1.

Keamanan sistem Informasi

Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem
keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras,
database, prosedur, dan pelaporan.

Siklus Hidup Sistem Keamanan Informasi

Sistem keamanan elektronik merupakan sebuah sistem informasi. Pengembangan sistem

keamanan juga perlu mengacu pada pendekatan siklus hidup sistem. Sistem keamanan
komputer dikembangkan dengan menerapkan metode analisis, desain, implementasi, serta
operasi, evaluasi, dan pengendalian. Tujuan setiap tahap siklus ini adalah sebagai berikut.

Fase Siklus Hidup Tujuan

Analisis sistem Analisis kerentanan sistem dalam arti
ancaman yang relevan dan eksposur
kerugian yang terkait dengan ancaman
tersebut.
Desain sistem Desain ukuran keamanan dan rencana
kontingensi untuk mengendalikan eksposur
kerugian yang teridentifikasi.
Implementasi sistem Menerapkan ukuran keamanan seperti yang
telah didesain.
Operasi, evaluasi, dan pengendalian sistem Mengoperasikan sistem dan menaksir
efektivitas dan efisiensi. Membuat
perubahan sebagaimana diperlukan sesuai
dengan kondisi yang ada.

Tujuan fase pertama siklus hidup keamanan adalah untuk menghasilkan laporan analisis
kerentanan dan ancaman. Tujuan fase kedua adalah untuk mendesain serangkaian ukuran
pengendalian risiko yang komprehensif, termasuk ukuran keamanan untuk mencegah
kerugian dan rencana kontigensi untuk menangani kerugian pada saat kerugian tersebut
harus terjadi. Secara kolektif keempat fase tersebut disebut manajemen risiko sistem
informasi. Manajemen risiko sistem informasi merupakan proses untuk menaksir dan
mengendalikan risiko sistem komputer.

Sistem Keamanan Informasi dalam Organisasi

Suatu sistem keamanan informasi akan efektif apabila dikelola oleh chief security officer
(CSO). CSO tersebut harus melapor langsung pada dewan direksi agar terciptanya
independensi. Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk
mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus
hidup.

Fase Siklus Hidup Laporan Kepada Dewan Direksi

Analisis sistem Sebuah ringkasan terkait dengan semua
eksposur kerugian yang relevan.
Desain sistem Rencan detail mengenai pengendalian dan
pengelolaan kerugian, termasuk anggaran
sistem keamanan secara lengkap.
Implementasi sistem, operasi, evaluasi, dan Mengungkapkan secara spesifik kinerja
pengendalian sistem sistem keamanan, termasuk kerugian dan
pelanggaran keamanan yang terjadi,
analisis kepatuhan, serta biaya operasi
sistem keamanan.

Menganalisis Kerentanan dan Ancaman

Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sisitem, yaitu
pendekatan kuantitatif untuk menaksir risiko dan pendekatan kualitatif.

Pendekatan kuantitatif menghitung setiap eksposur kerugian sebagai hasil kali biaya
kerugian setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut. Ada
beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna menaksir eksposur
kerugian, yaitu:

1. Mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir
probabilitas terjadinya eksposur tersebut merupakan hal yang sulit. Biaya yang
relevan untuk suatu kerugian adalah turunnya profitabilitas perusahaan sebagai akibat
 terjadinya kerugian tersebut. Tetapi, biaya tersebut sulit diestimasi karena estimasi
melibatkan estimasi biaya interupsi bisnis bisnis yang sulit diprediksi atau estimasi
biaya penggantian penggantian komputer yang hanya dapat diganti dengan model
baru yang sebenarnya tidak sebanding dengan komputer lama.
2. Mengestimasi kemungkinan terjadinya suatu kerugian melibatkan peramalan masa
yang akan datang, yang sangat sulit khususnya dalam lingkungan teknologi yang
mengalami perubahan sangat cepat. Dalam upaya menaksir probabilitas terjadinya
serangan yang disengaja terhadap suatu sistem, seseorang harus mengestimasi biaya
dan manfaat serangan semacam ini bagi penyerang. Penyerang yang sangat suka
risiko mungkin akan bersedia menerima risiko yang sangat besar untuk mendapatkan
sedikit upah.

Pendekatan kualitatif adalah pendekatan yang secara sederhana merinci daftar kerentanan
dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut
bedasarkan kontribusi setiap item tersebut terhadap total eksposur kerugian perusahaan.
Baik pendekatan kualitatif maupun kuantitatif sering digunakan di dalam praktik. Banyak
perusahaan yang mengombinasikan kedua pendekatan tersebut. Apapun metode yang
dipakai, analisis eksposur kerugian tersebut harus mencakup area berikut ini:

Interupsi bisnis
Kerugian perangkat lunak
Kerugian data
Kerugian perangkat keras
Kerugian fasilitas
Kerugian jasa dan personel

Jika pendekatan kuantitatif yang digunakan, maka biaya dapat diestimasi menggunakan
satu dari banyak metode, termasuk replacement cost, service denial, kewajiban kepada
pihak ketiga, dan interupsi bisnis.
4. Pengelolaan Risiko Bencana

Bencana bisa saja terjadi. Bencana yang tidak diharapkan yang secara serius dapat
menginterupsi jalannya aktivitas bisnis. Banyak organisasi tergantung pada sisitem
komputer untuk