Keamanan dalam sistem informasi

No Faktor Penjelasan
1. Kerawanan Sistem Informasi 1. Aksesibilitas jaringan
Melalui komunikasi jaringan, sistem informasi di
lokasi yang berbeda saling berhubungan. Potensi
akses yang tidak sah, penyalahgunaan, atau
penipuan tidak terbatas pada satu lokasi tetapi
dapat terjadi pada setiap titik akses dalam
jaringan

2. Masalah perangkat keras (kerusakan, kesalahan

konfigurasi, kerusakan dari penggunaan atau
kejahatan yang tidak semestinya)
Komputer dapat juga menyebabkan timbulnya
kesalahan yang sangat mengganggu dan
menghancurkan catatan atau dokumen, serta
aktivitas operasional organisasi. Kesalahan
(error) dalam sistem yang terotomatisasi dapat
terjadi di berbagai titik di dalam siklus
prosesnya, misalnya: pada saat entri-data,
kesalahan program, operasional komputer, dan
perangkat keras

3. Masalah perangkat lunak (kesalahan

pemrograman, kesalahan pemasangan, perubahan
yang tidak sah)
Perangkat lunak komersial mengandung
kekurangan yang menciptakan kerentanan
keamanan
Bug tersembunyi (kode program cacat)
Nol cacat tidak bisa diraih karena pengujian
yang lengkap tidak memungkinkan dengan
program besar
Cacat bisa membuka jaringan ke penyusup
Patch
Potongan kecil perangkat lunak untuk
memperbaiki kekurangan
Eksploitasi yang sering dibuat lebih cepat dari
tambalan bisa dilepas dan diimplementasikan

4. Bencana
Perangkat keras komputer, program-program,
file-file data, dan peralatan-peralatan
komputer lain dapat dengan seketika hancur oleh
 karena adanya bencana, seperti:
kebakaran, hubungan arus pendek (listrik),
tsunami, dan bencana-bencana lainnya. Jika
bencana inimenimpa, mungkin perlu waktu
bertahun-tahun dan biaya yang cukup besar
(jutaan dan bahkan mungkin milyaran rupiah)
untuk merekonstruksi file data dan program
komputer yang hancur. 5. Penggunaan jaringan /
komputer di luar kendali perusahaan
Internet di kantor menggunkan wifi, dengan
password pada SSID. Akan tetapi tidak
dibatasi alamat internet yang bisa diakses dan
tidak di batasi akses kemana pun. Sehingga
karyawan bisa mengakses web kemanapun,
misalkan: web pornografi, web software
bajakan, dan lain-lain. Dimana web-web tersebut
rentan terhadap malware.

6. Kerugian dan pencurian perangkat portable

Popularitas perangkat genggam untuk komputasi
bisnis menambah kesengsaraan ini.
Portabilitas membuat ponsel, smartphone, dan
komputer tablet mudah kehilangan atau
mencuri. Smartphone berbagi kelemahan
keamanan yang sama seperti lainnya. Perangkat
internet, dan rentan terhadap perangkat lunak
berbahaya dan penetrasi dari luar
2. Penyalahgunaan Sistem 1. Kejahatan yang dilakukan dengan menyusup
Informasi kedalam sistem jaringan komputer tanpa
sepengetahuan dari pemilik sistem jaringan
komputer. Contohnya : seorang pelaku kejahatan
atau hacker melakukan sabotase terhadap informasi
yang sangat penting atau mencuri informasi yang
sangat penting dan rahasia.

2. Kejahatan dengan memasukkan data atau berupa

informasi ke jaringan internet tentang sesuatu yang
tidak benar dan melanggar ketentuan hukum.
Contohnya pemuatan berita atau informasi yang
tidak benar seperti memuat video pornografi,
memuat informasi yang sangat rahasia seperti
rahasia negara, dll

3. Kejahatan dengan memalsukan data pada

dokumen-dokumen penting yang tersimpan pada
 dokumen melalu internet.

4. Kejahatan dengan memanfaatkan jaringan

internet untuk melakukan mata-mata terhadap
pihak yang menjadi sasaran, dengan memasuki
sistem jaringan komputer pihak yang menjadi
sasarannya.

5. Kejahatan yang dilakukan dengan membuat

gangguan, perusakan atau pengahncuran terhadap
data atau sistem jaringan komputer. Misalnya
menyusupkan virus komputer dimana data yang
terkena virus tidak dapat digunakan lagi.

6. Kejahatan yang ditujuakan terhadap kekayaan

intelektual yang dimiliki pihak lain di Internet.

7. Kejahatan yang ditujukan terhadap keterangan

pribadi seseorang yang tersimpan pada formulir
data seseorang yang tersimpan pada komputer,
dimana jika ada yang mengetahui data tersebut
maka dapat merugikan korban. Misalnya nomor pin
ATM. Pasword, dan lain-lain.
3. Nilai bisnis pengendalian Sistem komputer yang gagal dapat menyebabkan
dan keamanan sistem hilangnya fungsi bisnis secara signifikan atau total.
informasi Perusahaan sekarang lebih rentan dari sebelumnya.
Data pribadi dan keuangan rahasia
Rahasia dagang, produk baru, strategi
Pelanggaran keamanan mungkin akan segera
memotong nilai pasar sebuah perusahaan.
Keamanan dan kontrol yang tidak memadai juga
menimbulkan masalah pertanggungjawaban.
Ex: Klub Grosir BJ yang digugat oleh Komisi
Perdagangan Federal A.S. karena mengizinkan
peretas mengakses sistemnya dan mencuri data
kartu debit dan kredit untuk pembelian yang tidak
benar

Persyaratan hukum dan peraturan untuk

pengelolaan catatan elektronik dan perlindungan
privasi
HIPAA: Aturan dan prosedur keamanan dan privasi
medis
Gramm-Leach-Bliley Act: Membutuhkan lembaga
keuangan untuk menjamin keamanan dan
kerahasiaan data pelanggan
Sarbanes-Oxley Act: Memaksakan tanggung jawab
pada perusahaan dan manajemen mereka untuk
menjaga keakuratan dan integritas informasi
keuangan yang digunakan secara internal dan
dikeluarkan secara eksternal. Sarbanes-Oxley Act
dirancang untuk melindungi investor setelah skandal
di Enron, WorldCom, dan perusahaan publik lainnya.
Sarbanes-Oxley pada dasarnya adalah untuk
memastikan bahwa pengendalian internal tersedia
untuk mengatur pembuatan dan dokumentasi
informasi dalam laporan keuangan. Karena
mengelola data ini melibatkan sistem informasi,
sistem informasi harus menerapkan kontrol untuk
memastikan informasi ini akurat dan untuk
menegakkan integritas, kerahasiaan, dan
keakuratannya.

Bukti elektronik
Bukti kejahatan kerah putih sering dalam bentuk
digital. Data komputer, e-mail, transaksi e-
commerce pesan instan. Kontrol data yang tepat
dapat menghemat waktu dan uang saat menanggapi
permintaan penemuan hukum

Komputer forensik:
Koleksi ilmiah, pemeriksaan, otentikasi, pelestarian,
dan analisis data dari media penyimpanan komputer
untuk digunakan sebagai bukti di pengadilan.
Termasuk pemulihan data ambien dan tersembunyi
Data laten, juga dikenal sebagai data ambien, adalah
informasi dalam penyimpanan komputer yang tidak
dirujuk dalam tabel alokasi file dan umumnya tidak
dapat dilihat melalui sistem operasi (OS) atau
aplikasi standar.

Data laten ditemukan dalam gabungan konten

informasi yang tersisa di komputer dari file yang
dihapus di ruang yang tidak terisi, file swap, file
spooler cetak, tempat pembuangan memori, ruang
kendur file yang ada dan cache sementara.

Manajemen keamanan, kontrol, dan pengelolaan

arsip elektronik sangat penting saat ini untuk
menanggapi tindakan hukum.
 Perhatikan bahwa dalam tindakan hukum,
perusahaan berkewajiban untuk menanggapi
permintaan penemuan untuk mendapatkan akses ke
informasi yang dapat digunakan sebagai bukti, dan
perusahaan diharuskan oleh undang-undang untuk
menghasilkan data tersebut. Biaya untuk
menanggapi permintaan penemuan bisa sangat
besar jika perusahaan mengalami kesulitan untuk
mengumpulkan data yang diperlukan atau data telah
rusak atau hancur. Pengadilan mengenakan denda
finansial dan hukuman kriminal yang parah untuk
penghancuran dokumen elektronik yang tidak
semestinya. Mengingat persyaratan hukum untuk
catatan elektronik, penting bahwa kesadaran akan
forensik komputer harus dimasukkan ke dalam
proses perencanaan kontinjensi perusahaan.
4. Kerangka pengendalian 1. Kontrol sistem informasi
sistem informasi -Kontrol manual dan otomatis

-Kontrol umum dan aplikasi

Kontrol khusus unik untuk setiap aplikasi
terkomputerisasi, seperti pemrosesan gaji atau
pesanan. Sertakan prosedur otomatis dan manual
Pastikan hanya data resmi yang benar-benar dan
diproses secara akurat oleh aplikasi itu.
Sertakan:
Kontrol input: memeriksa data untuk keakuratan
dan kelengkapan saat mereka memasuki sistem
Kontrol pemrosesan: menetapkan bahwa data
lengkap dan akurat selama pemutakhiran.
Kontrol output: memastikan bahwa Hasil
pengolahan komputer akurat, lengkap, dan
terdistribusi dengan baik.

2. Kontrol umum
- Mengatur desain, keamanan, dan penggunaan
program komputer dan keamanan file data secara
umum di seluruh infrastruktur teknologi informasi
perusahaan
- Terapkan untuk semua aplikasi terkomputerisasi
- Kombinasi perangkat keras, perangkat lunak, dan
prosedur manual untuk menciptakan lingkungan
pengendalian keseluruhan

Jenis kontrol umum

Kontrol perangkat lunak: Antivirus, Firewall
Kontrol perangkat keras: password, PIN, sidik jari
Kontrol operasi computer
Berkaitan dengan pengolahan transaksi dan backup
dan recovery data
Memproses lingkungan
Pengolahan Batch: Transaksi serupa dikumpulkan
dan diproses secara bersamaan
Proses real-time: Transaksi diproses karena terjadi
tanpa penundaan
Metode penyelesaian kegagalan pemrosesan
Pemisahan tugas
Analis sistem
Pemrogram
Operator komputer
File dan data
Label untuk memastikan penggunaan file yang
sesuai
Penyimpanan di lokasi terpencil dan terlindungi
(disaster recovery)
Kakek-ayah-anak
Kontrol keamanan data:
Berkaitan dengan membatasi penggunaan program
dan data kepada pengguna yang berwenang
Contoh
Kata sandi
Logoff terminal otomatis
Tinjau hak akses dan bandingkan dengan
penggunaan (melalui log)
Laporkan dan komunikasikan pelanggaran
keamanan
Kontrol implementasi:
ditujukan untuk menilai apakah rencana, progam
dan Kebijakan sebenarnya membimbing
organisasi menuju tujuan yang telah ditentukan
atau tidak
jika sumberdaya berkomitmen untuk sebuah proyek
di setiap titik waktu yang tidak menguntungkan di
organisasi seperti yang dibayangkan, Langkah
korektif seharusnya segera dilakukan
Dua tipe dasar kontrol implementasi adalah:
- Monitoring strategic thrusts
untuk menyetujui lebih awal proses perencanaan
yang menyodorkan faktor sangat penting dalam
keberhasilan strategi.
-Milestone Reviews
Tonggak penting dalam pengembangan dari sebuah
program, seperti titik dimana komitmen sumber
daya harus dibuat
Kontrol administrative
Kontrol administratif terdiri dari berbagai kebijakan
dan persyaratan yang ditetapkan di
tingkat administratif (mis., oleh penyidik utama,
supervisor laboratorium, departemen
kursi, komite keselamatan departemen, atau Kantor
Kesehatan dan Keselamatan Lingkungan Universitas)
untuk mempromosikan keselamatan di
laboratorium. Mereka mungkin termasuk:
Memastikan bahwa semua petugas laboratorium
diberi pelatihan yang memadai untuk
memungkinkannya
mereka untuk melakukan tugasnya dengan aman
(lihat Bagian 4.0 Informasi dan Pelatihan).
Memerlukan persetujuan sebelumnya dan
tindakan pengendalian tambahan untuk beberapa
hal yang sangat berbahaya
operasi atau aktivitas.
Membatasi akses ke area di mana bahan kimia
berbahaya digunakan.
Mengeposkan tanda yang tepat untuk
mengidentifikasi bahaya spesifik di suatu area.
Memerlukan berbagai praktik standar untuk
keselamatan bahan kimia dan tata kesehatan yang
baik
diamati setiap saat di laboratorium.

Penilaian risiko: Menentukan tingkat risiko terhadap

perusahaan jika aktivitas atau proses tertentu tidak
terkontrol dengan baik
Jenis ancaman
Probabilitas terjadinya selama tahun
Potensi kerugian, nilai ancaman
Kehilangan tahunan yang diharapkan
melihat faktor penting lain dalam membangun
kerangka kerja yang sesuai untuk keamanan dan
pengendalian, penilaian risiko. Meski tidak semua
risiko dapat diantisipasi dan diukur, kebanyakan
bisnis harus bisa mengidentifikasi banyak risiko yang
mereka hadapi. Tabel tersebut menggambarkan
hasil sampel dari penilaian risiko untuk sistem
pemrosesan pesanan online yang memproses
30.000 pesanan per hari. Kemungkinan setiap
pemaparan yang terjadi selama periode satu tahun
dinyatakan sebagai persentase. Kehilangan tahunan
yang diharapkan adalah hasil dari mengalikan
probabilitas dengan rata-rata kerugian.

Kebijakan keamanan
Beri peringkat risiko informasi, identifikasi tujuan
keamanan yang dapat diterima, dan identifikasi
mekanisme untuk mencapai tujuan ini
Mendorong kebijakan lainnya
Kebijakan penggunaan yang dapat diterima (AUP)
Mendefinisikan penggunaan sumber informasi
perusahaan dan peralatan komputasi yang dapat
diterima
Kebijakan otorisasi
Tentukan tingkat akses pengguna yang berbeda
terhadap aset informasi
melihat kebutuhan perusahaan untuk menetapkan
kebijakan keamanan untuk melindungi aset
perusahaan, serta kebijakan perusahaan lain yang
didorong oleh kebijakan keamanan, dan bagaimana
sistem informasi mendukung hal ini. Teks tersebut
memberi contoh kebijakan keamanan di Unilever,
perusahaan barang konsumsi multinasional, yang
mengharuskan setiap karyawan laptop atau
handheld genggam untuk menggunakan perangkat
yang disetujui dan menggunakan kata sandi atau
metode identifikasi lainnya saat masuk ke jaringan
perusahaan. Tanyakan kepada siswa jenis masalah
apa yang tercakup dalam AUP. (Privasi, tanggung
jawab pengguna, dan penggunaan pribadi peralatan
dan jaringan perusahaan, tindakan yang tidak dapat
diterima dan dapat diterima untuk setiap pengguna,
dan konsekuensi untuk ketidakpatuhan.)

Pengelolaan identitas
Proses dan alat bisnis untuk mengidentifikasi
pengguna sistem dan akses kontrol yang valid
Mengidentifikasi dan mengotorisasi kategori
pengguna yang berbeda
Menentukan bagian pengguna sistem mana yang
dapat diakses
Mengotentikasi pengguna dan melindungi identitas
Sistem manajemen identitas
Menangkap aturan akses untuk berbagai tingkat
pengguna
melihat area kebijakan keamanan yang terlibat
dalam pengelolaan identitas pengguna sistem.
Tanyakan kepada siswa mengapa bisnis menganggap
penting untuk menentukan bagian mana dari sistem
informasi yang dimiliki pengguna? Informasi macam
apa yang memerlukan tingkat akses keamanan yang
sangat tinggi? Aturan apa yang bisa digunakan untuk
menentukan aturan akses? Satu aturan adalah
"perlu diketahui."

untuk pencegahan atau meminimalkan dampak

dari bencana, setiap organisasi yang aktivitasnya
sudah memanfaatkan teknologi informasi
biasanya sudah memiliki:
a. Rencana Kesinambungan Kegiatan (pada
perusahaan dikenal dengan Bussiness
Continuity Plan) yaitu suatu fasilitas atau
prosedur yang dibangun untuk menjaga
kesinambungan kegiatan/layanan apabila terjadi
bencana
b. Rencana Pemulihan Dampak Bencana
disaster recovery plan, yaitu fasilitas atau
prosedur untuk memperbaiki dan/atau
mengembalikan kerusakan/dampak suatu
bencana ke kondisi semula. Disaster recovery
plan ini juga meliputi kemampuan untuk
prosedur organisasi dan back up pemrosesan,
penyimpanan, dan basis data.

Perencanaan kesinambungan bisnis: Fokus pada

pemulihan operasi bisnis setelah bencana
Kedua jenis rencana tersebut diperlukan untuk
mengidentifikasi sistem perusahaan yang paling
kritis
Analisis dampak bisnis untuk menentukan dampak
dari outage
Manajemen harus menentukan sistem mana yang
dipulihkan terlebih dahulu
kegiatan penting yang dilakukan perusahaan untuk
memaksimalkan keamanan dan pengendalian, di sini
melihat perencanaan untuk kegiatan jika terjadi
bencana, seperti banjir, gempa bumi, atau
pemadaman listrik. Perhatikan bahwa rencana
pemulihan bencana berfokus terutama pada
masalah teknis yang terkait dalam menjaga agar
sistem tetap berjalan, seperti file yang akan dibuat
cadangan dan pemeliharaan sistem komputer
cadangan atau layanan pemulihan bencana. Teks
tersebut memberi contoh MasterCard, yang
mengelola pusat komputer duplikat di Kansas City,
Missouri, untuk dijadikan cadangan darurat ke pusat
komputer utamanya di St. Louis.

Audit SIM
Memeriksa lingkungan keamanan keseluruhan
perusahaan serta kontrol yang mengatur sistem
informasi individu
Meninjau teknologi, prosedur, dokumentasi,
pelatihan, dan personil.
Mungkin bahkan mensimulasikan bencana untuk
menguji respon teknologi, staf IS, karyawan lainnya
Daftar dan peringkat semua kelemahan kontrol dan
perkiraan kemungkinan kejadiannya
Menilai dampak finansial dan organisasi dari setiap
ancaman
Audit MIS memungkinkan perusahaan menentukan
apakah tindakan dan pengendalian keamanan yang
ada efektif.