A.

Keamanan Sistem Informasi

Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem
keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database,
prosedur, dan pelaporan. Sistem keamanan komputer dikembangkan dengan menerapkan metode
analisis, desain, implementasi, serta operasi, evaluasi, dan pengendalian. Secara kolektif,
keempat fase tersebut disebut manajemen risiko sistem informasi. Manajemen risiko sistem
informasi merupakan proses untuk menaksir dan mengendalikan risiko sistem komputer. Agar
sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security officer (CSO).
Individu tersebut harus melapor langsung pada dewan direksi demi terciptanya independensi.

Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem.
Pendekatan kuantitatif untuk menaksir resiko (menghitung setiap eksposur kerugian sebagai hasil
kali biaya kerugian setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut.
Metode kedua yang dapat digunakan untuk menaksir risiko keamanan komputer adalah
pendekatan kualitatif (pendekatan ini secara sederhana merinci daftar kerentanan dan ancaman
terhadap sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kontribusi
setiap item tersebut terhadap total eksposur kerugian perusahaan.

B. Kerentanan dan Ancaman

Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan

suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman : aktif
dan pasif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase komputer.
Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir,
kebakaran, dan angin badai. Kegagalan sistem menggambarkan kegagalan komponen peralatan
sistem, seperti kegagalan harddisk, matinya aliran listrik, dan lain sebagainya. Kejahatan
berbasis komputer merupakan bagian dari masalah umum kejahatan kerah putih. Masalah
kejahatan kerah putih merupakan masalah yang serius. Statistik menunjukkan bahwa kerugian
perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat suap, perampokan,
dan pencurian. Keamanan sistem informasi merupakan masalah internasional. Banyak negara
memiliki undang-undang yang ditujukan pada masalah keamanan komputer.
 Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware,
file data yang sensitive, atau program yang kritis. Tiga kelompok individu – personel sistem,
pengguna, dan penyusup memiliki perbedaan kemampuan untuk mengakses hal-hal tersebut di
atas. Personel sistem kerap kali merupakan ancaman potensial karena mereka diberi berbagai
kewenangan akses terhadap data dan program yang sensitif, adapun pesonel sistem meliputi
personel pemeliharaan komputer, programmer,operator, personel administrasi sistem informasi,
dan karyawan pengendali data. Pengguna, hanya diberi akses terbatas, tetapi mereka masih
memiliki cara untuk melakukan kecurangan. Dalam beberapa kasus, pengguna memiliki kendali
terhadap input komputer yang cukup penting, seperti memo kredit, kredit rekening, dan lain
sebagainya. Penyusup tidak diberi akses sama sekali, tetapi mereka sering merupakan orang-
orang yang sangat cerdas yang bisa menimbulkan kerugian yang sangat besar pada perusahaan.
penyusup yang menyerang sistem informasi sebagai sebuah kesenangan dan tantangan dikenal
dengan nama hacker. Tipe lain dari penyusup mencakup unnoticed intruder. Wiretapper,
piggybacker, impersonating intruder, dan eavesdropper.

Terdapat enam metode yang dapat digunakan untuk melakukan kecurangan sistem
infromasi. Metode ini meliputi manipulasi input (merupakan metode yang biasa digunakan,
metode ini meliputi: manipulasi input, perubahan program,perubahan file secara langsung,
pencurian data, sabotase, dan penyalahgunaan atau pencurian sumber daya informasi).
Mengubah Program (merupakan metode yang paling jarang digunakan untuk melakukan
kejahatan komputer, langkanya penggunaan metode ini mungkin karena dibutuhkan keahlian
pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas). Mengubah file secara
langsung ( individu-individu tertentu menemukan cara untuk memotong proses normal untuk
menginputkan data ke dalam program komputer). Pencurian Data ( pencurian data merupakan
salah satu masalah yang cukup serius dalam dunia bisnis hari ini. Dalam industry dengan tingkat
persaingan yang sangat tinggi, informasi kuantitatif dan kualitatif terkait dengan salah seorang
pesaing merupakan salah satu informasi yang cukup diburu). Sabotase (sabotase komputer
membahayakan sistem informasi, perusakan sebuah komputer atau perangkat lunak dapat
menyebabkan kebangkrutan suatu perusahaan. karyawan yang tidak puas, khususnya yang telah
dipecat, biasanya merupakan pelaku sabotase utama). Penyalahgunaan atau Pencurian
Sumber Daya Informasi ( salah satu jenis penyalahgunaan informasi terjadi pada saat seorang
karyawan menggunakan sumber daya komputer organisasi untuk kepentingan pribadi )
C. Sistem Keamanan Sistem Informasi

Sistem keamanan komputer merupakan bagian dari struktur pengendalian internal

perusahaan secara keseluruhan. Keamanan sistem informasi merupakan sebuah aplikasi prinsip-
prinsip pengendalian internal yang secara khusus digunakan untuk mengatasi masalah-masalah
dalam sistem informasi. Lingkungan Pengendalian merupakan dasar keefektifan seluruh sistem
pengendalian. Pembangunan lingkungan pengendalian yang bagus tergantung pada delapan
faktor, adapun faktor tersebut : filosofi manajemen dan gaya operasi, struktur organisasi, dewan
direksi dan komitenya, aktivitas pengendalian manajemen, fungsi audit internal, kebijakan,
praktik personalia, dan pengaruh eksternal. Pengendalian Ancaman Aktif, cara utama untuk
mecegah ancaman aktif terkait dengan kecurangan dan sabotase adalah dengan menerapkan
tahap-tahap pengendalian akses. Jika semua pengendalian organisasi umum dan pengendalian
pengolahan data ada dan berfungsi sebagaimana mestinya, pertimbangan utama yang penting
adalah membatasi akses illegal ke data dan peralatan yang sensitive. Filosofi di balik pendekatan
berlapis untuk pengendalian akses melibatkan pembangunan banyak tahap pengendalian yang
memisahkan calon penyusup dari sasaran potensial mereka. Tiga tahap yang dapat digunakan
adalah pengendalian akses lokasi, pengendalian akses sistem, dan pengendalian akses file.
Pengendalian Ancaman Pasif, ancaman pasif mencakup masalah seperti kegagalan perangkat
keras dan mati listrik. Pengendalian terhadap ancaman semacam ini dapat berupa pengendalian
preventif maupun korektif. Adapaun yang termasuk pengendalian ancaman pasif: Sistem
Toleransi Kesalahan, Memperbaiki Kesalahan : Backup File. Keamanan Internet, keamanan
internet menuntut perhatian khusus karena koneksi perusahaan dengan internet memberi peluang
bagi perusahaan untuk menjadi sasaran setiap hacker yang ada di dunia

D. Pengelolaan Risiko Bencana

Pengelolaan risiko bencana mencakup pencegahan dan perencanaan kontingensi.

Pencegahan bencana merupakan langkah pertama pengelolaan risiko bencana. Rencana
pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam perusahaan.
rencana tersebut disetujui oleh komite dewan direksi debagai bagian dari perencanaan keamanan
komputer secara umum.
 DAFTAR PUSTAKA

Bodnar, George H dan William S. Hopwood. 2006. Sistem Informasi Akuntasi, Edisi 9.
Yogyakarta: Andi