Slide 7 Hal 3 ( Prosedur Perubahan Program ).

Tujuan Keamanan Sistem Informasi

Keamanan sistem mengacu pada perlindungan terhadap semua sumberdaya informasi organisasi
dari ancaman oleh pihak-pihak yang tidak berwenang. Institusi/organisasi menerapkan suatu program
keamanan sistem yang efektif dengan mengidentifikasi berbagai kelemahan dan kemudian
menerapkan perlawanan dan perlindungan yang diperlukan.
Keamanan sistem dimaksudkan untuk mencapai tiga tujuan utama yaitu; kerahasiaan,
ketersediaan dan integritas.
1. Kerahasian. Setiap organisasi berusaha melindungi data dan informasinya dari pengungkapan
kepada pihak-pihak yang tidak berwenang. Sistem informasi yang perlu mendapatkan prioritas
kerahasian yang tinggi mencakup; sistem informasi eksekutif, sistem informasi kepagawaian
(SDM), sistem informasi keuangan, dan sistem informasi pemanfaatan sumberdaya alam.
2. Ketersediaan. Sistem dimaksudkan untuk selalu siap menyediakan data dan informasi bagi mereka
yang berwenang untuk menggunakannya. Tujuan ini penting khususnya bagi sistem yang
berorientasi informasi seperti SIM, DSS dan sistem pakar (ES).
3. Integritas. Semua sistem dan subsistem yang dibangun harus mampu memberikan gambaran yang
lengkap dan akurat dari sistem fisik yang diwakilinya.

Semakin meningkatnya kerentanan dan gangguan terhadap teknologi informasi telah membuat
para pengembang dan pengguna sistem informasi untuk menempatkan perhatian yang khusus,
terutama terhadap permasalahan-permasalahan yang dapat menjadi kendala untuk penggunaan
sistem informasi secara memadai. Paling tidak ada 3 hal yang menjadi perhatian khusus di sini, yaitu:
1. Bencana (disaster).
Perangkat keras komputer, program-program, file-file data, dan peralatan-peralatan computer
lain dapat dengan seketika hancur oleh karena adanya bencana, seperti: kebakaran, hubungan
arus pendek (listrik), tsunami, dan bencana-bencana lainnya. Jika bencana ini menimpa, mungkin
perlu waktu bertahun-tahun dan biaya yang cukup besar (jutaan dan bahkan mungkin milyaran
rupiah) untuk merekonstruksi file data dan program komputer yang hancur. Oleh karenanya,
untuk pencegahan atau meminimalkan dampak dari bencana, setiap organisasi yang aktivitasnya
sudah memanfaatkan teknologi informasi biasanya sudah memiliki :
a. Rencana Kesinambungan Kegiatan (pada perusahaan dikenal dengan Bussiness Continuity
Plan) yaitu suatu fasilitas atau prosedur yang dibangun untuk menjaga kesinambungan
kegiatan/layanan apabila terjadi bencana.
 b. Rencana Pemulihan Dampak Bencana “disaster recovery plan”, yaitu fasilitas atau prosedur
untuk memperbaiki dan/atau mengembalikan kerusakan/dampak suatu bencana ke kondisi
semula. Disaster recovery plan ini juga meliputi kemampuan untuk prosedur organisasi dan
“back up” pemrosesan, penyimpanan, dan basis data.
1. Sistem Pengamanan (security).
Merupakan kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah
akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik terhadap sistem
informasi. Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan perangkat keras dan
lunak komputer, jaringan komunikasi, dan data.
2. Kesalahan (errors).
Komputer dapat juga menyebabkan timbulnya kesalahan yang sangat mengganggu dan
menghancurkan catatan atau dokumen, serta aktivitas operasional organisasi. Kesalahan (error)
dalam sistem yang terotomatisasi dapat terjadi di berbagai titik di dalam siklus prosesnya,
misalnya: pada saat entri-data, kesalahan program, operasional komputer, dan perangkat keras.
Kejahatan komputer dapat digolongkan kepada yang sangat berbahaya sampai ke yang
hanya mengesalkan (annoying). Menurut David Icove berdasarkan lubang keamanan, keamanan
dapat diklasifikasikan menjadi empat, yaitu:
1. Keamanan yang bersifat fisik (physical security): termasuk akses orang ke gedung, peralatan
dan media yang digunakan. Beberapa bekas penjahat computer (crackers) mengatakan bahwa
mereka sering pergi ke tempat sampah untuk mencari berkas-berkas yang mungkin memiliki
informasi tentang keamanan. Misalnya pernah diketemukan coretan password atau manual
yang dibuang tanpa dihancurkan. Wiretapping atau hal hal yang berhubungan dengan akses
ke kabel atau computer yang digunakan juga dapat dimasukkan ke dalam kelas ini. Denial of
service, yaitu akibat yang ditimbulkan sehingga servis tidak dapat diterima oleh pemakai juga
dapat dimasukkan ke dalam kelas ini. Denial of service dapat dilakukan misalnya dengan
mematikan peralatan atau membanjiri saluran komunikasi dengan pesan - pesan (yang dapat
berisi apa saja karena yang diutamakan adalah banyaknya jumlah pesan). Beberapa waktu
yang lalu ada lubang keamanan dari implementasi protokol TCP/IP yang dikenal dengan istilah
Syn Flood Attack, dimana sistem (host) yang dituju.
2. Keamanan yang berhubungan dengan orang (personel): termasuk identifikasi, dan profil
resiko dari orang yang mempunyai akses (pekerja).Seringkali kelemahan keamanan sistem
informasi bergantung kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang
dikenal dengan istilah “social engineering” yang sering digunakan oleh kriminal untuk
 berpura-pura sebagai orang yang berhak mengakses informasi. Misalnya kriminal ini berpura-
pura sebagai pemakai yang lupa passwordnya dan minta agar diganti menjadi kata lain.
3. Keamanan dari data dan media serta teknik komunikasi (communications). Yang termasuk di
dalam kelas ini adalah kelemahan dalam software yang digunakan untuk mengelola data.
Seorang kriminal dapat memasang virus atau trojan horse sehingga dapat mengumpulkan
infor- masi (seperti password) yang semestinya tidak berhak diakses.
4. Keamanan dalam operasi: termasuk prosedur yang digunakan untukmengatur dan mengelola
sistem keamanan, dan juga termasuk prosedur setelah serangan (post attack recovery).