SISTEM INFORMASI MANAJEMEN

Melindungi Sistem Informasi

NAMA KELOMPOK :

Devanda Aji Radhany 041511333224

Novanda Aji Radhana 041511333227

Akbar Maulana Ashar 041511333269

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS AIRLANGGA

2016
8.1. Kerentanan Dan Penyalahgunaan Sistem

Saat kita menggunakan komputer, kita membutuhkan antivirus yang bertugas untuk
mengamankan data kita. Karena, kejika tidak maka bisa jadi komputer kita akan tiba-tiba rusak
dan sulit lagi untuk dikembalikan. Pengaman (security) merujuk pada kebijakan, prosedur, dan
pengukuran teknik yang digunakan unutk mencegah akses yang tidak sah, penggantian,
pencurian, atau kerusakan fisik pada sistem informasi. Pengendalian (control) terdiri dari semua
metode, kebijakan, dan prosedur organisasi yang menjamin keelmatanaset-aset organisasi;
ketepatan dan keandalan catatan rekeningnya; serta kepatuhan operasional pada standar-standar
manajemen.

Mengapa Sistem Menjadi Rentan

Ketika sejunlah besar data disimpan dalam bentuk elektronik, data tersebut rentan
terhadap begitu banyak jenis ancaman dari pada ketika data disimpan dalam bentuk manual.
Pada tingkat klien, bisa saja secara tidak sengaja mendownload virus yang tidak diketahui.
Apabila kita berhubungan dengan perusahaan lain, hal ini juga menambah kerentanan sistem,
akrena tanpa perlindungan yang kuat maka informasi privasi berharga akan bocor.
Kerentanan Internet

Jaringan publik yang secara aktif berhubungan dengan internet, menggunakan modem
DSL. Lebih rentan ditembus olehpihak luar dibandingkan saluran telfon. Layanan telpon yang
berdasarkan teknologi internet menjadi lebih rentan dibandingkan jaringan telpon tanpa jaringan
internet. Kerentanan juga meningkat dari pengguna e-mail dan pesan singkat yang tersebar luas.

Tantangan Pengaman Nirkabel

Jaringan nirkabel di banyak lokasi tidak memiliki perlindungan dasar melawan war
driving, dimana para penyusup mendekati suatu gedung atau taman dan mencoba memasuki
jalur jaringan nirkabel. Standar keamanan mula-mula yang dikembangkan untuk WiFi yang
disebut Wired Equivalent Privacy (WEP), sangat tidak efektif. Karena WEP menggunakan satu
kata sandi yang dapat secara mudah di deskripsi oleh para hacker dengan mudah.

Peranti Lunak Berbahaya : Virus, Worm, Trojan Horse, dan Spyware

Program peranti lunak yang berbahaya, biasanya disebut malware dan meliputi berbagai
jenis ancaman, seperti virus komputer, worm, dan trojan horse. Virus komputer (computer
virus) adalah program peranti lunak berbahayayang menempelkan dirinya ke program
lainnyaatau file dan data untuk dieksekusi, biasanya tanpa sepenga=etahuan atau seizin
pengguna. Worm merupkana program komputer independent yang menyalin diri sendiri dari
satu komputer ke komputer lain dalam jaringan. Trojan Horse (kuda troya) adalah program
peranti lunak yang tampaknya tidak berbahaya tapi justru berbuat sesuatu yang tidak
diperkirakan. Trojan yang sbeennarnya bukan virus tapi memberi jalan bagi virus berbahaya
untuk masuk kedalam sistem komputer. Spyware memasang diri secara sembunyi-sembunyi di
komputer anda untuk memantau kegiatan penelusuran web oleh pengguna komputer untuk
memunculkan iklan.

Hacker dan Kejahatan Komputer

Hacker adalah sesorang yang ingin mebndapatkan akses tidak sah kedalam sistem
komputer. Cracker sendiri merujuk pada seorang hacker yang ingin memiliki maksud kriminal.
Aktivitas hacker telah meluas, bukan hanya menyusup, namun juga mencuri data, merusak
sisten, dan cybervandalism yaitu gangguan, peruskana, atau bahka penghancuran situsatau sistem
informasi perusahaan secara disengaja.

Spoofing dan Sniffing

Spoofing dapat berupa pengalihan jalur sebuah situs Web ke sebuah alamat yang berbeda
dari situs web aslinya , dengan istus yang dismaarkan sebagai tujuan yang diinginkan. Sniffer
adalah sejenis program pencuri informasi yang memantau informasi dalam sebuah jaringan.

Serangan Penolakan Layanan

Dalam serangan penolakan layanan (denial of service- DoS Attack), hacker membanjiri
server jaringan atau server web dengan ribuan komunikasi palsu atau permohonan layanan palsu
untuk menyusup ke dalam jaringan. Jaringan menerima begitu banyak pertanyaan yang tidak
dapat ditanganinyadan oleh karena itu, tidak dapat menangani permintaan data yang legal.
Seranagn penolakan layanan terdistribusi (Distributed Denial of Service-Ddos)menggunakan
ratusan atau bahkan ribuan komputer untuk membanjiri sasaran dari banyak titik.

Kejahatan Komputer
 Sebagian besar kegiatan hacker adalah tindak pidana, dan kerentanan sistem . Kejahatan
komputer adalah didefinisikan oleh Departemen Kehakiman AS sebagai “pelanggaran hukum
pidana yang melibatkan pengetahuan teknologi komputer untuk perbuatan mereka, investigasi,
atau penuntutan. ”

Pencurian Identitas

Pencurian identitas merupakan kejahatan dimana seseorang penipu mendapatkan

informasi pribadi yang penting, yang digunakan untuk mendapatkan kredit, barang dagangan,
atau layanan atas nama korban untuk memberikan surat kuasa palsu untuk sipencuri. File kartu
kredit adalah salah satu sasaran utama para hacker. Taktik yang semakin populer adalah sejenis
spoffing yang dinamakan phishing. Teknik phising yang baru dinamakan evil twins dan
pharming yang lebih sulit untuk dideteksi. Pharming merupakan kegiatan mengalihkan pengguna
ke halam web yang palsu .

Click Fraud

Penipuan lewat klik (click Fraud) terjadi ketika sesorang atau program komputer dengan
curang mengklik sebuah iklan online tanpa maksud mempelajari lebih lanjut tentang pemasangan
iklanya atau melakukan pembelian.

Terorisme Maya dan Perang Maya

Kerentanan Internet atau jaringan lainnya semakin difokuskan perhatiannya, karena bisa
saja disalahguynakan oleh badan intelejen laur negeri, atau teroris. Untuk menghadapi ancaman
ini, Departemen kemanan Dalam Negreri AS memiliki Information Analysis and Infrastructure
Protection Diroctable untuk mengfoordinasikan pengamanan dunia maya.

Ancaman Internal : Karyawan

Ancaman terhadap perusahaan dapat berasal dari dalam perusahaan itu sendiri.
Contohnya karyawan yang membiarkan rekan-rekan karyawan lainnya untuk mengakses data
dengan kata sandi mereka, ini bisa saja terjadi apabila ada pihak lain yang menyamar menjadi
karyawan resmi untuk dapat mengakses data perusahaan. Praktik ini disebut dengan rekayasa
sosial (Sosial engineering)

Kerentanan Peranti Lunak

Peranti lunak komersial sering kali mengandung kerusakan yang tidak hanya
menciptakan kelemahan kinerja tapi juuga kerentanan keamanan yang membuka jaringan kepada
penyusup. Untuk memperbaiki kerusakan ini, setelah kesalah diidentifikasi, vendor peranti lunak
menciptakan program kecil yang disebut patch untuk memperbaiki kerusakan.

8.2 Nilai Bisnis Dari Pengamanan dan Pengendalian

Banyak perusahaan yang enggan untuk menghabikan banyak anggaran untuk

pengamanan karena ini tidak secara langsung berhubungan dengan pendapatan penjualan.
Namun apabila dimaati, sebagai contoh apabila suatu perusahaan besar data perusahannya dicuri
maka perushaan tersebut kehilangan sekitar 1,65 milyar dolar per setiap kejadian. Oleh karena
itu, perusahaan harus memperhatian sistem keamanan jangan sampai data pribadi perusahaan
tersebut dicuri oleh pihak pihak yang dapat merugikan perusahaan tersebut.

Persyaratan Hukum dan Peraturan Untuk Manajemen Catatan Elektronik

Manajemen Catatan Elektronik (electronic records management – ERM) terdiri atas

kebijakan, prosedur, dan peralatan untuk mengatur pemeliharaan, penghancuran, dan
penyimpnanan catatan elektronik. Jika kita bekerja di bidang perawatan kesehatan di AS,
perusahaan kita harus tunduk ada Health Insurance Portability and Accountability Act-HIPAA.
Jika kita bekerja pada perusahaan yang memberikan layanan keuangan, maka kita harus tunduk
pada Financial Services Modernization Act ( dikenal sebagai undang-undang Gramm – Leach-
Bliley) . Jika kita bekerja diperusahaan publik, maka harus tunduk pada Public Company
Accounting Reform and Investor Protection Act (dikenal Undang-undang Sarbanes Oaxley).
Bukti Elektronik dan Ilmu Forensik Komputer

Ilmu Forensik Komputer (computer forensics) adalah proses ilmiah dari pengumpulan,
pemeriksanaan, autentifikasi, pemeliharaan, dan analisis data yang dibuat pada atau diperoleh
dari media penyimpanan komputer dengan cara sedemikian hingga informasi tersebut dapat
digunakan sebagai bukti di pengadilan. Ilmu forensik komputer menangani masalah seperti
berikut : Memulihkan data dari komputer sambil menjaga integritas barang bukti, dengan aman
menyimpan data menangai data elektronik yang sudah pulih.

8.3 Menetapkan Kerangka Kerja Untuk Pengamanan dan pengendalian

Bahkan dengan alat-alat keamanan terbaik, sistem informasi Anda tidak akan dapat
diandalkan dan aman kecuali jika Anda tahu bagaimana dan di mana untuk menempatkan
mereka. Anda juga akan perlu mengembangkan keamanan rencana kebijakan dan untuk menjaga
bisnis Anda berjalan jika sistem informasi Anda tidak operasional.

SISTEM INFORMASI KONTROL

Kontrol sistem informasi yang baik manual dan otomatis dan terdiri dari kedua kontrol
umum dan pengendalian aplikasi. Kontrol umum mengatur desain, keamanan, dan penggunaan
program komputer dan keamanan file data di Kontrol aplikasi yang kontrol tertentu unik untuk
setiap komputerisasi aplikasi, seperti gaji atau perintah pengolahan. Mereka mencakup otomatis
dan prosedur manual yang memastikan bahwa data hanya berwenang benar-benar dan akurat
diproses oleh aplikasi tersebut.

Penilaian Resiko

Penilian Resiko (Risk Assesment) menentukan tingkat risiko pada perusahaan jika
aktivitas atau proses tertentu tidak dikendalikan dengan benar. Penilaian resiko membantu
menentukan perangkat pengendalian yang paling efektiv dari segi biaya untuk melindungi aset
perusahaan. Setelah resiko dinilai, para pembuat sistem akan berkonsentrasi pada faktor
pengendalian yang memiliki kerentanan dan potensi kerugian terbesar.
Kebijakan Pengamanan

Setelah mengidentifikasi resiko, kita perlu mengembangkan kebijakan pengamanan untuk

melindungi aset. Kebijakan pengamanan (security policy) terdiri atas pernyataan-pernyatan yang
menilai resiko informasi, mengidentifikiasi tujuan pengamanan . Dalam perusahan besar, fungsi
keamanan perusahan resmi dikepalai oleh chief security officer-CSO. Kebijakan penggunaan
yang dapat diterima (acceptable use policy – AUP) mendefinisikan penggunaan sumber-sumber
informasi perusahaan dan perangkat komputasi, termasuk PC dan laptop, perangkat nirkabel,
telepon, dan internet. Kebijakan otorisasi (authorization policy) menentukan tingkat akses yang
berbeda ke aset informasi untuk tingkat pengguna yang berbeda pula. Sistem manajemen
otoritasasi menentukan dimana dan kapan seseorang pengguna diizinkan untuk mengakses
bagian tertentu dari suatu situs atau basis data perusahaan.

Perencanaan Pemulihan Bencana dan Perencanaan Keberlangsungan Bisnis

Perencanaan pemulihan bencana (disaster recovery planning) merancang cara-cara

merestorasi layanan komputasi dan komunikasi setelah terganggu oleh suatu peristiwa, seperti
gempa bumi, banjir, atau serangan teroris. Fokus utama perencanaan pemulihan bencana adalah
pada isu teknis yang termasuk menjaag sistem tetap baikdan berjalan. Sedangkan perencanaan
keberlangsungan bisnis (business continuity planning) berfokus pada bagaimana perusahaan
dapat mengembalikan operasi bisnis setelah dilanda bencana.

Peran Proses Audit

Audit SIM (MIS Audit) menguji lingkungan pemangaman perusahan secara menyeluruh
sekaligus juga pengendalian yang mengatur sistem informasi perorangan. Auditor harus
menelusuri aliran transaksi sampel pada suatu sistem dan melakukan beberapa pengujian, jika
sesuai, auditor menggunakan peranti luna audit otomatis. Audit pengaman mengulas berbagai
teknologi, prosedur, dokumentasi, pelatihan, dan personalia.
8.4. TECHNOLOGIES DAN ALAT UNTUK MELINDUNGI SUMBER INFORMASI

Manajemen Identitas dan Otentifikasi

Perangkat lunak manajemen identitas mengotomatiskan proses melacak semua pengguna

ini dan sistem mereka hak, menetapkan setiap pengguna identitas digital yang unik untuk
mengakses setiap sistem.

Otentikasi mengacu pada kemampuan untuk mengetahui bahwa seseorang yang sebagai
pengguna. Otentikasi sering didirikan dengan menggunakan password yang dikenal hanya untuk
pengguna yang berwenang. Pengguna akhir menggunakan password untuk log on ke komputer
sistem dan juga dapat menggunakan password untuk mengakses sistem dan file tertentu. Namun
banyak penggunya yang lupa dengan passwordnya, sehingga muncullah teknologi autentifikasi
baru . Teknologi otentikasi baru, seperti token, smart card, dan biometrik Otentikasi. Token
adalah fisik perangkat, mirip dengan kartu identitas, yang dirancang untuk membuktikan
identitas dari satu pengguna. Otentikasi biometrik menggunakan sistem yang membaca dan
menafsirkan individu sifat manusia, seperti sidik jari, iris, dan suara-suara, untuk memberikan
atau menolak akses.

Firewall, Sistem Deteksi Gangguan, dan Antivirus

Firewall

Firewall merupakan kombinasi perangkat lunak dan perangkat keras yang mengendalikan
arus lalu lintas jaringan yang masuk dan keluar. Firewall bertindak sebagai penajga gawabngf
yang memeriksa identitas setiap pengguna sebelum memberikan akses ke jaringan. Firewall
diletakan diantara jaringan perusahaan dan internet atau jaringan yang tidak dipercaya lainnya
untukmelindungi jaringan perushaan dari lalu lintas data yang tidak terotorisasi.
Sistem Deteksi Gangguan

Sistem deteksi gangguan (network detection system) menggunakan perangkat yang selalu
aktif melakukan pemantauan yang diletakkan di titik-titik yang paling rentan dalam jaringan
perusahaan untuk secara kontinyu mendeteksi dan menghalangi para penyusup. Ssitem akan
membunyikan alarm jika terdapat aktivitas yang mencurigakan.

Perangkat Lunak antivirus dan Antispyware

Peranti lunak antivirus (antivirus software) dirancang untuk memerika adanya virus
komputer dalam sistem dan drive komputer. Antivirus biasanya hanya efektiv melawan virus
yang sudah dikenalnya, oleh karena itu supat=ya tetap efektiv harus dilakukan update.

Unified Threat Management Systems

Untuk membantu bisnis mengurangi biaya dan meningkatkan pengelolaan, vendor

keamanan telah digabungkan menjadi satu alat alat berbagai keamanan, termasuk firewall,
jaringan virtual private, sistem deteksi intrusi, dan konten Web penyaringan dan software
antispam. Ini manajemen keamanan yang komprehensif Produk ini disebut manajemen ancaman
terpadu (UTM) sistem.
Mengamankan Jaringan Nirkabel

Pada tahuin 2004, kelompok perdagangan industri WiFi Alliance menyelesaikan

spesifikasi 802.11i yang memperketat pengamanan untuk produk-produk LAN nirkabel.
802.11ijuga menggunakan teknologi autentifikasi bersama agar pengguna nirkabel tidak tertarik
ke dalam jaringan liar yang mungkin mencari dari jaringan pengguna yang sah.

Enskripsi dan Infrastruktur Kunci Publik

Enskripsi (encryption) adalah proses mengubah teks atau data biasa menjadi teks
bersandi rahasia(cipher) yang tidak dapat dibaca oleh siapapun selain pengirim dan penerima
yang dimaksudkan. Data dienkripsi menggunakan kode numerik rahasia, yang dinamakan kunci
enkripsi. Dua metode untuk mengenkripsi data dalam jaringan Web adalah SSL dan S-HTTP.
Secure Sockets Layer (SSL) memungkinkan komputer klien dan server unutk mengelola
aktivitas enkripsi dan deskripsi sebagaimana mereka berkomunikasi satu sam alain selama
berlangsungnya sesi Web yang aman. Secure Hypertext Transfer Protocol (S-HTTP) adalah
protokol lainnya yang digunakan untuk mengenkripsi data di internet, terbatas pada pesan
individual, sementara SSl dirancang untuk membangun hubugan yang aman antara dua
komputer. Kunci enkripsi public menggunakan dua kunci: satu dibagikan atau sifatnya umum
dan satu lagi sepenuhnya pribadi. Tanda tangan digital adalah pesan yang dienkripsi yang hanya
dapat diciptakan oleh seorang pengirim menggunakan kunci privatnyasendiri.

MEMASTIKAN SISTEM KETERSEDIAAN

Sebagai perusahaan semakin bergantung pada jaringan digital untuk pendapatan dan
operasi, mereka perlu mengambil langkah-langkah tambahan untuk memastikan bahwa sistem
dan aplikasi mereka selalu tersedia.

Pengendalian Jaringan Lalu Lintas: Deep Packet Inspection

Apakah Anda pernah mencoba untuk menggunakan jaringan kampus dan menemukan itu
sangat lamba? Bandwidth memakan aplikasi seperti program file-sharing, Layanan telepon
internet, dan video online dapat menyumbat dan memperlambat perusahaan jaringan,
menurunkan kinerja. Sebuah teknologi yang disebut paket yang mendalam pemeriksaan (DPI)
membantu memecahkan ini masalah. DPI memeriksa file data dan memilah prioritas rendah
materi online sementara menugaskan prioritas yang lebih tinggi untuk file bisnis penting.

ISU KEAMANAN UNTUK CLOUD COMPUTING DAN MOBILE DIGITAL

PLATFORM

Keamanan di Cloud

Pengguna cloud perlu mengkonfirmasi bahwa terlepas dari mana data mereka disimpan
atau ditransfer, mereka dilindungi di tingkat yang memenuhi persyaratan perusahaan
mereka.Awan klien harus menemukan bagaimana penyedia awan mensegregasikan data
perusahaan mereka dari orang-orang dari perusahaan lain dan meminta bukti bahwa mekanisme
enkripsi terdengar.

Mengamankan Platform Mobile

Jika perangkat mobile berkinerja banyak fungsi komputer, mereka perlu diamankan
seperti desktop dan laptop terhadap malware, pencurian, kecelakaan kehilangan, akses yang tidak
sah, dan upaya hacking. Mereka akan membutuhkan alat untuk mengesahkan semua perangkat
yang digunakan; untuk memelihara catatan persediaan yang akurat pada semua perangkat
mobile, pengguna, dan aplikasi; untuk mengontrol update ke aplikasi; dan untuk mengunci
perangkat yang hilang sehingga mereka tidak bisa dikompromikan.Perusahaan akan perlu
memastikan bahwa semua smartphone yang up to date dengan patch keamanan terbaru dan
antivirus / antispam software, dan mereka harus mengenkripsi komunikasi bila memungkinkan.

MEMASTIKAN KUALITAS SOFTWARE

Selain menerapkan keamanan dan kontrol yang efektif, organisasi dapat meningkatkan
kualitas dan keandalan sistem dengan menggunakan metrik perangkat lunak dan pengujian
perangkat lunak yang ketat. Metrik perangkat lunak adalah penilaian obyektif dari sistem dalam
bentuk pengukuran kuantitatif. Contoh metrik perangkat lunak meliputi jumlah transaksi yang
dapat diproses dalam Unit waktu tertentu, waktu respon online, jumlah cek gaji dicetak per jam,
dan jumlah bug yang dikenal per seratus baris program kode.