Anda di halaman 1dari 14

BAB V

PEMBAHASAN

5.1. KEAMANAN SISTEM INFORMASI


Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang
bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem
keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database,
prosedur, dan pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan pelanggaran
keamanan bisa jadi dikumpulkan secara real time, disimpan dalam database, dan digunakan untuk
menghasilkan laporan.
5.1.1. Siklus Hidup Sistem Keamanan Informasi
Sistem keamanan elektronik merupakan sebuah sistem informasi. Sistem keamanan
computer dikembangkan dengan menerapkan metode analisis, desain, implementasi, serta operasi
evaluasi, dan pengendalian. Tujuan setiap tahap siklus hidup ini adalah sebagai berikut:
Fase Siklus Hidup Tujuan
Analisis Sistem Analisis kerentanan sistem dalam arti ancaman yang relevan dan
eksposur kerugian yang terkait dengan ancaman tersebut.
Desain Sistem Desain ukuran keamanan dan rencana kontingensi untuk
mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi Sistem Menerapkan ukuran keamanan seperti yang telah didesain.
Operasi, evaluasi, dan Mengoperasikan sistem dan menaksir efektivitas dan efisiensi.
pengendalian sistem Membuat perubahan sebagaimana diperlukan dengan kondisi
yang ada.
Secara kolektif, keempat fase tersebut disebut manajemen risiko sistem informasi.
Manajemen risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan risiko
sistem komputer.

5.1.2. Sistem Keamanan Informasi dalam Organisasi


Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh chief security officer
(CSO). Tugas utama CSO adalah memberikan laporan kepada dewan direksi untuk mendapatkan
persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.

1
Fase Siklus Hidup Tujuan
Analisis Sistem Sebuah ringkasan terkait dengan semua eksposur kerugian yang
relevan.
Desain Sistem Rencana detail mengenai pengendalian dan pengelolaan kerugian,
termasuk anggaran sistem keamanan secara lengkap.
Implementasi Sistem, Mengungkapkan secara spesifik kinerja sistem keamanan,
operasi, evaluasi, dan termasuk kerugian dan pelanggaran keamanan yang terjadi,
pengendalian sistem analisis kepatuhan, serta biaya operasi sistem keamanan.

5.1.3. Menganalisis Kerentanan dan Ancaman


Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman sistem, yaitu:
1) Pendekatan Kuantitatif
Pendekatan ini dipergunakan untuk menaksir risiko, menghitung setiap eksposur
kerugian sebagai hasil kali biaya kerugian setiap item eksposur dengan kemungkinan
terjadinya eksposur tersebut. Manfaat terbesar dari analisis ini adalah dapat menunjukkan
ancaman yang paling mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar.
Kelemahan pendekatan kuantitatif:
a. Sulitnya mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir
probabilitas terjadinya eksposur tersebut.
b. Sulit mengestimasikan kemungkinan terjadinya suatu kerugian di masa datang secara
tepat, terlebih dalam lingkungan teknologi yang mengalami perubahan sangat cepat
2) Pendekatan Kualitatif
Pendekatan ini secara sederhana merinci daftar kerentanan dan ancaman terhadap
sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kualitatif
maupun pendekatan kuantitatif sering digunakan di dalam praktik. Banyak perusahaan
mengombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai, analisis
eksposur kerugian tersebut harus mencakup area berikut ini:
a. Interupsi bisnis
b. Kerugian perangkat lunak
c. Kerugian data
d. Kerugian perangkat keras

2
e. Kerugian fasilitas
f. Kerugian jasa dan personel

5.2. KERENTANAN DAN ANCAMAN


Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu
potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman aktif dan
pasif. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase komputer. Ancaman
pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran
dan angin badai. Kegagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti
kegagalan harddisk, matinya aliran listrik, dan lain sebaginya.
5.2.1. Tingkat Keseriusan Kecurangan Sistem Informasi
Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih besar
dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini mengejutkan karena kita jarang
membaca kejahatan semacam ini di dalam media massa. Hal ini terjadi karena di sebagian besar
kasus kecurangan yang terdeteksi jarang diajukan ke meja hijau karena bisa membuat public
mengetahui kelemahan pengendalian internal perusahaan. Manajer enggan berhadapan dengan sisi
negatif publisitas yang bisa menimbulkan penghakiman masyarakat.
5.2.2. Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi
Keberhasilan serangan terhadap sistem informasi memerlukan akses terhadap hardware,
file, data yang sensitif, atau program yang kritis. Tiga kelompok individu yang dapat mengancam
sistem informasi, yaitu personel sistem komputer, pengguna, dan penyusup.
1) Personel Sistem Komputer
a. Personel Pemeliharaan Sistem, Personel pemeliharaan sistem biasanya memiliki
kemampuan untuk berselancar dalam sistem dan mengubah file data dan file program
dengan cara yang tidak legal. Beberapa personel pemeliharaan bisa saja berada dalam
posisi yang memungkinkan ia melakukan modifikasi yang tidak diharapkan terhadap
keamanan dalam sistem operasi.
b. Programmer, Programmer sistem sering menulis program dan memodifikasi dan
memperluas sistem operasi jaringan. Programmer aplikasi bisa saja membuat modifikasi
yang tidak diharapkan terhadap program yang ada saat ini atau menulis program baru guna
menjalankan hal-hal yang tidak semestinya.

3
c. Operator Jaringan, Operator diberi tingkat keamanan yang cukup tinggi sehingga
memungkinkan operator secara diam-diam mengawasi semua jaringan komunikasi dan
juga mengakses semua file di dalam sistem.
d. Personel Administrasi Sistem Informasi. Personel administrasi sistem informasi memiliki
akses ke rahasia keamanan, file, program, dan lain sebagainya. Administrasi account
memiliki kemampuan untuk menciptakan account fiktif atau untuk memberi password pada
account yang sudah ada.
e. Karyawan Pengendali Data. Mereka yang bertanggung jawab terhadap penginputan data
ke dalam komputer. Posisi ini memberi peluang bagi karyawan untuk melakukan
manipulasi data input.
2) Pengguna. Pengguna terkadang memiliki akses ke data yang sensitif yang dapat mereka
bocorkan kepada pesaing perusahaan.
3) Penyusup
a. Unnoticed Intruder. Seorang pelanggan bisa saja berjalan masuk ke dalam area yang tidak
dijaga dan melihat data yang sensitif di dalam computer personal yang sedang tidak ada
orangnya.
b. Wiretapper (penyadapan). Sebagian informasi ditransmisikan hanya dari satu ruang ke
ruang lain. Informasi yang lain mungkin saja ditransmisikan antarnegara melalui internet.
Jaringan internet inilah yang rentan terhadap kemungkinan wiretapping.
c. Piggybacker. Dengan metode ini, penyadap menyadap informasi legal dan menggantinya
dengan informasi yang salah.
d. Impersonating Intruder. Impersonating intruder adalah individu-individu tertentu yang
bertujuan melakukan kecurangan terhadap perusahaan. ada yang menggunakan user ID
dan password yang didapat dengan cara tidak legal, ada yang menebak password
seseorang, dan ada yang menyusup langsung ke dalam perusahaan.
e. Eavesdropper. Penyusup ini menyadap dengan cara memanfaatkan interferensi
elektomagnetik pada satu frekuensi yang dapat ditangkap dengan seperangkat televisi
sederhana. Setiap orang dengan peralatan ini dapat memonitor informasi yang sensitif
selama informasi tersebut tampil di CRT (cathode-ray tubes) perusahaan.
5.2.3. Ancaman Aktif pada Sistem Informasi
Metode yang dapat digunakan dalam melakukan kecurangan sistem informasi:

4
1) Manipulasi input
Manipulasi input merupakan metode yang biasa digunakan. Metode ini mensyaratkan
kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa
memiliki pengetahuan mengenai cara operasi sistem komputer.
2) Mengubah program
Merubah program mungkin merupakan metode yang paling jarang digunakan untuk
melakukan kejahatan komputer. Langkanya penggunaan metode ini mungkin karena
dibutuhkan keahlian pemrograman yang hanya dimiliki oleh sejumlah orang yang terbatas.
Selain itu, banyak perusahaan besar memiliki metode pengujian program yang dapat
digunakan untuk mendeteksi adanya perubahan dalam program.
3) Mengubah file secara langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara untuk memotong
(bypass) proses normal untuk menginputkan data ke dalam program computer. Jika hal itu
terjadi, hasil yang dituai adalah bencana.
4) Pencurian data
Sejumlah informasi ditransmisikan antar perusahaan melalui internet. Informasi ini rentan
terhadap pencurian pada saat transmisi. Informasi bisa saja disadap. Ada juga kemungkinan
untuk mencuri disket atau CD dengan cara menyembunyikan disket atau CD ke dalam
kantong atau tas. Laporan yang tipis juga bisa dicuri dengan dimasukkan ke dalam kotak
sampah.
5) Sabotase
Seorang penyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit dan
membingungkan untuk diungkapkan. Penyusup mengubah database akuntansi dan
kemudian mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadap
harddisk atau media lain.
6) Penyalahgunaan atau pencurian sumber daya informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan
menggunakan sumber daya komputer organisasi untuk kepentingan pribadi.

5
5.3. SISTEM KEAMANAN SISTEM INFORMASI
Mengendalikan keamanan dapat dilakukan dengan mengimplementasikan ukuran keamanan
dan rencana kemungkinan. Ukuran keamanan berfokus pada pencegahan dan mendeteksi
ancaman, rencana kemungkinan berfokus pada memperbaiki efek ancaman. Tidak ada sistem
keamanan yang berarti tanpa didukung oleh kejujuran dan kesadaran akan keamanan. Sistem
keamanan komputer harus menjadi bagian dari struktur pengendalian internal keseluruhan
perusahaan. Hal ini berarti bahwa elemen dasar dari pengendalian internal (antara lain:
pengawasan yang memadai, rotasi pekerjaan, pemeriksaan validitas) adalah penting untuk sistem
keamanan komputer. Keamanan sistem komputer merupakan aplikasi khusus dari prinsip
pengendalian internal yang telah dibuat untuk masalah tertentu dalam sistem informasi.

5.3.1. Lingkungan Pengendalian


Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian.
Pembangunan lingkungan pengendalian yang bagus tergantung pada delapan faktor, yaitu:
a) Filosofi Manajemen dan Gaya Operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah menciptakan moral yang
tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan.
Semua karyawan harus menerima pendidikan mengenai keamanan. Tujuannya adalah agar
setiap karyawan memiliki kepedulian terhadap keamanan. Peraturan keamanan harus selalu
dimonitor. Hubungan yang baik harus selalu dibina dengan seluruh karyawan. Komunikasi
yang baik dapat mengurangi masalah rendahnya moral.
b) Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data semuanya
diorganisasi di bawah Chief Information Officer (CIO). Divisi semacam ini tidak hanya
menjalankan fungsi pencatatan akuntansi tradisional, tetapi juga berbagai fungsi
komputasi. Satu hal yang penting adalah harus dibuat satu garis wewenang yang jelas untuk
menentukan siapa yang bertanggungjawab mengambil keputusan terkait dengan perangkat
lunak akuntansi dan prosedur akuntansi.
c) Dewan Direksi dan Komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus menunjuk atau
menyetujui pemilihan auditor internal. Idealnya, auditor internal memiliki pengalaman

6
yang baik terkait dengan keamanan komputer dan bertindak sebagai chief computer
security officer.
d) Metode Pembagian Otoritas dan Tanggung Jawab
Tanggung jawab semua posisi harus didokumentasikan dengan hati-hati menggunakan
struktur organisasi, manual kebijakan, deskripsi kerja, dan lain sebagainya.
e) Aktivitas Pengendalian Manajemen
Penting untuk membangun pengendalian terkait dengan penggunaan dan
pertanggungjawaban semua sumber daya sistem computer dan informasi. Harus ada
anggaran yang dibuat terkait dengan akuisisi peralatan dan perangkat lunak, terkait dengan
biaya operasi, dan terkait dengan penggunaan. Pengendalian anggaran penting dalam
lingkungan computer karena ada kecenderungan di banyak perusahaan untuk
mengeluarkan biaya terlalu banyak dalam teknologi informasi.
f) Fungsi Audit Internal
Chief security officer harus membangun kebijakan keamanan yang relevan dengan sistem
yang ada saat ini dan relevan dengan perubahan sistem yang terjadi. Semua modifikasi
sistem, baik perangkat keras, perangkat lunak, atau personalia, harus diimplementasikan
sesuai dengan kebijakan keamanan yang telah dibuat.
g) Kebijakan dan Praktik Personalia
Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan
ganda semua merupakan praktik personalia yang penting. Peraturan yang terpenting
barangkali adalah memisahkan pekerjaan pengguna computer dan personalia sistem
komputer.
h) Pengaruh Eksternal
Sistem informasi perusahaan harus sesuai dengan hukum dan regulasi lokal, federal, dan
negara bagian. Hukum dan regulasi mengatur keamanan dan privasi berbagai tipe data,
termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka,
personalia dan pemerintah. Hukum dan regulasi juga mengatur pengiriman informasi ke
negara lain. Kegagalan untuk memberikan keamanan yang memadai di salah satu area ini
dapat menjadi suatu tuntutan kriminal.

5.3.2. Pengendalian Untuk Ancaman Aktif

7
Cara utama mencegah ancaman aktif yang berkaitan dengan penipuan dan sabotase adalah
dengan mengimplementasikan urutan lapisan dari pengendalian akses. Filosofi dibalik
pendekatan berlapis pada kontrol akses melibatkan sejumlah lapisan kontrol yang memisahkan
calon pelaku dari target potensialnya. Tiga lapisan ini yaitu: pengendalian akses tempat,
pengendalian akses sistem, dan pengendalian akses arsip.
a. Pengendalian akses tempat. Pengendalian akses tempat adalah secara fisik memisahkan orang
yang tidak sah dari sumber komputer. Pemisahan fisik, secara khusus diterapkan kepada
perangkat keras, area entri data, area keluaran data, perpustakaan data, dan penghubungan
komunikasi.
b. Pengendalian akses sistem. Kontrol akses sistem adalah pengendalian berorientasi perangkat
lunak yang dirancang untuk menjaga agar pemakai yang tidak sah tidak menggunakan sistem.
Tujuan pengendalian akses sistem adalah untuk mengotentikasi pemakai dengan
menggunakan cara seperti ID pemakai, kata kunci, alamat IP, dan alat perangkat keras.
c. Pengendalian akses arsip. Pengendalian akses arsip mencegah akses tidak sah pada data.
Pengendalian akses arsip yang paling fundamental adalah otorisasi dan prosedur untuk
mengakses dan mengubah arsip. Semua program penting harus disimpan dalam arsip
terkunci, artinya program dapat dijalankan, namun tidak dapat dilihat atau diubah.
Langkah pertama dalam membangun pengendalian akses adalah menggolongkan semua data
dan peralatan sesuai dengan kepentingan dan kerapuhan mereka. Peralatan dan data yang kritis
harus diberikan pengendalian yang paling ketat. Lapisan terakhir dari pengendalian akses
diterapkan pada tingkat arsip.

5.3.3. Pengendalian untuk Ancaman Pasif


Ancaman pasif meliputi kegagalan daya, dan perangkat keras. Pengendalian untuk
ancaman pasif dapat preventif atau korektif. Pengendalian untuk ancaman pasif dapat dilakukan
dengan sistem toleran kesalahan dan memperbaiki kesalahan pendukung arsip.
Sistem toleran kesalahan. Sistem toleran kesalahan adalah bila satu bagian dari sistem itu
gagal, bagian lainnya segera mengambil alih, dan sistem terus beroperasi tanpa interupsi.
Toleransi kesalahan dapat diterapkan pada lima tingkatan, yaitu: komunikasi jaringan, prosesor
CPU, DASD, power suply, dan transaksi individual. Jaringan dapat dibuat toleran kesalahan

8
dengan memberikan jalur komunikasi duplikat dan prosesor komunikasi. Dua pendekatan utama
untuk prosesor central prosessing unit (CPU) yaitu:
a. Sistem protokol berbasis konsensus. Sistem protokol berbasis konsensus berisi jumlah
ganjil prosesor, bila satu prosesor tidak sesuai dengan lainnya, maka setelah itu akan
diabaikan.
b. Sistem prosesor watchdog, mengambil alih pemrosesan bila sesuatu terjadi pada prosesor
pertama. DASD dibuat toleran kesalahan dengan beberapa metode, termasuk pemeriksaan
baca setelah tulis, penguncian sektor buruk, dan pembuatan cermin disk.
Pemeriksaan baca setelah tulis, disk drive membaca kembali sebuah sektor setelah
menuliskannya ke disk, mengkonfirmasikan bahwa ia dituliskan tanpa kesalahan. Bila
konfirmasi gagal, sektor pada disk diberi tanda (flagged) dan dikunci, sehingga ia tidak dapat
digunakan lagi, kemudian data dapat dituliskan ke sektor yang baik. Toleransi kesalahan untuk
kegagalan daya dapat dicapai dengan power supply yang baik. Apabila dayanya gagal, sistem
pendukung yang berdaya aki mengambil alih dengan cepat, sehingga tidak terjadi kerugian
kontinuitas dalam aktivitas pemrosesan. Dalam hal ini ada waktu cukup untuk memindahkan
sistem ke generator atau mematikannya dengan cara yang benar. Akhirnya, beberapa alat
menghaluskan turun naiknya tegangan, yang dapat menyebabkan kerusakan parah pada beberapa
komponen elektronik. Toleransi kesalahan pada tingkatan transaksi melibatkan pemrosesan
rollback dan pembuatan bayangan database.
Pemrosesan rollback, transaksi tidak pernah ditulis ke disk, hingga selesai. Apabila daya
gagal atau kesalahan lain terjadi, sementara sebuah transaksi ditulis, maka program database
secara otomatis menggulung dirinya ke belakang pada keadaan sebelum terjadi kesalahan.
Pembuatan bayangan database adalah serupa dengan pembuatan bayangan disk. Sebuah duplikat
dari semua transaksi dibuat dan barangkali dikirimkan melalui komunikasi ke lokasi yang jauh.
Memperbaiki kesalahan pendukung arsip. Sebuah sistem yang memusatkan pembuatan
arsip pendukung adalah sesuatu yang penting. Tiga jenis pendukung, yaitu: pendukung penuh,
pendukung kenaikan, dan pendukung diferensial. Pendukung penuh membuat pendukung semua
arsip pada disk tertentu. Setiap arsip berisi bit arsip yang diatur hingga 0 selama proses
pembuatan pendukung. Sistem operasional secara otomatis mengatur bit hingga 1 kapan saja
sebuah arsip diubah. Setiap bit arsip diatur kembali hingga 0 selama proses pembuatan
pendukung. Jadi, pendukung kenaikan hanya membuat pendukung arsip yang telah dimodifikasi

9
sejak pembuatan pendukung penuh atau kenaikan yang terakhir. Akhirnya, pembuatan
pendukung diferensial adalah sama seperti pembuatan pendukung kenaikan, hanya saja bit
arsipnya tidak diatur ulang hingga 0 selama pembuatan pendukung.

5.3.4. Keamanan Internet


Internet membuat sebuah jendela elektronik ke dunia luar yang menghilangkan sumber
informasi perusahaan secara fisik, sehingga tidak mungkin sepenuhnya mengimplementasikan
lapisan pemisahan fisik dari pendekatan akses keamanan yang berlapis. Contoh, perusahaan
dapat meletakkan sebuah komputer dibalik pintu terkunci, namun komputer tidak benar-benar
terisolasi bila terhubung dengan internet.
Menurut George H. Bodnar dan William S. Hopwood (2001), kerapuhan terhubung internet
dapat muncul dari kelemahan dalam lima bidang berikut:
a. Sistem operasional atau konfigurasinya
Dalam hal ini terdapat Server Web, yaitu perpanjangan dari sistem operasional. Hasilnya,
kelemahan dalam keamanan sistem operasional akan membuat kelemahan yang terkait pada
keamanan server Web. Alasan ini, mendukung administrator keamanan untuk mengamankan
sistem operasional. Masalahnya, tidak ada sistem operasional yang anti serangan, dan hacker
terus menerus menemukan kelemahan baru dalam sistem operasional, sehingga administrator
harus terus menerus mengawasi buletin keamanan yang dibuat oleh pemasok sistem operasional.
Contoh, Microsoft tetap mengikuti informasi keamanan untuk Windows pada situs Web-nya di
http://www.microsoft.com/.
b. Server web atau konfigurasinya.
Kerapuhan server Web. Server Web dan browser Web cenderung lebih sering diperbarui
daripada sistem operasional, dan pembaharuannya selalu datang dengan kemungkinan keamanan
baru yang lemah. Server Web lebih berfungsi pada garis depan keamanan, karena server Web
adalah portal yang sering dilewati orang luar. Keamanan server Web dapat menurun, karena
masalah konfigurasi. Salah satu masalah konfigurasi yang paling umum terdapat pada
mengkonfigurasikan ijin untuk direktori dan arsip yang berkaitan dengan program skript yang
bisa dilaksanakan. Program skript yang dapat dilaksanakan adalah komponen yang diperlukan
untuk hampir semua situs Web komersial.

10
c. Jaringan pribadi dan konfigurasinya.
Kerapuhan jaringan pribadi. Risiko khusus terjadi saat sebuah server Web diletakkan pada
sebuah komputer utama yang dihubungkan dengan berbagai komputer pemakai melalui jaringan
area lokal, dan hacker dapat menyerang satu komputer melalui yang lain. Apabila komputer
pemakai memiliki akses kepada komputer yang menjadi tuan rumah server Web, maka hacker
pertama-tama dapat menerobos masuk ke dalam salah satu komputer pemakai, kemudian
bergantung kepada akses pemakai untuk menduduki komputer utama untuk server Web. Masalah
ini begitu sulit, karena secara virtual tidak mungkin administrator server menjamin keamanan
yang memadai atas semua mesin pemakainya, karena banyak perusahaan (pemakai) mengakses
internet, menjalankan semua jenis program, dan tidak aman, serta mengkonfigurasi sistem
operasional dengan tidak benar. Hacker menyerang satu komputer melalui komputer pengganti
dengan mengirimkan surat elektronik (e-mail) dalam bentuk lampiran (attachment) berupa
program kuda Troya ke komputer pengganti. Hacker mengakali penerima pada komputer
pengganti umtuk membuka lampiran e-mail dengan menggunakan alamat pengembalian dari
seseorang yang telah dikenal. Hacker dalam hal ini, umumnya memperoleh daftar e-mail dari
direktori perusahaan yang tersedia di situs Web perusahaan.
d. Beragam program server.
Kerapuhan dari beragam program server. Yaitu banyak komputer utama server Web yang
bukan saja menjalankan server Web, namun juga server lainnya, termasuk server FTP (untuk
pengiriman arsip ke dan dari komputer lain), server e-mail, dan server kontrol jarak jauh (yang
mengijinkan komputer jarak jauh yang sah untuk mengambil kendali komputer utama).
Masalahnya, setiap server tambahan memberikan risiko keamanan tambahan, dan cacat
keamanan yang berhubungan dengan salah satu server yang dapat membuka pintu untuk hacker
agar dapat menyerang server lainnya di semua arsip pada komputer, bahkan komputer lain yang
berada pada jaringan area lokal yang sama.
e. Prosedur keamanan umum.
Prosedur keamanan umum. Perangkat lunak keamanan terbaik di dunia tidak akan
membantu, bila administrator sistem tidak memaksakan kebijakan. Selanjutnya, semua kesalahan
dan pengecualian harus dicatatkan ke arsip aman, dan catatan ini harus dimonitor secara konstan.

11
5.4. PENGELOLAAN RISIKO BENCANA
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Dalam
suatu kasus, asuransi mungkin dapat membantu mengendalikan risiko, tetapi banyak perusahaan
asuransi enggan menanggung biaya interupsi bisnis perusahaan besar, khususnya perusahaan yang
tidak memiliki perencanaan pemulihan dari bencana yang mungkin terjadi.

5.4.1. Mencegah Terjadinya Bencana


Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu
bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah:
a. Bencana alam 30%
b. Tindakan kejahatan yang terencana 45%
c. Kesalahan manusia 25%
Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana dapat
dikurangi atau dihindari dengan kebijakan keamanan yang baik.
Banyak bencana yang berasal dari sabotase dan hal tersebut dapat dicegah dengan
kebijakan dan perencanaan keamanan yang baik. Selain itu resiko bencana alam harus menjadi
pertimbangan pada saat membangun lokasi gedung dan konsesntrasi peralatan computer dan data
harus ditempatkan dibagian gedung yang paling rendah eksposurnya terhadap badai, gempa
bumi, banjir, kebakaran dan tindakan sabotase. Untuk menangani hal tersebut perlu adanya
system elektronik yang memdai contohnya banyak perusahaan yang menggunakan pemadam
apai yang berbasis lain seperti gas atau busa.

5.4.2. Perencanaan Kontingensi untuk Mengatasi Bencana


Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam
perusahaan. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah adanya
dukungan dari manajemen senior dan penetapan komite perencanaan. Setelah kedua hal tersebut,
rencana pemulihan dari bencana harus didokumentasikan dengan hati-hati dan disetujui oleh
kedua pihak tersebut. Desain perencanaan pemulihan mencakup tiga komponen utama, yaitu:
a. Menaksir kebutuhan penting perusahaan
b. Daftar prioritas pemulihan dari bencana
c. Strategi dan prosedur pemulihan

12
Perencanaan ini masih mencakup hal-hal yang cukup detail sedemikian rupa sehingga pada
saat bencana benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang
harus melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut harus dilakukan.
a. Pusat respons darurat. Pada saat terjadi bencana, semua wewenang pengolahan data dan
operasi komputer dialihkan kepada tim respons darurat, yang dipimpin oleh direktur
operasi darurat. Individu-individu ini memimpin jalannya perencanaan pemulihan dari
pusat operasi darurat, sebuah tempat yang memang ditetapkan sebelumnya.
b. Prosedur eskalasi. Prosedur eskalasi menyatakan kondisi seperti ini apa yang
mengharuskan perlunya pengumu-man terjadinya bencana, siapa yang harus
mengumumkan, dan siapa orang yang harus diberi tahu tentang adanya bencana.
c. Menentukan pemrosesan komputer alternatif
d. Rencana relokasi karyawan. Perencanaan kontingensi perlu mempertimbangkan
kemungkinan perlunya memindahkan karyawan ke lokasi cadangan. Hal ini memerlukan
perencanaan ynag hati-hati karena banyak karyawan sulit dipindahkan dalam sementara
waktu.
e. Rencana penggantian karyawan. Kemungkinan perusahaan kehilangan karyawan pada saat
terjadinya bencana juga perlu dipertimbangkan. Penggantian seorang karyawan dengan
kemampuan yang tinggi merupakan satu hal yang tidak mudah. Penggantian karyawan
semacam ini memerlukan pelatihan yang sangat ekstensif.
f. Perencanaan penyelamatan. Dalam beberapa bencana, perusahaan masih dapat
menyelamatkan peralatan dan catatan yang berharga dari kerugian lebih lanjut, jika
perusahaan dapat mengambil tindakan yang tepat secara cepat. Sebagai contoh, sebuah
bangunan yang kehilangan atap pada saat terjadi topan badai akan menyebabkan bangunan
tersebut menghadapi risiko kehujanan. Dalam situasi semacam ini, kerugian dapat
diminimalkan jika tindakan penyelamatan segera dilakukan.
g. Perencanaan pengujian sistem dan pemeliharaan sistem. Kebutuhan komputasi perusahaan
sering berubah dengan sangat cepat. Oleh karena itu, setiap perencanaan pemulihan dari
bencana mesti diuji setiap enam bulan sekali. Perencanaan yang kadaluwarsa atau tidak
teruji barangkali tidak dapat dijalankan pada saat bencana benar-benar terjadi.

13
DAFTAR PUSTAKA

Bodnar, George H. Bodnar dan William S. Hopwood. 2006. Sistem Informasi Akuntansi,
Edisi 9. Yogyakarta: ANDI

14