KEAMANAN SISTEM INFORMASI

1. Keamanan Sistem Informasi: Sebuah Tinjauan

Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas
mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem keamanan
informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database,
prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan
pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, dan
digunakan untuk menghasilkan laporan.

A. Siklus Hidup Sistem Keamanan Informasi

Sistem keamanan elektronik merupakan sebuah sistem informasi. Oleh karena itu, pengembangan sistem keamanan juga perlu mengacu pada pendekatan siklus hidup sistem. Sistem
kea-manan komputer dikembangkan dengan menerapkan metode analisis, desain,
implementasi, serta operasi, evaluasi, dan pengendalian. Tujuan setiap tahap siklus hidup ini
adalah sebagai berikut.
Fase Siklus Hidup
Analisis sistem

Desain sistem

Implementasi sistem
Operasi, evaluasi, dan pengendalian sistem

Tujuan
Analisis kerentanan sistem dalam arti mengacu
yang relevan dan eksposur kerugian yang
terkait dengan ancaman tersebut.
Desain ukuran keamanan dan rencana
kontingensi untuk mengendalikan eksposur
kerugian yang teridentifikasi.
Menerapkan ukuran keamanan seperti yang
telah didesain.
Mengoperasikan
sistem
dan
menaksir
efektivitas dan efisiensi.
Membuat perubahan sebagaimana diperlukan
sesuai dengan kondisi yang ada

Tujuan fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan laporan
analisis kerentanan dan ancaman. Tujuan fase kedua adalah untuk mendesain serangkaian
ukuran pengendalian risiko yang komprehensif, termasuk ukuran keamanan untuk mencegah
kerugian dan rencana kontingensi untuk menangani kerugian pada saat kerugian tersebut
harus terjadi. Secara kolektif, keempat fase tersebut disebut manajemen risiko sistem
informasi.Manajemen risiko sistem informasi merupakan proses untuk menaksir dan
mengendalikan risiko sistem komputer.

B. Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security
officer (CSO). Individu tersebut harus melaporkan langsung pada dewan direksi demi
terciptanya independensi. Tugas utama CSO adalah memberikan laporan kepada dewan
direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari
siklus hidup.
Fase Siklus Hidup

Laporan kepada Dewan Direksi

Analisis sistem

Sebuah ringkasan terkait dengan semua

eksposur kerugian yang relevan.
Desain sistem
Rencana detail mengenai pengendalian dan
pengelolaan kerugian, termasuk anggaran
sistem keamanan secara lengkap.
Implementasi sistem, operasi, evaluasi, dan Mengungkapkan secara spesifik kinerja sistem
pengendalian sistem
keamanan, termasuk kerugian dan pelanggaran
keamanan yang terjadi, analisis kepatuhan,
serta biaya operasi sistem keamanan.

C. Menganalisis Kerentanan dan Ancaman

Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem. Pendekatan
kuantitatif untuk manaksir risiko menghitung setiap eksposur kerugian sebagai hasil kali
biaya kerugian setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut.
Sebagai contoh, asumsikan bahwa sebuah kerugian dapat digambarkan sebagai suatu faktor
risiko antara 0 dan 1. Kemudian laporan analisis ancaman, sebagi contoh ditunjukkan pada
Gambar 5.1. Dalam contoh tersebut, pencurian data merupakan eksposur kerugian terbesar,
diikuti dengan kecurangan dan serangan virus (serangan yang diakibatkan oleh program
komputer yang memang didesain untuk menyabotase file-file penting).
Manfaat terbesar dari analisis semacam ini adalah ia dapat menunjukkan bahwa ancaman
yang paling mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar. Sebagai
contoh, pada Gambar 5.1, ancaman yang paling banyak terjadi adalah pencurian peralatan
sistem informasi, tetapi tingkat eksposur kerugian akibat ancaman tersebut bisa dikatakan
paling kecil.

Pencurian data
Kecurangan dan
serangan virus
Sabotase
Perubahan file
Perubahan program
Pencurian peralatan
Bencana alam

Laporan Analisis Ancaman

Kerugian Potensial ($)
Risiko
700.000.000
0.050
1.200.000.000
0.025
2.500.000.000
0.010
400.000.000
0.050
80.000.000
0.020
15.000.000
0.100
100.000.000
0.008
Gambar 5.1 Laporan Analisis Ancaman

Eksposur Kerugian ($)

35.000.000
30.000.000
25.000.000
20.000.000
1.600.000
1.500.000
800.000

Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir

eksposur kerugian. Pertama, mengidentifikasi biaya yang relevan untuk setiap item kerugian
dan menaksir probabilitas terjadinya eksposur tersebut merupakan hal yang sulit. Biaya yang
relevan untuk satu kerugian adalah turunnya profitabilitas perusahaan sebagai akibat
terjadinya kerugian tersebut. Tetapi, biaya tersebut sulit diestimasi karena estimasi
melibatkan estimasi biaya interupsi bisnis yang sulit diprediksi atau estimasi biaya
penggantian komputer yang hanya dapat diganti dengan model baru yang sebenarnya tidak
sebanding dengan komputer lama. Yang kedua, mengestimasi kemungkinan terjadinya suatu
kerugian melibatkan peramalan masa yang akan datang, yang sangat sulit khususnya dalam
lingkungan teknologi yang mengalami perubahan sangat cepat. Sebagai contoh, banyak

manajer gagal melihat masalah di masa yang akan datang terkait dengan virus komputer.
Lebih jauh, dalam upaya menaksir probabilitas terjadinya serangan yang disengaja terhadap
suatu sistem, seseorangan harus mengestimasi biaya dan manfaat serangan semacam ini bagi
penyerang. Estimasi ini memerlukan asumsi mengenai preferensi risiko penyerang. Sebagai
contoh, seorang penyerang mungkin bersedia untuk menerima risiko yang lebih besar
dibandingkan dengan penyerang lain untuk mendapatkan sejumlah dollar yang
sama. Penyerang yang sangat suka risiko mungkin akan bersedia menerima risiko sangat
besar untuk mendapatkan sedikit upah.
Metode kedua yang dapat digunakan untuk menaksir risiko keamanan komputer
adalah pendekatan kualitatif. Pendekatan ini secara sederhana merinci daftar kerentanan
dan ancaman terhadap sistem, kemudian secara subjektif maranking item-item tersebut
berdasarkan kontribusi setiam item tersebut terhadap total eksposur kerugian perusahaan.
Baik pendekatan kualitatif maupun pendekatan kuantitatif sering digunakan di dalam praktik.
Banyak perusahaan mengombinasikan kedua pendekatan tersebut. Apa pun metode yang
dipakai, analisis eksposur kerugian tersebut harus mencakup area berikut ini:
Interupsi bisnis
Kerugian perangkat lunak
Kerugian data
Kerugian perangkat keras
Kerugian fasilitas
Kerugian jasa dan personel
Jika pendekatan kuantitatif digunakan, biaya dapat diestimasi menggunakan satu dari banyak
metode, termasuk replacement cost, service denial, kewajiban kepada pihak ketiga (yang
disebabkan oleh ketidakmampuan perusahaan memenuhi suatu kontrak), dan interupsi bisnis.

2. Kerentanan dan Ancaman

Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancamanmerupakan suatu
potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman: aktif
dan pasif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase
komputer. Ancaman pasifmencakup kegagalan sistem, termasuk bencana alam, seperti
gempa bumi, banjir, kebakaran, dan angin badai. Kegagalan sistem menggambarkan
kegagalan komponen peralatan sistem, seperti kegagalan harddisk, matinya aliran listrik, dan
lain sebagainya.

A. Tingkat Keseriusan Kecurangan Sistem Informasi

Kejahatan berbasis komputer merupakan bagian dari masalah umum kejahatan kerah putih.
Masalah kejahatan kerah putih merupakan masalah yang serius. Statistik menunjukkan bahwa
kerugian perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat suap,
perampokan, dan pencurian. Hal ini mungkin mengejutkan karena kita jarang membaca
kejahatan semacam ini di dalam media massa. Hal ini terjadi karena di sebagian besar kasus,
kecurangan yang terdeteksi jarang diajukan ke meja hijau karena bisa membuat public
mengetahui kelemahan pengendalian internal perusahaan. Manager enggan berhadapan
dengan sisi negative publisitas yang bisa menimbulkan penghakiman masyarakat.
Keamanan sistem informasi merupakan masalah internasional. Banyak negara
memiliki undang-undang yang ditujukan pada masalah keaman komputer (lihat Gambar 5.2).
Di Amerika Serikat, berbagai undang-undang, regulasi, dan publikasi ditunjukan pada

masalah kejahatan komputer. Banyak negara bagian telah mengeluarkan statula kriminal guna
menentang kejahatan komputer. Computer Fraud and Abuse Act Tahun 1986 menyatakan
akses tidak legal yang dilakukan dengan sengaja terhadap data yang disimpan dalam
komputer lembaga keuangan, komputer yang dimiliki atau digunakan oleh pemerintah
federal, atau komputer yang beroperasi dalam perdagangan terbatas merupakan sebuah
kejahatan federal. Pencurian password untuk akses komputer juga dilarang. Tindakan
kriminal ditentukan oleh kerugian perangkat lunak senilai $1,000 atau lebih; pencurian
barang berwujud, jasa, atau uang; atau akses tanpa atau dengan perubahan terhadap catatan
medis. Denda tanpa mencapai $250,000 atau dua kali lipat nilai data yang dicuri, dan pelaku
utama dapat dikenai hukuman penjara satu sampai dengan lima tahun.
National Commission on Fraudulent Financial Reporting (Treadway Commission)
mengaitkan kecurangan manajemen dengan kejahatan komputer. Kecurangan manajemen
merupakan kecurangan yang dengan sengaja dilakukan oleh manajemen dengan tujuan untuk
menipu investor dan kreditor melalui pelaporan keuangan yang menyesatkan. Kecurangan
semacam ini dilakukan oleh mereka yang memiliki posisi cukup tinggi di dalam organisasi
sehingga memungkinkan mereka melanggar pengendalian akuntansi. Memang bisa saja
manajemen melakukan kesalahan lain yang memiliki potensi untuk merugikan karyawan atau
investor, namun biasanya istilah kecurangan namajemen mengacu pada manipulasi laporan
keuangan.
Undang-Undang Keamanan Komputer Internasional
Canada
Kode Kriminal 301.2 (1). Penggunaan Komputer tanpa Otoritas legal,
menetapkan pinalti criminal sampai dengan 10 tahun untuk kecurangan
penggunaan jasa komputer atau penyadapan sinyal atau fungsi komputer.
Denmark
Kode Kriminal Pasal 263, Akses ke Informasi Orang Lain, menetapkan
penalti kriminal sampai dua tahun atas akses tidak legal terhadap
informasi atau program pengolahan data orang lain.
Firlandia
Penal Provision of Personal Registers Act,1987, Pasal 45, Personal
Registers Trespass, menetapkan penalti kriminal sampai enam bulan atas
penggunaan kode pengguna lain atau sarana kecurangan untuk mengakses
data personal yang disimpan dalam pemrosesan data komputer.
Perancis
Undang-Undang Nomor 88-19, Kode Kriminal, Bab 111, Artikel 462-2
sampai 9, menetapkan penalti kriminal sampai tiga tahun atas akses illegal
terhadap pemalsuan, modifikasi atau penghapusan data, atau penggunaan
data yang diperoleh dari sistem pemrosesan data yang terotomatisasi.
Switserland
Kode Kriminal Pasal 147, Kecurangan Penggunaan Sistem Pengolahan
Data, menetapkan penalti kriminal sampai 10 tahun atas kesengajaan
menambah atau menghapus record data dengan tujuan untuk kepentingan
diri sendiri.
Gambar 5.2 Undang-Undang Keamanan Komputer Internasional
Treadway Commission mendefinisikan kejahatan pelaporan keuangan sebagai perilaku
sengaja atau tidak sengaja, entah dengan melakukan sesuatu atau lalai melakukan sesuatu,
yang menghasilkan laporan keuangan yang secara material menyesatkan. Komisi memelajari
456 kasus siding terhadap auditor. Kecurangan manajemen ditemukan pada separuh dari total
kasus tersebut. Komisi mengamati bahwa sistem informasi berbasis komputer menggandakan
potensi penyalahgunaan atau rekayasa informasi sehingga meningkatkan risiko kecurangan
dalam peloporan keuangan.

B. Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi

Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file
data yang sensitive, atau program yang kritis. Tiga kelompok individu-personal sistem,
pengguna, dan penyusup-memiliki perbedaan kemampuan untuk mengakses hal-hal tersebut
di atas. Personal sistem kerap kali merupakan ancaman potensial karena mereka diberi
berbagai kewenangan akses terhadap data dan program yang sensitive. Pengguna,di sisi lain,
hanya diberi akses terbatas (sempit), tetapi mereka masih memiliki cara untuk melakukan
kecurangan. Penyusup tidak diberi akses sama sekali, tetapi mereka sering merupakan orangorang yang sangat cerdas yang bisa menimbulkan kerugian yang sangat besar pada
perusahaan.

Personal Sistem Komputer

Personal sistem meliputi:
1. Personal Pemeliharaan Sistem Personal pemeliharaan sistem menginstalperangkat keras dan
perangkat lunak, memperbaiki perangkat keras, dan membetulkan kesalahan kecil di dalam
perangkat lunak.
2. Programer Programer sistem sering menulis program untuk memodifikasi dan memperluas
sistem operasi jaringan. Programer aplikasi bisa saja membuat modifikasi yang tidak
diharapkan terhadap program yang ada saat ini atau menulis program baru guna menjalankan
hal-hal yang tidak semestinya.
3. Operator Jaringan Individu yang mengamati dan memonitor operasi komputer dan jaringan
komunikasi disebut operasi jaringan.
4. Personal Administrasi Sistem Informasi Supervisor sistem menempati posisi kepercayaan
yang sangat tinggi. Orang ini biasanya memiliki akses ke rahasia keamanan, file, program,
dan lain sebagainya.
5. Karyawan Pengendali Data Mereka yang bertanggung jawab terhadap penginputan data ke
dalam komputer. Posisi ini memberi peluang bagi karyawan untuk melakukan manipulasi
data input.

Pengguna
Pengguna terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang
lain karena area fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak
pengguna memiliki akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing
perusahaan. Dalam beberapa kasus, pengguna memiliki kendali terhadap input komputer
yang cukup penting, seperti memo kredit, kredit rekening, dan lain sebagainya.

Penyusup
Setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak yang legal
merupakan penyusup. Penyusup yang menyerang sistem informasi sebagai sebuah
kesenangan dan tantangan dikenal dengan namahacker.
Tipe lain dari penyusup mencakup:
1. Unnoticed Intruder Seorang pelanggan bisa berjalan masuk ke dalam area yang tidak dijaga
dan melihat data yang sensitif di dalam komputer personal yang sedang tidak ada orangnya.
Seorang hacker bisa saja masuk ke dalam sistem dan merusak website perusahaan.
2. Wiretapper Sebagian besar dari informasi diproses oleh komputer perusahaan melewati
kabel. Sebagian informasi ditransmisikan hanya dari satu ruang ke ruang lain. Informasi yang
lain mungkin saja ditransmisikan antarnegara melalui internet. Jaringan ini rentan terhadap

kemungkinan wiretapping (penyadapan). Penyadapan ini bisa dilakukan, bahkan dengan

peralatan yang tidak mahal seperti sebuah tape recorder dan sepotong kabel yang
memungkinkan terjadinya penyadapan tanpa ada indikasi bahwa sedang terjadi penyadapan.
3. Piggybacker Salah satu jenis penyadapan canggih, dengan metode ini, penyadap menyadap
informasi legal dan menggantinya dengan informasi yang salah.
4. Impersonating Intruder Adalah individu-individu tertentu yang bertujuan melakukan
kecurangan terhadap perusahaan. Salah satu tipe penyusup menggunakan user ID dan
password yang diperoleh dengan cara yang tidak legal untuk mengakses sumber daya
elektronik perusahaan.
5. Eavesdroppers CRT (cathode-ray tubes) standar yang banyak digunakan di unit display video
menghasilkan interferensi elektomagnetik pada suatu frekuensi yang dapat ditangkap sengan
seperangkat televisi sederhana.

C. Ancaman Aktif pada Sistem Informasi

Manipulasi Input
Dalam banyak kasus kejahatan komputer, manipulasi input merupakan metode yang biasa
digunakan. Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa
saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.
Mengubah Program
Mengubah program mungkin merupakan metode yang paling jarang digunakan untuk
melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena
dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas.
Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat
digunakan untuk mendeteksi adanya perubahan dalam program.
Mengubah File Secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong proses
normal untuk menginputkan data ke dalam program komputer. Jika hal ini terjadi, hasil yang
dituai adalah bencana.
Pencurian Data
Pencurian data merupakan salah satu masalah yang cukup serius dalam dunia bisnis hari ini.
Dalam industri dengan tingkat persaingan yang sangat tinggi, informasi kuantitatif dan
kualitatif terkait dengan salah seorang pesaing merupakan salah satu informasi yang cukup
diburu. Pengadilan sejak lama telah mengakui bahwa data yang tersimpan dalam komputer
perusahaan merupakan data pribadi yang tidak dapat digunakan tanpa izin dari perusahaan
yang bersangkutan. Lebih jauh, individu-individu dengan akses terhadap e-mail, dapat
dengan mudah menyalin informasi rahasia dan mengirim informasi tersebut ke luar
perusahaan lewat internet. Dengan menggunakan metode tersebut, penyusup dapat mencuri
sejumlah besar informasi hanya dalam hitungan menit.
Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah komputer atau
perangkat lunak dapat menyebabkan kebangkrutan suatu perusahaan. Karyawan yang tidak
puas, khususnya yang telah dipecat, biasanya merupakan pelaku sabotase utama. Sabotase
telah menjadi isu besar dalam perdagangan web. Pada satu sisi, biaya tahunan yang
dikeluarkan untuk keamanan elektronik lebih dari $6 miliar. Pda sisi lain, keberhasilan hacker
menyerang website semakin meningkat. Bahkan perusahaan besar dengan sistem yang

canggih pun harus menjadi korban. Hampir setiap hari media keuangan secara terus menerus
melaporkan kasus hacker yang berhasil mengambil alih Website perusahaan.
Penyalahgunaan atau Pencurian Sumber Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan
sumber daya komputer organisasi untuk kepentingan pribadi. Luasnya permasalahan tersebut,
seperti tipe kejahatan komputer yang lain, tidak terlalu diketahui. Namun, sangat mungkin
masalah ini terjadi di banyak perusahaan.

D. Sistem Keamanan Sistem Informasi

Mengendalikan ancaman dapat dicapai dengan menerapkan ukuran-ukuran keamanan dan
perencanaan kontingensi. Ukuran keamanan fokus pada pencegahan dan pendeteksian
ancaman; rencana kontingensi fokus pada perbaikan terhadap akibat dampak suatu ancaman.
Sebuah doktrin yang dipercaya dalam keamanan sistem informasi adalah sebagian ancaman
tidak dapat dicegah tanpa pengembangan sutu sistem yang sangat aman. Lebih jauh lagi,
tidak ada sistem keamanan yang sangat berharga tanpa adanya suasana kejujuran dan
kesadaran.
Perlu diingat bahwa sistem keamanan komputer merupakan bagian dari struktur pengendalian
internal perusahaan secara keseluruhan. Ini berarti, elemen dasar pengendalian internal
(supervise yang memadai, rotasi pekerjaan, batch kontrol total, pengecekan validitas, dan lain
sebagainya) merupakan aspek penting dalam sistem keamanan komputer. Keamanan sistem
informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal yang secara
khusus digunakan untuk mengatasi masalah-masalah dalam sistem informasi.

E. Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian.
Pembangu-nan lingkungan pengendalian yang bagus tergantung pada tujuh faktor yaitu:
1. Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang
tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. Tidak
peduli seberapa canggih suatu sistem, pasti selalu ada cara untuk mengganggu keamanan
sistem. Oleh karena itu, garis pertahanan yang utama adalah suasanan kesadaran akan
pentingnya keamanan. Menciptakan suasana semacam ini dapat dilakukan dengan banyak
cara.
Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuan
pendidikan keamanan adalah agar setiap karyawan memiliki kepedulian terhadap keamanan.
Keamanan harus diperlakukan dengan sangat serius. Semua pelanggaran harus
mengakibatkan adanya rasa bersalah dalam diri karyawan. Mereka yang memegang tanggung
jawab harus memberikan teladan yang baik.
Peraturan keamanan harus selalu dimonitor. Jika tidak, sistem akan mudah dilupakan.
Hubungan yang baik harus selalu dibina dengan seluruh karyawan. Moral yang rendah dapat
menyeb abkan tingginya probabilitas terjadinya kecurangan. Komunikasi yang baik dengan
karyawan dapat mengurangi masalah rendahnya moral.
2. Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya diorganisasi
di bawah chief information officer (CIO). Divisi semacam ini tidak hanya menjalankan
fungsi pencatatan akuntansi tradisional, tetapi juga berbagai fungsi komputasi. Hal ini
menimbulkan banyak masalah dalam upaya membuat dan menjaga pola otoritas dan
wewenang yang jelas. Satu hal yang penting adalah, harus dibuat satu garis wewenang yang

3.

4.

5.

6.

7.

jelas untuk menentukan siapa yang bertanggung jawab mengambil keputusan terkait dengan
perangkat lunak akuntansi dan prosedur akuntansi. Harus ada orang yang bertanggung jawab
terhadap sistem keamanan komputer.
Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau menyetujui
pemilihan auditor internal. Idealnya, auditor internal seharusnya memiliki pengalaman yang
baik terkait dengan keamanan komputer dan bertindak sebagai chief computer security
officer. Dalam situasi apa pun, individu-individu tersebut harus melapor secara periodic
kepada komite audit mengenai semua fase sistem keamanan komputer.
Aktivitas Pengendalian Manajemen
Penting untuk membangun pengendalian terkait dengan penggunaan dan pertanggung
jawaban semua sumber daya sistem komputer dan informasi.
Fungsi Audit Internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasi untuk memenuhi
kebutuhan yang terus berubah. Chief security officer harus membangun kebijakan keamanan
yang relevan dengan sistem yang ada saat ini dan relevan dengan perubahan sistem yang
terjadi. Semua modifikasi sistem, baik perangkat keras, perangkat lunak, atau personalia,
harus diimplementasikan sesuai dengan kebijakan keamanan yang telah dibuat.
Kebijakan dan Praktik Personalia
Pemisahan tugas, supervise yang memadai, rotasi pekerjaan, vakasi wajib, dan penge-cekan
ganda semua merupakan praktik personalia yang penting. Peraturan yang terpenting
barangkali adalah memisahkan pekerjaan pengguna komputer dan persona-lia sistem
komputer.
Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hokum dan regulasi local, federal, dan
Negara bagian. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data,
termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka,
personalia dan pemerintah. Hukum dan regulasi ini juga mengatur pengiriman informasi ke
negara lain.

F. Keamanan Internet
Topik mengenai keamanan internet menuntut perhatian khusus karena koneksi perusahaan
dengan internet memberi peluang bagi perusahaan untuk menjadi sasaran setiap hacker yang
ada di dunia. Internet menciptakan jendela elektronik bagi dunia luar yang mengeliminasi
semua isolasi fisik sumber daya informasi perusahaan. Oleh karena itu, semua lapisan
pemisahan fisik yang terkait dengan pendekatan akses berlapis guna menciptakan keamanan
sistem, tidak sepenuhnya dapat mengamankan sistem informasi perusahaan. Kerentanan
terkait dengan internet dapat muncul akibat kelemahan-kelemahan berikut ini:
1. Kerentanan Sistem Operasi
Web server sebenarnya merupakan ekstensi dari sistem operasi. Akibatnya, setiap kelemahan
di dalam keamanan sistem operasi juga menjadi kelemahan keamanan web server. Untuk
alasan inilah administrator keamanan harus pertama dan terpenting mengamankan sistem
operasi.
Masalahnya, tidak ada sistem operasi yang bebas dari serangan. Hacker selalu menemukan
kelemahan baru di dalam sistem operasi. Oleh karena itu, administrator harus secara konstan
memonitor bulletin keamanan yang dipublikasikan oleh vendor sistem operasi dan oleh jasa

2.

3.

4.

5.

advisory pihak ketiga. Sebagai contoh, Microsoft selalu memperbarui informasi keamanan
untuk Windows melalui webside perusahaan di www.microsoft.com/.
Kerentanan Web Server
Web server serupa dengan sistem operasi, dalam arti, pengelola web server perlu selalu
memonitor buletin terkait dengan informasi dan pembaruan keamanan perihal konfigurasi
web server. Pengawasan informasi terkini semacam ini penting karena web server dan web
browser lebih sering mengalami pembaruan dibandingkan sistem operasi.
Kerentanan Jaringan Privat
Ketika web server ditempatkan pada suatu komputer host yang terkoneksi ke berbagai
komputer melalui suatu LAN, akan timbul suatu risiko, Hacker dapat menyerang satu
komputer melalui satu komputer yang lain. Jika pengguna komputer memiliki akses ke
komputer yang memiliki host web server, maka hacker pertama kali akan masuk ke dalam
komputer pengguna. Kemudian, hacker akan menggunakan hak akses penggu-na yang asli
untuk melakukan invasi ke dalam komputer host web server.
Kerentanan Berbagai Program Server
Banyak komputer host suatu web server tidak hanya menjalankan web server, tetapi juga
server-server yang lain, seperti FTP server (untuk transfer file dari dank e komputer lain), email server, dan remote control server (yang memungkinkan komputer yang lokasinya jauh
mengendalikan komputer host). Yang menjadi masalah adalah setiap tambahan server
merupakan satu tambahan risiko. Cacat keamanan terkait dengan salah satu server dapat
menjadi pintu masuk bagi hacker untuk menyerang semua server yang lain dan samua file di
dalam komputer, bahkan komputer-komputer lain yang terhubung ke server dalam LAN.
Prosedur Keamanan Umum
Suasana keamanan yang secara keseluruhan baik merupakan satu hal yang penting. Perangkat
lunak keamanan yang terbaik di dunia tidaka akan banyak membantu jika administrator
sistem tidak menegakkan kebijakan keamanan.

3. Pengelolaan Risiko Bencana

Bencana bisa saja terjadi. Hancurnya World Trade Center di kota New York merupakan salah
satu contoh dari bencana yang tidak diharapkan yang secara serius telah menginterupsi
jalannya aktivitas bisnis. Banyak organisasi tergantung pada sistem komputer untuk
mendukung operasi bisnisnya sehari-hari. Konsekuensi dari ketergantungan ini adalah, jika
pemrosesan sistem komputer tertunda atau terinterupsi, organisasi mesti menanggung
kerugian yang cukup signifikan. Pengelolaan risiko bencana merupakan satu hal yang penting
untuk memastikan kontinuitas operasi bisnis jika terjadi suatu bencana.
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam
suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak
perusahaan asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya
perusahaan yang tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.

A. Mencegah Terjadinya Bencana

Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu
bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:
Bencana alam
30 %
Tindakan kejahatan yang terencana 45 %
Kesalahan manusia
25 %

Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana dapat
dikurangi atau dihindari dengan kebijakan keamanan yang baik.
Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan
dan perencanaan keamanan yang baik. Sistem elektronik dan mekanik yang memadai untuk
menangani kebakaran, banjir, dan intrusi merupakan satu hal yang penting. Sistem semprotan
air dapat membahayakan komponen elektronik. Banyak perusahaan menggunakan sistem
pemadam api yang berbasis sesuatu selain air, seperti gas, busa, atau bedak.

B. Perencanaan Kontingensi Untuk Mengatasi Bencana

Rencana pemuliahan dari bencana harus diimplementasikan pada level tertinggi di dalam
perusahan. Idealnya, rencana pemuliahan mesti mendapatkan persetujuan dari dewan direksi
sebagai bagian dari perencanaan keamanan komputer secara umum. Langkah pertama
mengembangkan rencana pemulihan dari bencana adalah adanya dukungan dari manajemen
senior dan penetapan komite perusahaan. Seletah kedua hal tersebut, rencana pemulihan dari
bencana harus didokumentasikan dangan hati-hati dan disetujui oleh kedua pihak tersebut.
Hasil estimasi menyatakan bahwa biaya awal yang diperlukan guna mengimplementasikan
perencana-an pemulihan dari bencana berkisar antara 2 % sampai 10 % dari total anggaran
sistem informasi.
Menaksir Kebutuhan Penting Perusahaan
Semua sumber daya penting harus diidentifikasi. Sumber daya yang penting ini mencakup
perangkat keras, perangkat lunak, peralatan listrik, peralatan pemeliharaan, ruang gudang,
catatan yang vital, dan sumber daya manusia.
Daftar Prioritas Pemulihan dari Bencana
Pemulihan penuh dari suatu bencana membutuhkan waktu yang lama, bahkan sekalipun
perusahaan memiliki perencanaan yang baik. Oleh karena itu, harus dibuat prioritas terkait
dengan kebutuhan perusahaan yang paling penting. Daftar prioritas mengindikasi aktivitas
dan jasa yang memang genting yang perlu segera dibangun kembali dalam hitungan menit
atau hitungan jam setelah terjadinya suatu bencana. Disisi lain, perencanaan bisa saja
mengindikasikan aktivitas dan jasa lain yang harus dibangun dalam hitungan hari, minggu,
atau bulan setelah terjadinya suatu bencana.
Strategi dan Prosedur Pemulihan
Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perencanaan ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga, pada saat
bencana benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang
harus melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut harus dilakukan.
Pusat Respons Darurat
Pada saat terjadi bencana, semua wewenang pengolahan data dan operasi komputer dialihkan
kepada tim respons darurat, yang dipimpin oleh direktur operasi darurat. Individu-individu ini
memimpin jalannya perencanaan pemulihan dari pusat operasi darurat, sebuah tempat yang
memang ditetapkan sebelumnya.
Prosedur Eskalasi
Prosedur eskalasi menyatakan kondisi seperti ini apa yang mengharuskan perlunya pengumuman terjadinya bencana, siapa yang harus mengumumkan, dan siapa orang yang harus diberi
tahu tentang adanya bencana.
Rencana Relokasi Karyawan

Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya memindahkan

karyawan ke lokasi cadangan. Hal ini memerlukan perencanaan ynag hati-hati karena banyak
karyawan sulit dipindahkan dalam sementara waktu.
Rencana Penggantian Karyawan
Kemungkinan perusahaan kehilangan karyawan pada saat terjadinya bencana juga perlu
dipertimbangkan. Penggantian seorang karyawan dengan kemampuan yang tinggi merupakan
satu hal yang tidak mudah. Penggantian karyawan semacam ini memerlukan pelatihan yang
sangat ekstensif.
Perencanaan Penyelamatan
Dalam beberapa bencana, perusahaan masih dapat menyelamatkan peralatan dan catatan yang
berharga dari kerugian lebih lanjut, jika perusahaan dapat mengambil tindakan yang tepat
secara cepat. Sebagai contoh, sebuah bangunan yang kehilangan atap pada saat terjadi topan
badai akan menyebabkan bangunan tersebut menghadapi risiko kehujanan. Dalam situasi
semacam ini, kerugian dapat diminimalkan jika tindakan penyelamatan segera dilakukan.
Perencanaan Pengujian Sistem dan Pemeliharaan Sistem
Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat. Oleh karena itu, setiap
perencanaan pemulihan dari bencana mesti diuji setiap enam bulan sekali. Perencanaan yang
kadaluwarsa atau tidak teruji barangkali tidak dapat dijalankan pada saat bencana benar-benar
terjadi.

KESIMPULAN
Sistem keamanan sistem informasi merupakan subsistem organisasi yang berperan
mengen-dalikan risiko khusus terkait dengan sistem informasi terkomputerisasi. Sistem
keamanan dikembangkan dengan menerapkan pendekatan siklus hidup tradisional, seperti
analisis sistem, desain sistem, implementasi sistem, serta operasi, evaluasi, dan pengendalian
sistem.
Ada dua pendekatan utama untuk menganalisis kerentanan dan ancaman sistem dalam
perencanaan keaman komputer. Dalam pendekatan kuantitatif untuk menaksir risiko, seperti
eksposur kerugian dihitung dengan mengalikan biaya kerugian setiap item eksposur dengan
probabilitas terjadinya eksposur tersebut. Pendekatan kualitatif guna menaksir risiko
mendaftar dan meranking (secara subjektif) tingkat kerentanan dan ancaman sistem, dengan
tujuan untuk menentukan kontribusi item eksposur terhadap kerugian perusahaan secara total.
Kerentanan adalah suatu kelemahan dan sistem komputer, dan ancaman adalah potensi
eksploitasi suatu kerentanan. Berbagai hukum, regulasi, dan publikasi mengarah kepada
masalah kejahatan komputer. Keberhasilan serangan terhadap suatu sistem komputer
mensyaratkan akses ke perangkat keras, file data yang sensitive, atau program-program yang
penting. Setiap orang yang punya akses keperalatan data komputer atau file tanpa otorisasi
legal, adalah penyusup. Ada berbagai jenis penyusup, seperti: unnoticed intruder,
impersonating intruder, wiretapper, piggybacker, dan eavesdropper. Paling tidak ada enam
cara untuk melakukan kejahatan komputer, yaitu manipulasi input, pengubahan program,
pengubahan file secara langsung, pencurian data, sabotase, dan penyalagunaan atau pencurian
sumber daya komputer.

Sabotase merupakan satu hal yang sangat berbahaya bagi setiap instalasi sistem. Ada
banyak cara untuk merusak instalasi. Program komputer dapat digunakan untuk menjalankan
sabotase. Masalah yang potensial adalah bom logika, kuda Troya, program virus, dan worm.
Pengendalian ancaman dapat dilakukan dengan mengimplementasikan ukuran-ukuran
keamanan dan peren-canaan kontingensi. Ukuran keamanan fokus pada pencegahan dan
pendeteksian ancaman. Perencanaan kontingensi fokus pada perbaikan kerusakan sebagai
dampak terjadinya suatu ancaman. Lingkungan pengendalian organisasi merupakan dasar
keefektifan seluruh sistem pengendalian.
Cara utama yang dapat ditempuh untuk mencegah terjadinya kecurangan dan sabotase
adalah dengan menerapkan pengendalian akses berlapis.
Pengelolaan risiko bencana mencakup pencegahan dan perencanaan kontingensi.
Pencegahan bencana merupakan langkah pertama pengelolaan risiko bencana. Rencana
pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam perusahaan.
Rencana tersebut disetujui oleh komite dewan direksi sebagai bagian dari perencanaan
keamanan komputer secara umum.

DAFTAR PUSTAKA
George

H. Bodnar
ANDI

dan

William

S. Hopwood, Sistem
Yogyakarta, 2006

Informasi

Akuntansi,Edisi

9,