EFEKTIVITAS KEAMANAN INFORMASI DALAM MENGHADAPI

ANCAMAN SOCIAL ENGINEERING

EFFECTIVENESS OF INFORMATION SECURITY THREATS FACING

SOCIAL ENGINEERING
1 2 3
Suherman , Pujo Widodo , Dadang Gunawan
Prodi Peperangan Asimetris, Fakultas Strategi Pertahanan, Universitas Pertahanan
(suherman2112@gmail.com)

Abstrak Indonesia adalah sebuah negara yang sedang berkembang. Perekonomian Indonesia
sedang meningkat dan didukung dengan kemajuan teknologi dan informasi. Dunia perbankan di
Indonesia sudah cukup bagus, sehingga kejahatan cyber akan semakin besar Social engineering
merupakan suatu metode dalam kejahatan cyber.Ancaman kejahatan cyber saat ini sangat
mempengaruhi kerentanan keamanan informasi, khususnya di dunia perbankan. Bentuk nyata
adalah dengan adanya pembobolan kartu kredit ,pencurian data oleh karyawan dalam perusahaan
dan lain sebagainya. E.B Taylor menyatakan bahwa kerentanan yang dapat ditembus oleh social
engineering melalui kebiasaan, ilmu pengetahuan penekanan dan kepercayaan. Perusahaan
merespon akan bahaya kejahatan cyber crime yaitu ancaman social engineering, akibat yang
ditimbulkannya adalah kehancuran akan keamanan informasi Pelaksanaan efektivitas dapat
berjalan dengan baik apabila bagian bagian yang terlibat dalam proses pelaksanaannya dapat
memerankan peranannya dengan baik. Adapun tesis ini bertujuan adalah untuk menganalisis
efektifitas dan penerapan prosedur operasional dan kebiasaan yang dilakukan karyawan untuk
keamanan informasi dalam menghdapi bahaya sosial engineering. Penelitian ini menggunakan
metode kualitatif dengan teknik pengumpulan data yaitu, wawancara, observasi, studi pustaka,
dan studi dokumen. Hasil dari penelitian ini adalah bahwa melalui penerapan Standar Operasional
Prosedur yang benar, rasa memiliki, penggunaan surat dalam melakukan suatu permintaan dan
mengirim email keseluruh karyawan tentang keamanan informasi secara berkala. Sehingga
Perusahaan dapat terhindar dari ancaman social engineering .Maka efektivitas keamanan
informasi dalam menghadapi bahaya social engineering dapat terwujud. Keamanan informasi
perbankan dapat terjaga baik secara nasional maupun internasional.
Kata kunci: Keamanan Informasi, Social Engineering, Standard Operasional Prosedur, Efektivitas

Abstract Indonesia is a developing country. Indonesias economy is increasing . this is because the
support of Information and tecnology development. The Bank world in Indonesia is good enough. This
might make crime is getting bigger. Social Engineering is a cyber crime. The threat of cyber crime
influences the weakness of information security, especially in Bank world. The real cyber crime are the
piercing of Credit Card, data robbing by the employee inside the company. E.B Taylor said that the
succeptibility can be penetrated by social engineering through habbit, the science of information security,
trust and pressure. Artha Graha Intl Bank is very good in responding dan facing one of the cyber crime
methods which is social engineering threat. The effectivity can run well if parts involved in the process can
run their parts well. This thesis has purposes to analise the effectivity and the application operational
procedure and employees habbit for the information security in facing the danger of social engineering.
This research use qualitative method with gathering data technique by

1
Penulis adalah mahasiswa Pasca Sarjana Program Study Peperangan Asimetris Cohort-4 TA 2016 Fakultas
Strategi Petahanan Universitas Pertahanan.
2
Dosen FSP, Universitas Pertahanan, pujowidodo78@gmail.com.
3
Wakil Rektor III, Universitas Pertahanan, dadang.gunawan@idu.ac.id.
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman | 73
interview, observations, library research and document study. The result of the research is that by
applying the right standardized operational procedure, self belonging, the use of demand letter and
the use of emails to all employees about the informational security continually. So that Artha Graha
Bank can avoid social engineering threat. The effectivityof information security in facing social
engineering can be done. The Bank security can be well kept nationally and internationally.
Keywords: Information Security, social engineering, standardized opeartional Procedure, effectivity

Pendahuluan negara, namun juga keamanan seperti

keamanan masyarakat dan keamanan
P embukaan Undang-Undang Dasar 1945
merupakan pokok atau kaedah
individu atau insani (human security) .
5

yang Buzan menyebutkan bahwa keamanan

fundamental, mempunyai kedudukan
yang tepat dan melekat Perusahaan
Negara Republik Indonesia. Hal ini karena
setiap alinea yang terdapat dalam
Pembukaan UUD tercantum tujuan dan
prinsip dasar yang hendak dicapai oleh
bangsa negara Indonesia. Salah satu
tujuan bangsa yang terkandung dalam
pembukaan UUD adalah tujuan keamanan
nasional, yaitu untuk melindungi segenap
bangsa Indonesia, seluruh tumpah darah
4
Indonesia .
Tercantum juga dalam pasal 30 UUD
1945 mengenai usaha pertahanan dan
keamanan yang dilakukan oleh Negara
dijalankan dengan menggunakan sistem
pertahanan dan keamanan rakyat secara
keseluruhan oleh TNI dan POLRI sebagai
kekuatan yang utama, dan rakyat sebagai
kekuatan pendukung. Keamanan nasional
ini tidak berhenti hanya pada keamanan
4 7
Subekti, V. S. (2015). Dinamika Konsolidasi
Demokrasi: Dari Ide Pembaharuan Sistem Politik
hingga ke Praktik Pemerintahan Demokratis .
Jakarta: Yayasan Pustaka Obor Indonesia.
individu mencakup keamanan dalam
bidang pangan, kesehatan, lingkungan,
6
pribadi, komunitas dan politik .
Seiring dengan perkembangan
zaman dan teknologi, bentuk ancaman
dalam menghadapi keamanan nasional
akan berubah. Kini ancaman dapat pula
terjadi di dunia virtual. Cyber crime atau
kejahatan di dunia siber. Beberapa kasus
cyber crime diantaranya adalah kejahatan
yang dilakukan oleh kelompok teroris
memelalui media internet. Beberapa situs
yang dianggap radikal yang disebarkan
melalui propaganda radikalisme melalui
media internet terbukti mengganggu
7
keamanan nasional .
5 Muradi. (2013). Penataan Kebijakan Keamanan
Nasional. Bandung: Penerbit Dian Cipta.
6 Buzan, B. (2000). Human Security: What It
Means, and What It Entails. Kuala Lumpur: the 14st
Asia Pasific Roundtable on Confidence uliding and
Conflict Resolution.
Siagian, B. D. (2016). Analisis Wacana Radikalisme
pada Situs Online di Indonesia dalam Perspektif
Keamanan Nasional(Tesis). Bogor: Program
StudiPeperanganAsimetrisUniversitasPertahanan.
74 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
 Kasus lain dari kejahatan cyber orang, sehingga cara ini memungkinkan
adalah kejahatan dalam bentuk Social hacker untuk berbicara seperti biasa
Engineering. Seperti yang dilakukan oleh untuk mendapatkan data yang dinginkan
Edward Snowden, seorang pegawai NSA, dalam secara tidak logis.
yang mencuri data dan Adapun kasus perbankan dalam
membocorkannya,dengan menggunakan negeri yang dilakukan oleh Steven
penyadapan yang dilakukan oleh NSA. Haryanto, membuat duplikasi situs asli
Kasus Social Engineering terjadi pertama tapi palsu di Bank BCA melalui internet
kali diluar negeri dilakukan oleh Kevin BCA, dan berharap agar nasabah masuk
Mitnick. Kevin Mitnick adalah seorang dalam situsnya terlihat nomor
pria amerika serikat yang di tahan di identitasnya dan nomor identiffikasi
tahun 1995. Mitnick tercatat sebagai salah nasabah. Dan ternyata terdapat 130
seorang hacker yang dalam mencari nasabah yang terperangkap oleh
mangsanya hampir tidak menggunakan jebakannya. Sebagai contoh alamat palsu
komputer dalam mengeksploitasi tersebut adalah : kilkbca.com,
kelemahan targetnya. dimana sebagian klikbac.com
besar melakukan teknik Social
Kemudahan dalam memperoleh
8
Engineering . informasi tersebut merupakan faktor

Kevin Mitnick telah menyatakan kerentanan yang disebebkan oleh

bahwa Social Engineering adalah Bagian kelalaian manusia. Akibat dari kelalaian
yang sederhana dalam pendekatannya. tersebut banyak perusahaan atau instansi

Bila rata-rata orang ingin melukisan yang dirugikan. Kerugian itu adalah

bagaimana rupa hacker. Mitnick hilangnya data informasi rahasia atau

menyatakan dalam bukunya The Art of pencurian data yang memang harus di

Deception. Adalah para pelaku Social jaga. Purba Kuncara menyatakan bahwa

Engineering merupakan hacker dengan rantai terlemah dalam sistem jaringan

keterampilan teknis tetapi ia memiliki komputer adalah manusia.

keterampilan sosialisasi yang benar dan Pada kegiatan kerja sehari-hari

memanfaatkannya dalam memanipulasi budaya kerja karyaawan masih tergolong
kurang dalam disiplin kerjan,

8 pengetahuan tentang pentingnya

Azis,(2015); cybercrime-dan-social-engineering,
http://fahmirahmatazis.co.id/2015/09/cybercrime- keamanan informasi, mudah percaya
dan-social-engineering.
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |75
kepada teman kerja dengan memberikan b. Keutuhan (Integrity), bahwa
informasi dan masih adanya penekanan melindungi keakuratan dan kelengkapan
yang dilakukan oleh pejabat yang lebih informasi, dapat menjamin bahwa data
tinggi jabatannya dan ini sangat rentan tidak dapat diubah tanpa ijin dari pihak
sekali dalam menjaga kerahasiaan yang berwenang, dalam menjaga
informasi yang dapat digunakan oleh keakurasian dan keutuhan informasi
pelaku social engineering. Perilaku yang tersebut.
kurang baik ini dapat dimanfaatkan oleh c. Ketersediaan (Availability), bahwa
pelaku social engineering. Misalnya user informasi akan tersedia pada saat
menggunakan password yang mudah dibutuhkan. (idsirti.or.id).
untuk dibobol, selanjutnya user tersebut Dalam buku Primitive Culture, EB
10
tidak ingat untuk melakukan proses Taylor mendeskripsikan mengenai
logout ketika meninggalkan ruang kerja. beberapa hal yang mempengaruhi
Hal tersebut akan memperbesar peluang terjadinya Social Engineering antara lain
pelaku Social Engineering untuk adalah kebiasaan atau budaya,
melakukan hal-hal yang illegal seperti pengetahuan (knowledge), kepercayaan
mencuri informasi yang tidak seharusnya (trust), dan ketakutan atau penekanan.
9 Dari empat prinsip dasar inilah korban
diketahui olehnya. Dalam artikel Indrajit
menjelaskan bahwa sesuai dengan prinsip ditampilkan dan mendukung pada
keamanan informasi data yang harus keinginan dari seseorang yang berniat
diperhatikan adalah melalui aspek-aspek jahat dengan memanfaatkan kelemahan
sebagai berikut : sosial pada manusia umumnya.
a. Kerahasiaan(Confidentiality), Berdasarkan uraian fakta-fakta diatas,

bahwa menjamin kerahasiaan akan data
dan atau informasi, menyatakan bahwa
informasi hanya dapat diakses oleh pihak
yang berhak atau pihak yang berwenang
dalam menjamin kerahasiaan data yang
akan dikirim, diterima dan disimpan.
Social Engineering merupakan salah satu
metode di dalam peperangan asimetris.
Hal ini dapat dibuktikan dengan adanya
subjek yang lemah yaitu individu atau
kelompok dan yang kuat yaitu sebuah
perusahaan besar yang memiliki informasi

10
Primitive Culture, EB Taylor
9
Indrajit,(2015), Social Engineering Masih Menjadi https://en.wikipedia.org/wiki/Edward_Burnett_Tyl
Ancaman or
76 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
rahasia. Social Engineering juga khususnya di bidang keamanan informasi,
11
merupakan salah satu cara dalam para pejabat perusahaan dan karyawan.
melakukan kejahatan cyber, karena hal ini Hasil dan Pembahasan
berkaitan dengan penerobosan pintu- Keamanan Informasi Perusahaan
pintu keamanan melalui sistem Berdasarkan Teori Whiteman dan
komputasi. Mattord

Ancaman kejahatan cyber saat ini Sebelum berbicara mengenai

sangat mempengaruhi kerentanan keefektivitasan keamanan informasi
keamanan informasi. Berhubungan dalam menghadapi ancaman Social
dengan keamanan infomasi, salah satu Engineering, peneliti hendak
sektor yang kerap kali menjadi sasaran menyelaraskan hasil analisis data dengan
pencurian informasi yang bersifat rahasia salah satu teori yang berisikan komponen-
ialah sektor perbankan. Maka dari itu, komponen dalam keamanan informasi.

Peneliti berpendapat bahwa hal ini dapat Berikut ini ialah teori yang dikemukakan
12
berakibat fatal apabila tidak di respon oleh Whitman dan Mattord , yang dapat
secara baik dan cepat. Dalam hal ini melihat tingkat efektivitas keamanan
peneliti ingin meneliti sejauh mana informasi pada perusahaan yang
Perusahaan dalam merespon dan didasarkan pada komponen-komponen
menghadapi salah satu metode kejahatan sebagai berikut:
cyber yaitu ancaman Social Engineering. a. Personal Security, menyangkut
Dengan demikian, Peneliti hendak keamanan karyawan dalam konteks
melakukan penelitian dengan judul upaya pengamanan informasi.
Efektivitas Keamanan Informasi Dalam Perusahaan dalam hal ini telah melakukan
Menghadapi Ancaman Sosial Engineering. upaya dalam menghindarkan
Metodologi karyawannya dari modus-modus Social
Dalam penelitian ini akan digunakan Engineering melalui berbagai cara,
metode kualitatif. Penelitian ini akan termasuk juga dengan dibentuknya
dilakukan dengan menggunakan
wawancara dengan beberapa 11Sugiyono (2016), Metode Penelitian Kuantitatif,
Kualitatif dan R & D, Bandung, Penerbit
narasumber yaitu para pakar telematika, ALFABETA, CV Berbagai Sumber Daya Bagi
Pertumbuhan Berkelanjutan, Jakarta
12 Whitman, Michael E, dan Mattord, Herbert J
(2012), Principles of Information Security (4th ed).
Boston, MA, USA Course Technologi.
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |77
Standard Operasional Prosedur hingga c. Communication Security, memiliki
pengiriman himbauan mengenai tujuan untuk mengamankan media
keamanan informasi melalui e-mail blast. komunikasi, teknologi komunikasi, serta
Pelatihan-pelatihan mengenai kesadaran kemampuan untuk memanfaatkan alat
akan pentingnya menjaga keamanan komunikasi terkait menjaga keamanan
informasi pun dilakukan perusahaan, baik informasi.
pada saat proses penyeleksian calon Perusahaan telah menerapkan komponen
karyawan hingga pada masa kerjanya ini dengan melakukan kebijakan
berlangsung. berkenaan dengan sharing informasi yang
b. Operation Security, yang harus selalu dilaksanakan secara tertulis
menitikberatkan kepada strategi dalam dalam proses perizinannya. Segala upaya
mengamankan kemampuan organisasi dalam mengakses informasi melalui
dalam upayanya untuk menjaga jaringan telekomunikasi baik yang
keamanan informasi. berbasis kabel maupun nirkabel tidak
Manajemen perusahaan selalu diperbolehkan. Penggunaan teknologi
melakukan peningkatan kemampuan seperti pengiriman data melalui public e-
organisasinya dalam menjaga keamanan mail ataupun pesan singkat pun tidak
informasi, salah satunya dengan cara diperkenankan. Ketentuan ini berlaku
peninjauan kembali Standar Operasional tidak hanya untuk karyawan, tetapi juga

Prosedur yang telah diolah oleh untuk para pejabat-pejabat di perusahaan

manajemen perusahaan mengingat yang memiliki posisi yang lebih tinggi

bahwa Standar Operasional Prosedur daripada karyawan biasa.

tersebut tidak sempurna, melainkan d. NetworkSecurity,yang

selalu ada celah-celah yang berpotensi menitikberatkan kepada pengamanan
menyebabkan kebocoran informasi. Maka peralatan jaringan data perusahaan,
manajemen perusahaan selalu melakukan jaringan dan isinya, serta kemampuan
peninjauan ulang dalam menghadapi untuk menggunakan jaringan tersebut
Standar Operasional Prosedur dengan dalam upaya menjaga keamanan
tetap menyelaraskan aturan-aturan informasi.
utama yang tercantum pada peraturan Berkaitan dengan keamanan jaringan,
yang telah ditetapkan. Divisi Teknologi perusahaan telah
menerapkan sistem HTTPS dalam
78 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
penggunaan Internet, dengan demikian efektivitas akan terjadi dengan baik
HTTPS akan menjamin bahwa situs yang apabila karyawan beserta pimpinannya
dikunjungi ialah situs resmi milik bisa saling terbuka dalam
perusahaan. Selain itu, dalam upaya menginterpretasikan pesan dari pimpinan
pengamanan informasi, dalam melakukan kepada karyawannya, serta keduanya
transfer data, perusahaan juga telah dapat menjalin hubungan dengan baik.
melakukan metode SFTP. SFTP akan Ketika hubungan keduanya telah berjalan
melakukan enkripsi pada saat dengan baik serta terjadi keterbukaan
dilakukannya pemindahan data, sehingga yang berkesinambungan, maka pekerjaan
data tersebut terkunci pada kode enkripsi pun akan berjalan dengan baik.
yang hanya mampu dipecahkan oleh Dari hasil analisis data yang telah
orang yang memiliki otoritas, dilakukan, Peneliti beranggapan bahwa
Berdasarkan uraian dari sejauh ini, efektivitas perusahaan dalam
pembahasan diatas, dapat Peneliti menjaga keamanan informasi dinilai
simpulkan bahwa teori tersebut memiliki sudah cukup efektif. Hal itu dapat dilihat
persamaan dengan persyaratan dari dari upaya manajemen teknologi
ISO/IEC 27001. Perbedaannya hanya perusahaan dalam mempersulit user
mengenai spesifikasi dari syarat-syarat untuk dapat menembus pengamanan
keamanan informasi. Pada teori Whitman yang berlapis. Pertama, pada situs
dan Mattord, hanya dideskripsikan perusahaan, manajemennya telah
sebanyak 4 komponen dalam keamanan menggunakan sistem HTTPS, dimana
informasi, yang mana pada syarat ISO/IEC berfungsi untuk memastikan kepada
27001 memecah ke-4 komponen tersebut peramban dan pengguna bahwa
menjadi lebih spesifik. Dengan demikian, keduanya sedang berada di perusahaan
tidak ditemukan suatu celah pada yang sesungguhnya.
manajemen perusahaan terkait dengan Jika bertolak ke belakang, pernah
komponen atau syarat-syarat yang belum terjadi suatu kejadian Social Engineering
terpenuhi berdasarkan teori dan yang dialami oleh perusahaan lain karena
persyaratan standar internasional situsnya belum menggunakan sistem
tersebut. HTTPS, melainkan masih menggunakan

Berdasarkan teori efektivitas yang HTTP. Akhirnya, terdapat oknum yang

dikemukakan oleh Duncan, suatu membuat situs yang serupa dengan
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |79
perbedaan yang sangat tidak mencolok. menemukan bahwa perusahaan telah
Perbedaan tersebut terletak dari tata melakukan siklus Plan-Do-Check-Act
letak huruf nama situs. Kejadian tersebut (PDCA) yang merupakan aturan main dari
memakan korban yang tidak sedikit, SNI ISO/IEC 27001 tentang SMKI.
sehingga oknum tidak hanya dapat Perusahaan melakukan pengamanan
mengakses informasi-informasi rahasia informasi melalui tahap-tahap
milik perusahaan melainkan dapat perencanaan, pelaksanaan, penilaian
melakukan pencurian data. serta penindakan. Perusahaan melakukan
Kedua, metode pemindahan data tahap perencanaan dengan cara
secara komputerisasi pun telah beralih mengumpulkan masing-masing kepala
dari FTP menjadi SFTP. Melalui protokol divisi dan kepala Bagian untuk
SFTP, maka pada saat informasi rahasia merumuskan suatu pedoman, Standar
dipindahkan dari satu tempat ke tempat Operasional Prosedur, maupun surat
lainnya, data tersebut akan terenkripsi edaran terkait dengan keamanan
sehingga tidak dapat diakses tanpa kode informasi secara sempit, dan terkait
atau password yang dimiliki oleh orang- dengan penyelarasan visi dan misi dari
orang yang memiliki otoritas. Enkripsi perusahaan itu sendiri secara luas.
data ini lah yang membuat informasi Tahap pelaksanaan dilakukan
rahasia tersebut tetap aman dari para dengan cara melakukan pengamanan
pelaku rekayasa sosial. Ketiga, informasi perbankan yang diemban oleh
perusahaan berupaya dalam menjaga Bagian Keamanan Teknologi Informasi
keamanan informasinya melalui dari Divisi Teknologi. Divisi Teknologi
kebijakan-kebijakan yang dikeluarkan oleh mengemban tanggung jawab untuk
manajemen perusahaan dalam bentuk mengamankan informasi data dari
Standar Operasional Prosedur, juklak, kejahatan cyber, khususnya Social
pedoman, memo hingga e-mail blast yang Engineering. Pada tahap penilaian, akan
ditujukan untuk seluruh karyawannya. dilakukan suatu perbandingan antara

Dalam teori efektivitas, terdapat kebijakan-kebijakan tertulis dengan aksi di

tiga indikator yang bisa dijadikan sebagai lapangan. Proses penilaian ini akan
alat ukur efektivitas suatu pekerjaan. dilakukan oleh Bagian Audit yang

Pertama di lihat dari indikator pencapaian melakukan pemastian kualitas.

tujuan. Berdasarkan indikator ini, Peneliti
80 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
 Di lihat dari indikator adaptasi, yaitu Sosialisasi melalui Pusdiklat perusahaan
mengenai penyesuaian perilaku karyawan merupakan salah satu contoh utama dari
dalam menghadapi sosialisasi serta upaya pengamanan informasi secara dua
awareness keamanan informasi. Pada arah.
dasarnya, disinilah letak kendala yang Dari keseluruhan pembahasan yang
ditemukan oleh Peneliti, dimana masih telah diuraikan, dapat diambil benang
terdapat beberapa pelanggaran dalam merahnya bahwa terkait dengan
menghadapi clean desk policy. keamanan informasi, tergantung pada 3
Berdasarkan analisis data yang sudah aspek CIA. Pemenuhan dalam
Peneliti lakukan, aspek adaptasi ini sangat menghadapi ketiga aspek tersebut dapat
berkaitan erat dengan perilaku karyawan di breakdown melalui beberapa alat ukur,
dalam menghadapi keamanan informasi. yaitu melalui standar internasional ISO/IEC
Berdasarkan pernyataan yang berasal dari 27001, Teori Keamanan Informasi
National Institute of Standards and Whitman & Mattord, serta Teori

Technology (NIST) Special Publication Efektivitas Duncan. Berdasarkan ketiga

(SP) 800-50 mendeskripsikan bahwa alat ukur tersebut, perusahaan telah
manusia adalah kunci dari keamanan memenuhi seluruh komponen-
informasi. Dengan demikian diperlukan komponennya sehingga ketiga aspek
adanya perhatian khusus bagaimana dasar dari Confidentialy,Integrity
manusia untuk membangun kesadaran Availebility sudah terpenuhi. Walaupun
mengenai urgensi keamanan informasi. demikian, suatu sistem tidak ada yang
Peneliti simpulkan bahwa untuk sempurna, sehingga walaupun
menjaga keamanan informasi dalam komponen-komponen tersebut sudah
menghadapi ancaman Social Engineering, terpenuhi, pasti akan terdapat sedikit
perusahaan dinilai telah cukup efektif, celah yang kemungkinan besar berasal
terutama pada indikator pencapaian dari faktor manusia mengingat bahwa
tujuan serta integrasi. Manajemen manusia lah faktor yang terkuat sekaligus
perusahaan telah membuat berbagai yang terlemah terkait keamanan
kebijakan yang cukup variatif dalam informasi ini.
menghadapi para karyawannya sehingga
upaya pengamanan tidak hanya dilakukan
secara satu arah, melainkan dua arah.
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |81
Hakikat Manusia Sebagai Korban Social masyarakat Indonesia. Seringkali
Engineering seseorang tidak segan untuk memberikan
Sebelum berbicara mengenai ancaman pertolongan kepada orang lain yang baru
Social Engineering, ada baiknya jika kita dikenalnya. Hal ini yang menurut Peneliti,
memahami terlebih dahulu mengenai terkadang dapat dijadikan celah bagi
hakikat manusia sebagai makhluk sosial. pelaku Social Engineering untuk
Berdasarkan teori budaya, manusia pada mendapatkan sesuatu yang
dasarnya merupakan makhluk budaya diinginkannya.
yang memiliki akal, budi dan daya untuk b. Pengetahuan
mendapatkan suatu gagasan dan karya Tingkat wawasan ilmu pengetahuan
cipta yang berupa seni, moral, hukum, seseorang tentu berbeda satu sama
dan kepercayaan yang dilakukan secara lainnya. Terkadang, sesorang pegawai
terus menerus yang pada akhirnya tidak mengetahui tingkat kerahasiaan
membentuk suatu kebiasaan yang suatu informasi, atau tidak mengetahui
kemudian diakumulasikan dan modus-modus dari pelaku Social
disampaikan secara sosial atau Engineering, sehingga ia akan mudah
kemasyarakatan. terjebak oleh pelaku. Rendahnya tingkat

Manusia sebagai pencipta pengetahuan tersebut juga memberikan

kebudayaan memiliki kemampuan daya peluang yang besar bagi pelaku untuk

yaitu akal, intelegensia, dan intuisi, mendapatkan apa yang diinginkannya.

perasaan dan emosi, kemauan, fantasi c. Kepercayaan

dan perilaku. EB Taylor mendeskripsikan Faktor kepercayaan merupakan faktor
beberapa faktor dari manusia yang dapat yang memberikan resiko besar dalam
mempermudah para pelaku Social menghadapiseseorang untuk masuk ke
Engineering untuk melakukan aksinya: dalam perangkap Social Engineering.
a. Kebiasaan atau Budaya Seseorang terkadang akan memberikan

Dalam konteks Social Engineering, sudah suatu informasi rahasia kepada orang lain

menjadi kebiasaan bagi manusia, atas dasar kepercayaan bahwa orang

khususnya di Indonesia untuk memiliki tersebut tidak akan menyalahgunakan

rasa saling tolong menolong dalam atau pun menyebarkan informasi yang
menghadapi sesama. Budaya gotong bersifat rahasia. Atas dasar kepercayaan
royong pun telah mendarah daging bagi pula, seseorang akan bersikap lengah dan
82 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
tidak waspada dengan lingkungan Manusia merupakan sebuah sistem yang
sekitarnya. Hal ini juga memberikan celah dikuasai oleh manusia itu sendiri. Tetapi,
bagi pelaku Social Engineering untuk dalam sebuah jaringan, keamanan
menjalankan modus-modusnya. manusia merupakan Bagian yang paling
d. Ketakutan atau Penekanan (Fear) lemah dalam sistem. Dalam konteks
Semua manusia memiliki rasa takut dalam keamanan informasi, manusia lah faktor
menghadapiancaman atau tekanan dalam yang paling krusial yang harus
menghadapiberbagai hal. Rasa takut ini diperhatikan. Komponen kedua ialah
lah yang bisa dimanfaatkan oleh pelaku proses yang merupakan sekumpulan
Social Engineering. Melalui cara-cara yang sistem keamanan yang dibuat
menakuti seperti ancaman ataupun berdasarkan dokumen resmi perusahaan
gertakan, maka manusia akan mudah seperti standar operasional prosedur,
untuk membocorkan informasi yang surat edaran, maupun petunjuk pelaksana
diketahuinya demi melindungi dirinya dari atau kebijakan-kebijakan perusahaan
rasa takut tersebut. lainnya. Kebijakan ini lah yang merupakan

Berdasarkan keempat faktor diatas, salah satu pondasi bagi terjaganya

dapat disimpulkan bahwa manusia keamanan informasi.

sebagai makhluk yang memiliki akal, Sasaran utama dari Social

inteligensia dan intuisi, perasaan dan Engineering adalah dengan memperoleh
emosi, fantasi dan perilaku, dapat menjadi akses yang illegal ke sistem dan/atau
objek yang sangat rentan dalam informasi untuk melakukan suatu
menghadapiSocial Engineering. Keempat penipuan ataupun kecurangan melalui
faktor tersebutlah yang memberikan sarana manusia. Selain itu, penyusupan ke
peluang kepada para pelaku Social dalam jaringan, pencurian identitas dan
Engineering, sehingga seseorang akan juga pencurian infomasi data rahasia, juga
menjadi lengah dan tidak sadar bahwa ia merupakan sederetan target dari pelaku
telah memasuki jebakan dari pelaku Social Social Engineering.
Engineering. Menurut Supradono (2009),
Menurut Amanda Andreas, terdapat keamanan informasi tidak hanya bisa
tiga hal yang dijadikan sebagai komponen disandarkan pada teknologi keamanan
utama dari keamanan informasi. informasi saja, tetapi harus ada
Komponen yang pertama ialah manusia. pemahaman yang dilakukan oleh
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |83
organisasi atau perusahaan agar dapat pada komputernya, tidak mematikan
menangani masalah secara tepat dalam komputer saat hendak ditinggal untuk
memenuhi kebutuhan keamanan suatu keperluan tertentu, dan harus selalu
informasi. Dengan demikan, dibutuhkan mengunci setiap laci yang ada di meja
pengelolaan yang komprehensif kerja masing-masing karyawan. Kebiasaan
mengenai keamanan informasi, karyawan dalam membiarkan catatan-
keamanan informasi harus catatan kecil yang di temple pada layar
memperhatikan tiga aspek, yaitu monitor, serta membiarkan dokumen-
Confidentially, Integrity, dan Availability dokumen berserakan di atas meja masih
13
(CIA). belum bisa ditinggalkan sehingga dapat

Dalam pemenuhan aspek CIA, meningkatkan faktor kerentanan dalam

perusahaan telah menerapkan dua menghadapi keamanan informasi dan

bentuk konkrit mengenai pemenuhan memperbesar peluang user untuk

aspek ini, yaitu mengenai penerapan melakukan rekayasa sosial dalam

dalam bentuk non-operasional atau menghadapi karyawan tersebut.

administratif yang berisi berbagai Situasi Keamanan Informasi Perusahaan

kebijakan tertulis yang berupa pedoman, dalam menghadapi Metode Social

prosedur, surat edaran maupun memo. Enginnering

Bentuk kedua yaitu melalui penerapan Terakhir, Peneliti akan melakukan

dalam bentuk operasional dengan pembandingan antara upaya-upaya yang
mengadakan program sharing ilmu dilakukan oleh perusahaan dalam
pengetahuan serta sosialiasasi, himbauan menjaga keamanan informasi melalui
dengan melalui e-mail blast. sudut pandang ancaman Social

Salah satu dari implementasi Engineering dengan cara-cara yang dapat

kebijakan tersebut adalah dengan dilakukan oleh pelaku Social Engineering

diterapkannya clean desk policy yang untuk mendapatkan informasi secara

mengatur karyawan agar tidak illegal. Metode Social Engineering

14
meninggalkan catatan-catatan penting di menurut Mawarna ada empat yaitu
meja kerja, tidak memasang password yang pertama ialah Social Engineering by

14
13
Kennetth C. Laudon, Jane p. Laudon . Sistem Marwana (2012), Teknik Social Engineering Dan
Informasi Manajemen 1, Jakarta , Penerbit Pencegahannya.
Salemba Empat
84 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
Phone. Metode ini menggunakan sarana diwajibkan untuk memusnahkan segala
telepon sebagai sarana utamanya dalam catatan-catatan yang sudah tidak
melakukan aksi Social Engineering. berguna, dilarang untuk menempelkan
Biasanya pelaku akan berpura-pura untuk post-it note yang berisikan password
menelepon dari dalam perusahaan ataupun nomor rekening nasabah hingga
dengan menggunakan interkom untuk penguncian meja kantor untuk
mendapatkan suatu informasi. Hal ini menghindari tindakan pencurian
tidak akan terjadi di perusahaan, telah dokumen-dokumen penting.
menerapkan kebijakan mengenai sharing Metode yang ketiga ialah Social
informasi yang hanya melalui surat dan Engineering Online. Peneliti berpendapat
berdasarkan kewenangan dari pihak yang bahwa metode ini bukan merupakan
memiliki otoritas. Sehingga, kemungkinan metode yang tepat untuk menyerang
bagi pelaku Social Engineering dalam karyawan. Menurut Peneliti, metode ini
mendapatkan informasi melalui saluran akan lebih menguntungkan jika dilakukan
telepon sangat kecil. kepada karyawan perusahaan. Namun,
Metode yang kedua ialah tidak menutup kemungkinan juga bahwa
Dumpster Diving. Dumpster Diving karyawan perusahaan bisa terjebak pada
dilakukan dengan cara mengacak-acak metode ini karena tidak adanya kesadaran
tong sampah. Tong sampah disini ialah mengenai pentingnya membedakan
dalam artian bahwa pelaku bisa password masing-masing akun atau
mendapatkan informasi melalui buku perangkat keras demi menjaga keamanan
telepon perusahaan, bagan organisasi informasi. Urgensi mengenai pentingnya
yang sudah tidak terpakai, memo yang perbedaan password dan mengganti
dibuang secara sembarangan, petunjuk password secara berkala pun sudah
kebijakan perusaahan, jadwal pertemuan, dilakukan oleh perusahaan melalui
nama login dan password, hingga segala himbauan e-mail blast kepada seluruh
informasi yang tertulis pada post-it note jajaran karyawan.
di layar komputer serta hardware yang Metode yang keempat ialah Social
sudah usang. Dalam mencegah pelaku Engineering dari sudut pandang
untuk melakukan metode ini, maka psikologis. Metode ini menggunakan
perusahaan menerapkan kebijakan clean teknik persuasif, seperti menyamar
desk policy dimana seluruh karyawan seperti orang yang memiliki kewenangan
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |85
atas suatu informasi. Selain itu, cara ini b. Penawaran, pelaku akan berpura-pura
juga memanfaatkan kondisi pertemanan sebagai teknisi yang mampu untuk
dalam memperoleh sebuah informasi. menyelesaikan akibat dari sabotase
Pertemanan yang dimaksud adalah tersebut kepada perusahaan.
menjalin hubungan yang seolah-olah baik c. Bantuan, pelaku akan meminta
dengan seseorang. bantuan kepada karyawan untuk
Maka untuk menghadapi metode menanyakan sesuatu yang berkaitan
seperti itu, perusahaan telah melakukan dengan sabotase tersebut sampai ia
berbagai pelatihan-pelatihan untuk mendapatkan informasi yang

meningkatkan profesionalitas dan kinerja diinginkan.

para karyawannya. Di dalam dunia Berdasarkan 3 alur tersebut, Peneliti

pekerjaan, manajemen perusahaan berpendapat bahwa untuk melakukan
terutama dari divisi sumber daya manusia alur tersebut dibutuhkan kemampuan
selalu menekankan mengenai yang jauh diatas normal, dan hanya bisa
profesionalitas, dimana di dalam dilakukan oleh orang-orang yang
lingkungan pekerjaan hanya ada istilah professional. Untuk melakukan sabotase,
rekan kerja. Maksud dari pernyataan pelaku harus mempelajari seluk beluk
tersebut ialah, rekan kerja memiliki makna jaringan sistem informasi perusahaan,
pertemanan hanya dalam ruang lingkup yang mungkin informasi itu baru bisa
pekerjaan yang mengutamakan didapatkan melalui karyawan maupun
profesionalitas. mantan karyawan. Pada kasus demikian,

Metode yang terakhir ialah Reverse Social sense of belonging dari karyawan serta
Engineering, serupa dengan metode treatement perusahaan dalam

Social Engineering dari sudut pandang menghadapi karyawan diuji. Berdasarkan

psikologis, yang membedakan ialah pernyataan Kepala Divisi sumber daya

metode ini memiliki 3 alur yang identik, manusia, suatu kebocoran informasi tidak
yaitu: akan terjadi apabila terdapat sense of

a. Sabotase, sebelum melancarkan belonging dari karyawan dalam

aksinya, pelaku harus melakukan menghadapi perusahaan yang tentu saja

sabotase dalam menghadapijaringan diciptakan melalui treatement yang

yang berhubungan dengan diberikan oleh perusahaan kepada

pengamanan suatu informasi. karyawan.

86 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
 Berdasarkan uraian di atas, Peneliti keefektivitasan upaya pengamanan
menyimpulkan bahwa pernyataan informasi perbankan.

mengenai manusia merupakan faktor Walaupun demikian, pada observasi

yang terlemah sekaligus terkuat menjadi yang telah dilakukan, masih terdapat
semakin tidak terbantahkan. Manusia pelanggaran, terutama berkaitan dengan
merupakan faktor yang paling penting clean desk policy dimana masih
dalam menjaga keamanan informasi. ditemukannya post-it notes pada layar
Maka dari itu, perusahaan harus komputer. Hal ini menunjukkan bahwa
menerapkan standar operasional karyawan masih ada yang belum
prosedur serta memberikan pelatihan- menyadari mengenai pentingnya menjaga
pelatihan kepada karyawannya untuk keamanan informasi. Maka, Peneliti
menumbuhkan kesadaran akan meyimpulkan bahwa tingkat efektivitas
keamanan informasi. Dengan adanya keamanan informasi perusahaan dilihat
kesadaran akan keamanan informasi, dari upaya manajemen sudah dinilai cukup
ditambah dengan sense of belonging efektif. Sedangkan efektivitas pada
dalam menghadapi perusahaan, Peneliti tingkat karyawan dalam pengaplikasian
berpendapat bahwa karyawan tersebut pengamanan informasi dinilai masih
akan menjadi karyawan yang professional dalam penyempurnaan yang lebih baik
dan loyal kepada perusahaannya. Melalui lagi.
profesionalitas dalam bekerja, serta sense Pada teori EB Taylor
of belonging yang kuat akan semakin mendeskripsikan mengenai beberapa hal
memperkecil ancaman Social Engineering. yang mempengaruhi terjadinya Social
Kesimpulan Engineering antara lain adalah kebiasaan
Melalui teori efektivitas, teori keamanan atau budaya, pengetahuan (knowledge),
informasi dan syarat dari ISO/IEC 27001, kepercayaan (trust), dan ketakutan atau
Peneliti menilai bahwa Perusahaan telah penekanan tidak bisa diterapkan oleh
memenuhi seluruh komponen dari teori- kejahatan social engineering karena
teori dan syarat tersebut. Hal itu teknologi sistem keamanan yang cukup
tercermin mulai dari pelaksanaan Standar baik yaitu dengan menerapkan clean desk
Operasional Prosedur hingga pengadaan policy , permintaan data dengan
pelatihan-pelatihan juga menunjukkan menggunakan surat dan email blast
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |87
mengenai peringatan tenttang keamanan Daftar Pustaka
Buku
informasi..
Buzan, B. (2000). Human Security: What
Manusia merupakan faktor yang It Means, and What It Entails. Kuala
Lumpur: the 14st Asia Pasific
paling penting sekaligus yang paling Roundtable on Confidence uliding
lemah dalam konteks keamanan informasi and Conflict Resolution.
Golose, P. R. (2015). Invasi Terorisme ke
perbankan. Manusia merupakan faktor Cyberspace. Jakarta: Yayasan
yang paling kuat karena manusialah yang Pengembangan Kajian Ilmu
Kepolisian.
bertugas untuk melakukan kegiatan
Muradi. (2013). Penataan Kebijakan
perusahaan serta melakukan Keamanan Nasional. Bandung:
Penerbit Dian Cipta.
pengamanan informasi. Manusia sebagai
Christopher Hadnagy (2010). Social
faktor yang paling lemah, di lihat dari Engineering. The Art of Homan
aspek psikologis, dimana manusia akan Hacking. Indianapolis, Indiana.
Wiley Publishing, inc
sangat rentan untuk menjadi korban dari Departemen Pertahanan Republik
serangan Indonesia (2008) Buku Putih
Pertahanan Republik Indonesia
Social Engineering yang akan 2008
Departemen Pertahanan Republik
mengakibatkan kebocoran informasi
Indonesia (2015) Buku Putih
yang seharusnya dijaga. Pertahanan Republik Indonesia 2015
Mary Kaldor (2007). Human Security :
Dalam hal ini, seluruh jajaran Reflections on Globalization and
Kepala Divisi, mulai dari Kepala Divisi Intervention. Cambridge, UK
Copyright
Teknologi hingga Sumber Daya Manusia, Idrus Muhammad (2009). Metode Ilmu
memiliki arah pemikiran yang sama yaitu Penelitian Ilmu Sosial : Pendekatan
Kualitatif dan Kuantitatif.
mengenai pemberdayaan manusia dalam Yogjakarta, Penerbit Erlangga
mengamankan informasi perbankan Sugiyono (2016), Metode Penelitian
Kuantitatif, Kualitatif dan R & D,
sehingga tidak akan menjadi korban dari
Bandung, Penerbit ALFABETA, CV
Social Engineering. Hal ini telah terbukti Berbagai Sumber Daya Bagi
Pertumbuhan Berkelanjutan,
dengan rutinnya diadakan pelatihan-
Jakarta
pelatihan mengenai information security Kennetth C. Laudon, Jane p. Laudon .
Sistem Informasi Manajemen 1,
awareness, hingga pengiriman e-mail
Jakarta , Penerbit Salemba Empat
blast yang berisikan himbauan mengenai Jurnal
tata cara melakukan pengamanan Granger, Sarah., Social Engineering
Fundamentals, Part I: Hacker
informasi secara sederhana. Tactics. Symantec
88 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
Lucky Adhie, 2010, Identity Thet dengan
menggunakan Social Engineering
Studi Kasus: Kartu Kredit di
indonesia.
Peltier, T.R., 2001, Information Security
Risk Analysis, Auerbach
Publications.
Papadaki, Maria, Furnell, Steven dan
Dodge, Ronald C., Social
Engineering Exploiting the
Weakest Links. s.l. : European
Network and Information Security
Agency, 2008
Rhodes, Colleen., Safeguarding Against
Social Engineering. East Carolina :
s.n., 2006.
Siagian, B. D. (2016). Analisis Wacana
Radikalisme pada Situs Online di
Indonesia dalam Perspektif
Keamanan Nasional(Tesis). Bogor:
Program
StudiPeperanganAsimetrisUniversit
asPertahanan.
Solichul Huda , 2007 Pengamanan Sistem
Komputer dari Model Social
Engineering dengan mengaktifkan
program Security Awareness,
Subekti, V. S. (2015). Dinamika Konsolidasi
Demokrasi: Dari Ide Pembaharuan
Sistem Politik hingga ke Praktik
Pemerintahan Demokratis . Jakarta:
Yayasan Pustaka Obor Indonesia.
Whitman, Michael E, dan Mattord,
Herbert J (2012), Principles of
Information Security (4th ed). Boston,
MA, USA Course Technologi Marwana
(2012), Teknik Social
Engineering Dan Pencegahannya.
Website
Azis,(2015); cybercrime-dan-social-
engineering. diakses 30 September,
2016,
http://fahmirahmatazis.co.id/2015/0
9/cybercrime-dan-social-
engineering.
Bagus Artiadi Soewardi, Cyber Defence
diakses 5 januari 2017.
http//www.kemhan.go.id/pothan
Dr. Joel Brenner ( 2009), National
Counterinteligence Executive diakses
5 januari 2017.
https://cryptome.org/dni-cbs-24.pdf
Etikakelompok7,(2013) Keamanan
Jaringan dan Komputer diakses 30
https://keamananjaringandankompu
ter/2013/03/22/website-palsu-klik-bca/
Houchins Thomas ( 2002); Securitys
Biggest Threats: Social Engineering
Your Employees, diakses 5 januari
2017.
https://www.giac.org/paper/gsec/2149/sec
uritys-biggest-threats-social-
engineering-employees/
Indrajit,(2015), Social Engineering Masih
Menjadi Ancaman, diakses 30
September 2016
http://www.ciso.co.id/2015/03/social
-engineering-masih-menjadi-
ancaman/).
Institute, Insurance Information., Identity
Theft. Consumer Fraud and Identity
Theft. Insurance Information
Institute, 2009. Diakses : 23
september 2016.]
http://www.iii.org/media/facts/stats
byissue/idtheft/.
Indra, D. dan M. Chandrataruna (2009)
pencuri data adalah karyawan
Huawei
(http://teknologi.vivanews.com/new
s/read/41027. pencuri data adalah
karyawan huawei. Diakses 3 0ktober
2016.
Nudin,2005 Teori Organisasi 30
September, 2016 http://file.upi.edu
SekilasTentang Cyber Crime, Cyber
Security ,diakses 30 September,
2016,
http://inet.detik.com/read/2015/08/3
1/sekilas-tentang-cyber-crime-cyber-
security-dan-cyber-war
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |89
S. Juliandri Simanungkalit 2009,
Perancangan Manajemen, 30
September, 2016
http://lib.ui.ac.id/file?file=digital/Pera
ncangan20manajemen-Literatur.pdf.
90 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1