KELOMPOK 4 NIM/ABSEN TTD

KADEK DINA SABINA RINI 1515351090/06

NI MADE ANTINA DEWI NATAMI 1515351092/08
CHANDRIKA HUTAMI PRARIADENA 1515351103/18
IDA AYU DEWI PRAYOGI MANUABA 1515351105/20
NI PUTU AYU INDIRA YUNI 1515351112/26

KEAMANAN SISTEM INFORMASI DAN SISTEM KEAMANAN SISTEM

INFORMASI

5.1 KEAMANAN SISTEM INFORMASI: SEBUAH TINJAUAN

Sistem keamanan informasi merupakan suatu subsistem dalam suatu
organisasi yang bertugas mengendalikan risiko yang terkait dengan sistem informasi
berbasis komputer.
5.1.1 Siklus Hidup Sistem Keamanan Informasi
Sistem keamanan elektronik merupakan sebuah sistem informasi. Sistem keamanan
computer dikembangkan dengan menerapkan metode analisis, desain, implementasi, serta
operasi evaluasi, dan pengendalian. Tujuan setiap tahap siklus hidup ini adalah sebagai
berikut:
Fase Siklus Hidup Tujuan
Analisis Sistem Analisis kerentaan sistem dalam arti ancaman yang
relevan dan eksposur kerugian yang terkait dengan
ancaman tersebut.
Desain Sistem Desain ukuran keamanan dan rencana kontingensi untuk
mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi Sistem Menerapkan ukuran keamanan seperti yang telah
didesain.
Operasi, evaluasi, dan Mengoperasikan sistem dan menaksir efektivitas dan
pengendalian sistem efisiensi.
Membuat perubahan sebagaimana diperlukan dengan
kondisi yang ada.

1
5.1.2 Sistem Keamanan Informasi dalam Organisasi
Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief
security officer (CSO). Tugas utama CSO adalah memberikan laporan kepada
dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini
mencakup setiap fase dari siklus hidup.
Fase Siklus Hidup Tujuan
Analisis Sistem Sebuah ringkasan terkait dengan semua eksposur
kerugian yang relevan.
Desain Sistem Rencana detail mengenai pengendalian dan pengelolaan
kerugian, termasuk anggaran sistem keamanan secara
lengkap.
Implementasi Sistem, Mengungkapkan secara spesifik kinerja sistem keamanan,
operasi, evaluasi, dan termasuk kerugian dan pelanggaran keamanan yang
pengendalian system terjadi, analisis kepatuhan, serta biaya operasi sistem
keamanan.

5.1.3 Menganalisis Kerentanan dan Ancaman

Terdapat dua pendekatan dalam menganalisis kerentanan dan ancaman, yaitu:
1. Pendekatan Kuantitatif. Pendekatan ini dipergunakan untuk menaksir risiko,
menghitung setiap eksposur kerugian sebagai hasil kali iaya kerugian setiap
item eksposur dengan kemungkinan terjadinya eksposur tersebut..
Kelemahan pendekatan kuantitatif:
a. Sulitnya mengidentifikasi biaya yang relvan untuk setiap item kerugian
dan menaksir probabilitas terjadinya eksposur tersebut.
b. Sulit mengestimasikan kemungkinan terjadinya suatu kerugian di masa
datang secara tepat, terlebih dalam lingkungan teknologi yang mengalami
perubahan sangat cepat
2. Pendekatan Kualitatif. Pendekatan ini secara sederhana merinci daftar
kerentanan dan ancaman terhadap sistem, kemudian secara subjektif

2
 meranking item-item tersebut berdasarkan kontribusi setiap item tersebut
terhadap total eksposur kerugian perusahaan.
5.2 KERENTANAN DAN ANCAMAN
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman
merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua
kelompok ancaman, yaitu aktif dan pasif. Ancaman aktif mencakup kecurangan
sistem informasi dan sabotase komputer. Ancaman pasif mencakup kegagalan sistem,
termasuk bencana alam, seperti gempa bumi, banjir, kebakaran, dan angin badai.
5.2.1 Tingkat Keseriusan Kecurangan Sistem Informasi
Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan
lebih besar dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini
mengejutkan karena kita jarang membaca kejahatan semacam ini di dalam media
massa. Hal ini terjadi karena di sebgian besar kasus kecurangan yang terdeteksi
jarang diajukan ke meja hijau karena bisa membuat public mengetahui kelemahan
pengendalian internal perusahaan.
5.2.2 Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi
Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap
hardware, file, data yang sensitif, atau program yang kritis. Tiga kelompok individu
yang dapat mengancam sistem informasi, yaitu personel sistem komputer, pengguna,
dan penyusup.
1. Personel Sistem Komputer
a. Personel Pemeliharaan Sistem
b. Programmer.
c. Operator Jaringan
d. Personel Administrasi Sistem Informasi
e. Karyawan Pengendali Data
2. Pengguna
3. Penyusup
a. Unnoticed Intruder
3
 b. Wiretapper (penyadapan)
c. Piggybacker
d. Impersonating Intruder
e. Eavesdroppers
5.2.3 Ancaman Aktif pada Sistem Informasi
Metode yang dapat digunakan dalam melakukan kecurangan sistem informasi:
1. Manipulasi input. Manipulasi input merupakan metode yang biasa digunakan.
Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang
bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi
sistem komputer.
2. Mengubah program. Merubah program mungkin merupakan metode yang
paling jarang digunakan untuk melakukan kejahatan komputer. Langkanya
penggunaan metode ini mungkin karena dibutuhkan keahlian pemrograman
yang hanya dimiliki oleh sejumlah orang yang terbatas.
3. Mengubah file secara langsung. Dalam nenerapa kasus, individu-individu
tertentu menemukan cara untuk memotong (bypass) proses normal untuk
menginputkan data ke dalam program computer. Jika hal itu terjadi, hasil yang
dituai adalah bencana.
4. Pencurian data. Sejumlah informasi ditransmisikan antarperusahaan melalui
internet. Informasi ini rentan terhadap pencurian pada saat transmisi.
Informasi bisa saja disadap.
5. Sabotase. Seorang penyusup menggunakan sabotase untuk membuat
kecurangan menjadi sulit dan membingungkan untuk diungkapkan.
6. Penyalahgunaan atau pencurian sumber daya informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan
menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.
5.3 SISTEM KEAMANAN SISTEM INFORMASI

4
 Keamanan sistem informasi merupakan sebuah aplikasi prinsip-prinsip
pengendalian internal yang secara khusus digunakan untuk mengatasi masalah-
masalah dalam sistem informasi.

5.3.1 Lingkungan Pengendalian

Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem
pengendalian. Pembangunan lingkungan pengendalian yang bagus tergantung pada
delapan faktor. Setiap faktor terkait dengan sistem keamanan komputer yaitu :
a. Filosofi manajemen dan gaya operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan
moral yang tinggi dan suatu lingkungan yang kondusif utuk mendukung
terwujudnya keamanan.
b. Struktur organisasi
Dalam banyak organisasi, akuntansi, komputer dan pemrosesan data
semuanya diorganisasi di bawah chief information officer(CIO).
c. Dewa direksi dan komitenya
Dewan direksi harus menunjukkan komite audit. Komite audit harus
menunjukkan atau menyetujui pemilihan auditor internal.
d. Metode pembagian otoritas dan tanggung jawab
Tanggung jawab semua posisi harus didokumentasikan dengan hati-hati
menggunakan struktur organisasi, manual kebijakan, deskripsi kerja dan lain
sebagainya.
e. Aktivitas pengendalian manajemen
Penting untuk membangun pengendalian terkait dengan penggunaan dan
pertanggungjawaban semua sumber daya sistem komputer dan informasi.
f. Fungsi audit internal
Sistem keamanan komputer harus diaudit secara konstan dan dimodifikasikan
untuk memenuhi kebutuhan yang terus berubah.
g. Kebijakan dan praktik personalia
Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, vakasi wajib, dan
pengecekan ganda semua merupakan praktik personalia yang penting.
h. Pengaruh eksternal
Sistem informasi perusahaan harus sesuai dengan hukum dan regulasi lokal,
federal, dan negara bagian.
5
5.3.2 Pengendalian Ancaman Aktif
Cara utama untuk mencegah ancaman aktif terkait dengan kecurangan dan
sabotase adalah dengan menerapkan tahap-tahap pengendalian akses. Jika semua
pengendalain organisasi umum dari pengendalain pengolahan data dan berfungsi
sebagaimana mestinya, pertimbangan utama yang penting adalah membatasi akses
ilegal ke data dan peralatan yang sensitif. Langkah pertama membangun
pengendalian akes adalah mengelompokkan semua data dan peralatan sesuai dengan
tingkat kepentingan dan tingkat kerentanan data dan peralatan tersebut. Ada beberapa
kelompok pengendalian ancaman aktif yaitu :
a. Pengendalian akses lokasi
Tujuan pengendalian akses lokasi adalah untuk memisahkan secara fisik
individu yang tidak berwenang dari sumber daya komputer.
b. Pengendalian akses sistem
Pengendalian akses sistem merupakan suatu pengendalian dalam bentuk
perangkat lunak yang didesain untuk mencegah penggunaan sistem oleh
pengguna yang illegal.
c. Pengendalian akses file
Pengendalian akses file yang paling fundamental adalah pembuatan petunjuk
dan prosedur legal untuk mengakses dan mengubah file.
5.3.3 Pengendalian Ancaman Pasif
Ancaman pasif mencakup masalah seperti kegagalan, perangkat keras dan
mati listrik. Pengendalian ancaman semacam ini dapat berupa pengendalian preventif
maupun korektif.Ada beberapa kelompok pengendalian ancaman pasif yaitu :
a. Sistem toleransi kesalahan
Sebagian besar metode yang digunakan untuk menangani kegagalan
kompenen sistem adalah pengawasan dan redundancy. Jika salah satu sistem
gagal, bagian yang redundant akan segera mengambil alih, dan sistem dapat
terus beroperasi tanpa interupsi.
b. Memperbaiki kesalahan : backkup file
Skema back up yang paling sederhana adalah melakukan backup penuh secara
periodik. Sesudah backup dilakukan kedalam suatu media, media tersebut
(tape atau optical disk) mesti segera disingkirkan ke area penyimpanan yang
terpisah.

6
5.3.4 Keamanan Internet
Topik mengenai keamanan internet menuntut perhatian khusus karena koneksi
perusahaan dengan internet memberi peluang bagi perusahaan untuk menjadi sasaran
setiap hacker yang ada didunia. Ada beberapa jenis kerentanan yaitu :
a. Kerentanan sistem operasi
b. Kerentanan web server
c. Kerentanan jaringan privat
d. Kerentanan berbagai program server.
e. Prosedur keamanan umum

5.4 PENGELOLAAN RISIKO BISNIS

Pengelolaan risiko bencana memperhatikan pencegahan dan perencanaan
kontingensi. Dalam suatu kasus, asuransi mungkin dapat membantu mengendalikan
risiko, tetapi banyak perusahaan asuransi enggan menanggung biaya interupsi bisnis
perusahaan besar, khususnya perusahaan yang tidak memiliki perencanaan pemulihan
dari bencana yang mungkin terjadi. Ada beberapa pencegahan dan perencanaan
kontingensi yaitu :
1. Mencegah Terjadinya Bencana
Banyak bencana yang bersal dari sabotase dan kesalahan yang dapat
dicegah dengan kebijakan dan perencanaan keamanan yang baik.
2. Perencanaan Kontingensi untuk Mengatasi Bencana
Rencana pemulihan dari bencana harus diimplementasikan pada level
tertinggi didalam perusahaan. Idealnya, rencana pemulihan mesti
mendapatkan persetujuan dari dewan direksi sebagai bagian dari
perencanaan kemanan komputer secara umum. Ada beberapa perencanaan
kontingensi untuk mengatasi bencana yaitu :
a. Menaksir kebutuhan penting perusahaan
b. Daftar prioritas pemulihan dari bencana
c. Strategi prioritas pemulihan dari bencana
d. Strategi dan prosedur pemulihan
e. Pusat respon darurat
f. Prosedur eskalasi
g. Menentukan pemrosesan komputer alternatif

7
 h. Rencana relokasi karyawan
i. Rencana penggantian karyawan
j. Perencanaan penyelamatan
k. Perencanaan pengujian sistem dan pemeliharaan system.

REFERENSI

Bodnar, George H, dan Hopwood, William S. 2006. Sistem Informasi Akuntansi,

Edisi 9. Yogyakarta : ANDI.