputer atau file tanpa otorisasi
legal, adalah penyusup. Ada berbagai jenis penyusup, seperti: unnoticed intruder,
impersonating intruder, wiretapper, piggybacker, dan eavesdropper. Paling tidak ada enam
cara untuk melakukan kejahatan komputer, yaitu manipulasi input, pengubahan program,
pengubahan file secara langsung, pencurian data, sabotase, dan penyalagunaan atau pencurian
sumber daya komputer.
Sabotase merupakan satu hal yang sangat berbahaya bagi setiap instalasi sistem. Ada
banyak cara untuk merusak instalasi. Program komputer dapat digunakan untuk menjalankan
sabotase. Masalah yang potensial adalah bom logika, kuda Troya, program virus, dan worm.
Pengendalian ancaman dapat dilakukan dengan mengimplementasikan ukuran-ukuran
keamanan dan peren-canaan kontingensi. Ukuran keamanan fokus pada pencegahan dan
pendeteksian ancaman. Perencanaan kontingensi fokus pada perbaikan kerusakan sebagai
dampak terjadinya suatu ancaman. Lingkungan pengendalian organisasi merupakan dasar
keefektifan seluruh sistem pengendalian.
Cara utama yang dapat ditempuh untuk mencegah terjadinya kecurangan dan sabotase
adalah dengan menerapkan pengendalian akses berlapis.
Pengelolaan risiko bencana mencakup pencegahan dan perencanaan kontingensi.
Pencegahan bencana merupakan langkah pertama pengelolaan risiko bencana. Rencana
pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam perusahaan.
Rencana tersebut disetujui oleh komite dewan direksi sebagai bagian dari perencanaan
keamanan komputer secara umum.
DAFTAR PUSTAKA
George
H. Bodnar
ANDI
dan
William
S. Hopwood, Sistem
Yogyakarta, 2006
Informasi
Akuntansi,Edisi
9,