KEAMANAN SISTEM INFORMASI: SEBUAH TINJAUAN

Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer.
1. Siklus Hidup Sistem Keamanan Informasi
Sistem keamanan elektronik merupakan sebuah sistem informasi. Tujuan setiap tahap siklus
hidup ini adalah sebagai berikut:
Fase Siklus Hidup Tujuan
Analisis Sistem Analisis kerentanan sistem dalam arti ancaman yang relevan dan
eksposur kerugian yang terkait dengan ancaman tersebut.
Desain Sistem Desain ukuran keamanan dan rencana kontingensi untuk
mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi Sistem Menerapkan ukuran keamanan seperti yang telah didesain.
Operasi, evaluasi, dan Mengoperasikan sistem dan menaksir efektivitas dan efisiensi.
pengendalian sistem Membuat perubahan sebagaimana diperlukan sesuai dengan
kondisi yang ada.
2. Sistem Keamanan Informasi dalam Organisasi
Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security officer
(CSO). Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk mendapatkan
persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.
Fase Siklus Hidup Tujuan
Analisis Sistem Sebuah ringkasan terkait dengan semua eksposur kerugian yang
relevan.
Desain Sistem Rencana detail mengenai pengendalian dan pengelolaan
kerugian, termasuk anggaran sistem keamanan secara lengkap.
Implementasi Sistem, Mengungkapkan secara spesifik kinerja sistem keamanan,
operasi, evaluasi, dan termasuk kerugian dan pelanggaran keamanan yang terjadi,
pengendalian sistem analisis kepatuhan, serta biaya operasi sistem keamanan.
3. Menganalisis Kerentanan dan Ancaman
Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem, yaitu :
1. Pendekatan Kuantitatif.
2. Pendekatan Kualitatif
KERENTANAN DAN ANCAMAN
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu
potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman:aktif dan
pasif.
1. Tingkat Keseriusan Kecurangan Sistem Informasi
Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih besar
dari total kerugian akibat suap, perampokan, dan pencurian.
2. Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi
Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware, file,
data yang sensitif, atau program yang kritis. Tiga kelompok individu yang dapat mengancam
sistem informasi, yaitu personel sistem komputer, pengguna, dan penyusup
3. Ancaman Aktif pada Sistem Informasi
Metode yang dapat digunakan dalam melakukan kecurangan sistem informasi antara lain:
a) Manipulasi input
b) Mengubah program
c) Mengubah file secara langsung
d) Pencurian data
e) Sabotase
f) Penyalahgunaan atau pencurian sumber daya informasi
 SISTEM KEAMANAN SISTEM INFORMASI
Mengendalikan ancaman dapat dilakukan dengan mengimplementasikan ukuran-ukuran
keamanan dan perencanaan kontingensi.. Sistem keamanan komputer merupakan bagian dari
struktur pengendalian internal keseluruhan perusahaan. Keamanan sistem informasi merupakan
aplikasi khusus dari prinsip pengendalian internal yang telah dibuat untuk masalah tertentu dalam
sistem informasi.
1. Lingkungan Pengendalian
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian.
Pembangunan lingkungan pengendalian yang bagus tergantung pada delapan faktor, yaitu:
a. Filosofi Manajemen dan Gaya Operasi
b. Struktur Organisasi
c. Dewan Direksi dan Komitenya
d. Metode Pembagian Otoritas dan Tanggung Jawab
e. Fungsi Audit Internal
f. Kebijakan dan Praktik Personalia
g. Pengaruh Eksternal
2. Pengendalian untuk Ancaman Aktif
Cara utama mencegah ancaman aktif yang berkaitan dengan penipuan dan sabotase adalah
dengan mengimplementasikan urutan lapisan dari pengendalian akses. Filosofi dibalik pendekatan
berlapis pada kontrol akses melibatkan sejumlah lapisan kontrol yang memisahkan calon pelaku
dari target potensialnya. Tiga lapisan ini yaitu: pengendalian akses tempat, pengendalian akses
sistem, dan pengendalian akses arsip.
3. Pengendalian untuk Ancaman Pasif
Ancaman pasif meliputi kegagalan daya, dan perangkat keras. Pengendalian untuk ancaman
pasif dapat preventif atau korektif. Pengendalian untuk ancaman pasif dapat dilakukan dengan
sistem toleran kesalahan dan memperbaiki kesalahan pendukung arsip.
 PENGELOLAAN RISIKO BENCANA
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam
suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak perusahaan
asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya perusahaan yang
tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.
1. Mencegah Terjadinya Bencana
penyebab terjadinya bencana dapat dikurangi atau dihindari dengan kebijakan keamanan
yang baik. banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah
dengankebijakan dan perencanaan keamanan yang baik. resiko bencana alam harus menjadi
pertimbangan pada saat membangun lokasi gedung. Konsentrasi peralatan computer dan data
harus ditempatkan di bagian gedung yang paling rendah eksposurnya terhadap badai, gempa bumi,
banjir, kebakaran dan tindakan sabotase.
2. Perencanaan Kontingensi untuk Mengatasi Bencana
Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam
perusahaan. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya
dukungan dari manajemen senior dan penetapan komite perencanaan. Setelah kedua hal tersebut,
rencana pemulihan dari bencana harus didokumentasikan dengan hati-hati dan disetujui oleh kedua
pihak tersebut. Desain perencanaan pemulihan mencakup tiga komponen utama, yaitu:
a. Menaksir kebutuhan penting perusahaan
b. Daftar prioritas pemulihan dari bencana
c. Strategi dan prosedur pemulihan
 DAFTAR PUSTAKA
Bodnar, George H dan William S. Hopwood. 2006, Sistem Informasi Akuntansi . Buku I, Edisi
Ke-6, Penerjemah Amir Abadi Jusuf dan Rudi M.Tambunana, Salemba Empat,
Jakarta.2000.
Widjajanto, Nugraha, Sistem Infomasi Akuntansi, Penerbit Erlangga, Jakarta, 2001.