EFEKTIVITAS KEAMANAN INFORMASI DALAM MENGHADAPI

ANCAMAN SOCIAL ENGINEERING

EFFECTIVENESS OF INFORMATION SECURITY THREATS FACING

SOCIAL ENGINEERING
Suherman1, Pujo Widodo2, Dadang Gunawan3
Prodi Peperangan Asimetris, Fakultas Strategi Pertahanan, Universitas Pertahanan
(suherman2112@gmail.com)

Abstrak – Indonesia adalah sebuah negara yang sedang berkembang. Perekonomian Indonesia
sedang meningkat dan didukung dengan kemajuan teknologi dan informasi. Dunia perbankan di
Indonesia sudah cukup bagus, sehingga kejahatan cyber akan semakin besar Social engineering
merupakan suatu metode dalam kejahatan cyber.Ancaman kejahatan cyber saat ini sangat
mempengaruhi kerentanan keamanan informasi, khususnya di dunia perbankan. Bentuk nyata
adalah dengan adanya pembobolan kartu kredit ,pencurian data oleh karyawan dalam
perusahaan dan lain sebagainya. E.B Taylor menyatakan bahwa kerentanan yang dapat ditembus
oleh social engineering melalui kebiasaan, ilmu pengetahuan penekanan dan kepercayaan.
Perusahaan merespon akan bahaya kejahatan cyber crime yaitu ancaman social engineering,
akibat yang ditimbulkannya adalah kehancuran akan keamanan informasi Pelaksanaan efektivitas
dapat berjalan dengan baik apabila bagian bagian yang terlibat dalam proses pelaksanaannya
dapat memerankan peranannya dengan baik. Adapun tesis ini bertujuan adalah untuk
menganalisis efektifitas dan penerapan prosedur operasional dan kebiasaan yang dilakukan
karyawan untuk keamanan informasi dalam menghdapi bahaya sosial engineering. Penelitian ini
menggunakan metode kualitatif dengan teknik pengumpulan data yaitu, wawancara, observasi,
studi pustaka, dan studi dokumen. Hasil dari penelitian ini adalah bahwa melalui penerapan
Standar Operasional Prosedur yang benar, rasa memiliki, penggunaan surat dalam melakukan
suatu permintaan dan mengirim email keseluruh karyawan tentang keamanan informasi secara
berkala. Sehingga Perusahaan dapat terhindar dari ancaman social engineering .Maka efektivitas
keamanan informasi dalam menghadapi bahaya social engineering dapat terwujud. Keamanan
informasi perbankan dapat terjaga baik secara nasional maupun internasional.
Kata kunci: Keamanan Informasi, Social Engineering, Standard Operasional Prosedur, Efektivitas

Abstract– Indonesia is a developing country. Indonesia’s economy is increasing . this is because the
support of Information and tecnology development. The Bank world in Indonesia is good enough.
This might make crime is getting bigger. Social Engineering is a cyber crime. The threat of cyber crime
influences the weakness of information security, especially in Bank world. The real cyber crime are
the piercing of Credit Card, data robbing by the employee inside the company. E.B Taylor said that
the succeptibility can be penetrated by social engineering through habbit, the science of information
security, trust and pressure. Artha Graha Int’l Bank is very good in responding dan facing one of the
cyber crime methods which is social engineering threat. The effectivity can run well if parts involved
in the process can run their parts well. This thesis has purposes to analise the effectivity and the
application operational procedure and employee’s habbit for the information security in facing the
danger of social engineering. This research use qualitative method with gathering data technique by

1
Penulis adalah mahasiswa Pasca Sarjana Program Study Peperangan Asimetris Cohort-4 TA 2016
Fakultas Strategi Petahanan Universitas Pertahanan.
2
Dosen FSP, Universitas Pertahanan, pujowidodo78@gmail.com.
3
Wakil Rektor III, Universitas Pertahanan, dadang.gunawan@idu.ac.id.
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman | 73
interview, observations, library research and document study. The result of the research is that by
applying the right standardized operational procedure, self belonging, the use of demand letter and
the use of emails to all employees about the informational security continually. So that Artha Graha
Bank can avoid social engineering threat. The effectivityof information security in facing social
engineering can be done. The Bank security can be well kept nationally and internationally.
Keywords: Information Security, social engineering, standardized opeartional Procedure, effectivity

Pendahuluan negara, namun juga keamanan seperti

P
embukaan Undang-Undang
Dasar 1945 merupakan pokok
atau kaedah yang
fundamental, mempunyai kedudukan
yang tepat dan melekat Perusahaan
Negara Republik Indonesia. Hal ini karena
setiap alinea yang terdapat dalam
Pembukaan UUD tercantum tujuan dan
prinsip dasar yang hendak dicapai oleh
bangsa negara Indonesia. Salah satu
tujuan bangsa yang terkandung dalam
pembukaan UUD adalah tujuan keamanan
nasional, yaitu untuk melindungi segenap
bangsa Indonesia, seluruh tumpah darah
Indonesia4.
Tercantum juga dalam pasal 30 UUD
1945 mengenai usaha pertahanan dan
keamanan yang dilakukan oleh Negara
dijalankan dengan menggunakan sistem
pertahanan dan keamanan rakyat secara
keseluruhan oleh TNI dan POLRI sebagai
kekuatan yang utama, dan rakyat sebagai
kekuatan pendukung. Keamanan nasional
ini tidak berhenti hanya pada keamanan
4 7
Subekti, V. S. (2015). Dinamika Konsolidasi
Demokrasi: Dari Ide Pembaharuan Sistem Politik
hingga ke Praktik Pemerintahan Demokratis .
Jakarta: Yayasan Pustaka Obor Indonesia.
74 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
keamanan masyarakat dan keamanan
individu atau insani (human security)5.
Buzan menyebutkan bahwa keamanan
individu mencakup keamanan dalam
bidang pangan, kesehatan, lingkungan,
pribadi, komunitas dan politik6.
Seiring dengan perkembangan
zaman dan teknologi, bentuk ancaman
dalam menghadapi keamanan nasional
akan berubah. Kini ancaman dapat pula
terjadi di dunia virtual. Cyber crime atau
kejahatan di dunia siber. Beberapa kasus
cyber crime diantaranya adalah kejahatan
yang dilakukan oleh kelompok teroris
memelalui media internet. Beberapa situs
yang dianggap radikal yang disebarkan
melalui propaganda radikalisme melalui
media internet terbukti mengganggu
keamanan nasional7.
5
Muradi. (2013). Penataan Kebijakan Keamanan
Nasional. Bandung: Penerbit Dian Cipta.
6
Buzan, B. (2000). Human Security: What It
Means, and What It Entails. Kuala Lumpur: the
14st Asia Pasific Roundtable on Confidence uliding
and Conflict Resolution.
Siagian, B. D. (2016). Analisis Wacana Radikalisme
pada Situs Online di Indonesia dalam Perspektif
Keamanan Nasional(Tesis). Bogor: Program
StudiPeperanganAsimetrisUniversitasPertahanan.
 Kasus lain dari kejahatan cyber orang, sehingga cara ini memungkinkan
adalah kejahatan dalam bentuk Social hacker untuk berbicara seperti biasa
Engineering. Seperti yang dilakukan oleh untuk mendapatkan data yang dinginkan
Edward Snowden, seorang pegawai NSA, dalam secara tidak logis.
yang mencuri data dan Adapun kasus perbankan dalam
membocorkannya,dengan menggunakan negeri yang dilakukan oleh Steven
penyadapan yang dilakukan oleh NSA. Haryanto, membuat duplikasi situs asli
Kasus Social Engineering terjadi pertama tapi palsu di Bank BCA melalui internet
kali diluar negeri dilakukan oleh Kevin BCA, dan berharap agar nasabah masuk
Mitnick. Kevin Mitnick adalah seorang dalam situsnya terlihat nomor
pria amerika serikat yang di tahan di identitasnya dan nomor identiffikasi
tahun 1995. Mitnick tercatat sebagai salah nasabah. Dan ternyata terdapat 130
seorang hacker yang dalam mencari nasabah yang terperangkap oleh
mangsanya hampir tidak menggunakan jebakannya. Sebagai contoh alamat palsu
komputer dalam mengeksploitasi tersebut adalah : kilkbca.com,
kelemahan targetnya. dimana sebagian klikbac.com
besar melakukan teknik Social Kemudahan dalam memperoleh
Engineering8. informasi tersebut merupakan faktor
Kevin Mitnick telah menyatakan kerentanan yang disebebkan oleh
bahwa Social Engineering adalah Bagian kelalaian manusia. Akibat dari kelalaian
yang sederhana dalam pendekatannya. tersebut banyak perusahaan atau instansi
Bila rata-rata orang ingin melukisan yang dirugikan. Kerugian itu adalah
bagaimana rupa hacker. Mitnick hilangnya data informasi rahasia atau
menyatakan dalam bukunya The Art of pencurian data yang memang harus di
Deception. Adalah para pelaku Social jaga. Purba Kuncara menyatakan bahwa
Engineering merupakan hacker dengan rantai terlemah dalam sistem jaringan
keterampilan teknis tetapi ia memiliki komputer adalah manusia.
keterampilan sosialisasi yang benar dan Pada kegiatan kerja sehari-hari
memanfaatkannya dalam memanipulasi budaya kerja karyaawan masih tergolong
kurang dalam disiplin kerjan,
8
Azis,(2015); cybercrime-dan-social-engineering, pengetahuan tentang pentingnya
http://fahmirahmatazis.co.id/2015/09/cybercrime-
dan-social-engineering.
keamanan informasi, mudah percaya
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |75
kepada teman kerja dengan memberikan b. Keutuhan (Integrity), bahwa
informasi dan masih adanya penekanan melindungi keakuratan dan kelengkapan
yang dilakukan oleh pejabat yang lebih informasi, dapat menjamin bahwa data
tinggi jabatannya dan ini sangat rentan tidak dapat diubah tanpa ijin dari pihak
sekali dalam menjaga kerahasiaan yang berwenang, dalam menjaga
informasi yang dapat digunakan oleh keakurasian dan keutuhan informasi
pelaku social engineering. Perilaku yang tersebut.
kurang baik ini dapat dimanfaatkan oleh c. Ketersediaan (Availability), bahwa
pelaku social engineering. Misalnya user informasi akan tersedia pada saat
menggunakan password yang mudah dibutuhkan. (idsirti.or.id).
untuk dibobol, selanjutnya user tersebut Dalam buku Primitive Culture, EB
tidak ingat untuk melakukan proses Taylor10 mendeskripsikan mengenai
logout ketika meninggalkan ruang kerja. beberapa hal yang mempengaruhi
Hal tersebut akan memperbesar peluang terjadinya Social Engineering antara lain
pelaku Social Engineering untuk adalah kebiasaan atau budaya,
melakukan hal-hal yang illegal seperti pengetahuan (knowledge), kepercayaan
mencuri informasi yang tidak seharusnya (trust), dan ketakutan atau penekanan.
diketahui olehnya. Dalam artikel Indrajit9 Dari empat prinsip dasar inilah korban
menjelaskan bahwa sesuai dengan prinsip ditampilkan dan mendukung pada
keamanan informasi data yang harus keinginan dari seseorang yang berniat
diperhatikan adalah melalui aspek-aspek jahat dengan memanfaatkan kelemahan
sebagai berikut : sosial pada manusia umumnya.
a. Kerahasiaan (Confidentiality), Berdasarkan uraian fakta-fakta diatas,
bahwa menjamin kerahasiaan akan data Social Engineering merupakan salah satu
dan atau informasi, menyatakan bahwa metode di dalam peperangan asimetris.
informasi hanya dapat diakses oleh pihak Hal ini dapat dibuktikan dengan adanya
yang berhak atau pihak yang berwenang subjek yang lemah yaitu individu atau
dalam menjamin kerahasiaan data yang kelompok dan yang kuat yaitu sebuah
akan dikirim, diterima dan disimpan. perusahaan besar yang memiliki informasi

10
Primitive Culture, EB Taylor
9
Indrajit,(2015), Social Engineering Masih Menjadi https://en.wikipedia.org/wiki/Edward_Burnett_Tyl
Ancaman or
76 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
rahasia. Social Engineering juga khususnya di bidang keamanan informasi,
merupakan salah satu cara dalam para pejabat perusahaan dan karyawan.11
melakukan kejahatan cyber, karena hal ini Hasil dan Pembahasan
berkaitan dengan penerobosan pintu- Keamanan Informasi Perusahaan
pintu keamanan melalui sistem Berdasarkan Teori Whiteman dan
komputasi. Mattord
Ancaman kejahatan cyber saat ini Sebelum berbicara mengenai
sangat mempengaruhi kerentanan keefektivitasan keamanan informasi
keamanan informasi. Berhubungan dalam menghadapi ancaman Social
dengan keamanan infomasi, salah satu Engineering, peneliti hendak
sektor yang kerap kali menjadi sasaran menyelaraskan hasil analisis data dengan
pencurian informasi yang bersifat rahasia salah satu teori yang berisikan
ialah sektor perbankan. Maka dari itu, komponen-komponen dalam keamanan
Peneliti berpendapat bahwa hal ini dapat informasi. Berikut ini ialah teori yang
berakibat fatal apabila tidak di respon dikemukakan oleh Whitman dan
secara baik dan cepat. Dalam hal ini Mattord12, yang dapat melihat tingkat
peneliti ingin meneliti sejauh mana efektivitas keamanan informasi pada
Perusahaan dalam merespon dan perusahaan yang didasarkan pada
menghadapi salah satu metode kejahatan komponen-komponen sebagai berikut:
cyber yaitu ancaman Social Engineering. a. Personal Security, menyangkut
Dengan demikian, Peneliti hendak keamanan karyawan dalam konteks
melakukan penelitian dengan judul upaya pengamanan informasi.
Efektivitas Keamanan Informasi Dalam Perusahaan dalam hal ini telah melakukan
Menghadapi Ancaman Sosial Engineering. upaya dalam menghindarkan
Metodologi karyawannya dari modus-modus Social
Dalam penelitian ini akan digunakan Engineering melalui berbagai cara,
metode kualitatif. Penelitian ini akan termasuk juga dengan dibentuknya
dilakukan dengan menggunakan
11
wawancara dengan beberapa Sugiyono (2016), Metode Penelitian Kuantitatif,
Kualitatif dan R & D, Bandung, Penerbit
narasumber yaitu para pakar telematika, ALFABETA, CV Berbagai Sumber Daya Bagi
Pertumbuhan Berkelanjutan, Jakarta
12
Whitman, Michael E, dan Mattord, Herbert J
(2012), Principles of Information Security (4th ed).
Boston, MA, USA Course Technologi.
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |77
Standard Operasional Prosedur hingga c. Communication Security, memiliki
pengiriman himbauan mengenai tujuan untuk mengamankan media
keamanan informasi melalui e-mail blast. komunikasi, teknologi komunikasi, serta
Pelatihan-pelatihan mengenai kesadaran kemampuan untuk memanfaatkan alat
akan pentingnya menjaga keamanan komunikasi terkait menjaga keamanan
informasi pun dilakukan perusahaan, baik informasi.
pada saat proses penyeleksian calon Perusahaan telah menerapkan komponen
karyawan hingga pada masa kerjanya ini dengan melakukan kebijakan
berlangsung. berkenaan dengan sharing informasi yang
b. Operation Security, yang harus selalu dilaksanakan secara tertulis
menitikberatkan kepada strategi dalam dalam proses perizinannya. Segala upaya
mengamankan kemampuan organisasi dalam mengakses informasi melalui
dalam upayanya untuk menjaga jaringan telekomunikasi baik yang
keamanan informasi. berbasis kabel maupun nirkabel tidak
Manajemen perusahaan selalu diperbolehkan. Penggunaan teknologi
melakukan peningkatan kemampuan seperti pengiriman data melalui public e-
organisasinya dalam menjaga keamanan mail ataupun pesan singkat pun tidak
informasi, salah satunya dengan cara diperkenankan. Ketentuan ini berlaku
peninjauan kembali Standar Operasional tidak hanya untuk karyawan, tetapi juga
Prosedur yang telah diolah oleh untuk para pejabat-pejabat di perusahaan
manajemen perusahaan mengingat yang memiliki posisi yang lebih tinggi
bahwa Standar Operasional Prosedur daripada karyawan biasa.
tersebut tidak sempurna, melainkan d. Network Security, yang
selalu ada celah-celah yang berpotensi menitikberatkan kepada pengamanan
menyebabkan kebocoran informasi. Maka peralatan jaringan data perusahaan,
manajemen perusahaan selalu melakukan jaringan dan isinya, serta kemampuan
peninjauan ulang dalam menghadapi untuk menggunakan jaringan tersebut
Standar Operasional Prosedur dengan dalam upaya menjaga keamanan
tetap menyelaraskan aturan-aturan informasi.
utama yang tercantum pada peraturan Berkaitan dengan keamanan jaringan,
yang telah ditetapkan. Divisi Teknologi perusahaan telah
menerapkan sistem HTTPS dalam
78 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
penggunaan Internet, dengan demikian efektivitas akan terjadi dengan baik
HTTPS akan menjamin bahwa situs yang apabila karyawan beserta pimpinannya
dikunjungi ialah situs resmi milik bisa saling terbuka dalam
perusahaan. Selain itu, dalam upaya menginterpretasikan pesan dari pimpinan
pengamanan informasi, dalam melakukan kepada karyawannya, serta keduanya
transfer data, perusahaan juga telah dapat menjalin hubungan dengan baik.
melakukan metode SFTP. SFTP akan Ketika hubungan keduanya telah berjalan
melakukan enkripsi pada saat dengan baik serta terjadi keterbukaan
dilakukannya pemindahan data, sehingga yang berkesinambungan, maka pekerjaan
data tersebut terkunci pada kode enkripsi pun akan berjalan dengan baik.
yang hanya mampu dipecahkan oleh Dari hasil analisis data yang telah
orang yang memiliki otoritas, dilakukan, Peneliti beranggapan bahwa
Berdasarkan uraian dari sejauh ini, efektivitas perusahaan dalam
pembahasan diatas, dapat Peneliti menjaga keamanan informasi dinilai
simpulkan bahwa teori tersebut memiliki sudah cukup efektif. Hal itu dapat dilihat
persamaan dengan persyaratan dari dari upaya manajemen teknologi
ISO/IEC 27001. Perbedaannya hanya perusahaan dalam mempersulit user
mengenai spesifikasi dari syarat-syarat untuk dapat menembus pengamanan
keamanan informasi. Pada teori Whitman yang berlapis. Pertama, pada situs
dan Mattord, hanya dideskripsikan perusahaan, manajemennya telah
sebanyak 4 komponen dalam keamanan menggunakan sistem HTTPS, dimana
informasi, yang mana pada syarat ISO/IEC berfungsi untuk memastikan kepada
27001 memecah ke-4 komponen tersebut peramban dan pengguna bahwa
menjadi lebih spesifik. Dengan demikian, keduanya sedang berada di perusahaan
tidak ditemukan suatu celah pada yang sesungguhnya.
manajemen perusahaan terkait dengan Jika bertolak ke belakang, pernah
komponen atau syarat-syarat yang belum terjadi suatu kejadian Social Engineering
terpenuhi berdasarkan teori dan yang dialami oleh perusahaan lain karena
persyaratan standar internasional situsnya belum menggunakan sistem
tersebut. HTTPS, melainkan masih menggunakan
Berdasarkan teori efektivitas yang HTTP. Akhirnya, terdapat oknum yang
dikemukakan oleh Duncan, suatu membuat situs yang serupa dengan
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |79
perbedaan yang sangat tidak mencolok. menemukan bahwa perusahaan telah
Perbedaan tersebut terletak dari tata melakukan siklus Plan-Do-Check-Act
letak huruf nama situs. Kejadian tersebut (PDCA) yang merupakan aturan main dari
memakan korban yang tidak sedikit, SNI ISO/IEC 27001 tentang SMKI.
sehingga oknum tidak hanya dapat Perusahaan melakukan pengamanan
mengakses informasi-informasi rahasia informasi melalui tahap-tahap
milik perusahaan melainkan dapat perencanaan, pelaksanaan, penilaian
melakukan pencurian data. serta penindakan. Perusahaan melakukan
Kedua, metode pemindahan data tahap perencanaan dengan cara
secara komputerisasi pun telah beralih mengumpulkan masing-masing kepala
dari FTP menjadi SFTP. Melalui protokol divisi dan kepala Bagian untuk
SFTP, maka pada saat informasi rahasia merumuskan suatu pedoman, Standar
dipindahkan dari satu tempat ke tempat Operasional Prosedur, maupun surat
lainnya, data tersebut akan terenkripsi edaran terkait dengan keamanan
sehingga tidak dapat diakses tanpa kode informasi secara sempit, dan terkait
atau password yang dimiliki oleh orang- dengan penyelarasan visi dan misi dari
orang yang memiliki otoritas. Enkripsi perusahaan itu sendiri secara luas.
data ini lah yang membuat informasi Tahap pelaksanaan dilakukan
rahasia tersebut tetap aman dari para dengan cara melakukan pengamanan
pelaku rekayasa sosial. Ketiga, informasi perbankan yang diemban oleh
perusahaan berupaya dalam menjaga Bagian Keamanan Teknologi Informasi
keamanan informasinya melalui dari Divisi Teknologi. Divisi Teknologi
kebijakan-kebijakan yang dikeluarkan oleh mengemban tanggung jawab untuk
manajemen perusahaan dalam bentuk mengamankan informasi data dari
Standar Operasional Prosedur, juklak, kejahatan cyber, khususnya Social
pedoman, memo hingga e-mail blast yang Engineering. Pada tahap penilaian, akan
ditujukan untuk seluruh karyawannya. dilakukan suatu perbandingan antara
Dalam teori efektivitas, terdapat kebijakan-kebijakan tertulis dengan aksi di
tiga indikator yang bisa dijadikan sebagai lapangan. Proses penilaian ini akan
alat ukur efektivitas suatu pekerjaan. dilakukan oleh Bagian Audit yang
Pertama di lihat dari indikator pencapaian melakukan pemastian kualitas.
tujuan. Berdasarkan indikator ini, Peneliti
80 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
 Di lihat dari indikator adaptasi, yaitu Sosialisasi melalui Pusdiklat perusahaan
mengenai penyesuaian perilaku karyawan merupakan salah satu contoh utama dari
dalam menghadapi sosialisasi serta upaya pengamanan informasi secara dua
awareness keamanan informasi. Pada arah.
dasarnya, disinilah letak kendala yang Dari keseluruhan pembahasan yang
ditemukan oleh Peneliti, dimana masih telah diuraikan, dapat diambil benang
terdapat beberapa pelanggaran dalam merahnya bahwa terkait dengan
menghadapi clean desk policy. keamanan informasi, tergantung pada 3
Berdasarkan analisis data yang sudah aspek CIA. Pemenuhan dalam
Peneliti lakukan, aspek adaptasi ini sangat menghadapi ketiga aspek tersebut dapat
berkaitan erat dengan perilaku karyawan di breakdown melalui beberapa alat ukur,
dalam menghadapi keamanan informasi. yaitu melalui standar internasional
Berdasarkan pernyataan yang berasal dari ISO/IEC 27001, Teori Keamanan Informasi
National Institute of Standards and Whitman & Mattord, serta Teori
Technology (NIST) Special Publication Efektivitas Duncan. Berdasarkan ketiga
(SP) 800-50 mendeskripsikan bahwa alat ukur tersebut, perusahaan telah
manusia adalah kunci dari keamanan memenuhi seluruh komponen-
informasi. Dengan demikian diperlukan komponennya sehingga ketiga aspek
adanya perhatian khusus bagaimana dasar dari Confidentialy,Integrity
manusia untuk membangun kesadaran Availebility sudah terpenuhi. Walaupun
mengenai urgensi keamanan informasi. demikian, suatu sistem tidak ada yang
Peneliti simpulkan bahwa untuk sempurna, sehingga walaupun
menjaga keamanan informasi dalam komponen-komponen tersebut sudah
menghadapi ancaman Social Engineering, terpenuhi, pasti akan terdapat sedikit
perusahaan dinilai telah cukup efektif, celah yang kemungkinan besar berasal
terutama pada indikator pencapaian dari faktor manusia mengingat bahwa
tujuan serta integrasi. Manajemen manusia lah faktor yang terkuat sekaligus
perusahaan telah membuat berbagai yang terlemah terkait keamanan
kebijakan yang cukup variatif dalam informasi ini.
menghadapi para karyawannya sehingga
upaya pengamanan tidak hanya dilakukan
secara satu arah, melainkan dua arah.
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |81
Hakikat Manusia Sebagai Korban Social masyarakat Indonesia. Seringkali
Engineering seseorang tidak segan untuk memberikan
Sebelum berbicara mengenai ancaman pertolongan kepada orang lain yang baru
Social Engineering, ada baiknya jika kita dikenalnya. Hal ini yang menurut Peneliti,
memahami terlebih dahulu mengenai terkadang dapat dijadikan celah bagi
hakikat manusia sebagai makhluk sosial. pelaku Social Engineering untuk
Berdasarkan teori budaya, manusia pada mendapatkan sesuatu yang
dasarnya merupakan makhluk budaya diinginkannya.
yang memiliki akal, budi dan daya untuk b. Pengetahuan
mendapatkan suatu gagasan dan karya Tingkat wawasan ilmu pengetahuan
cipta yang berupa seni, moral, hukum, seseorang tentu berbeda satu sama
dan kepercayaan yang dilakukan secara lainnya. Terkadang, sesorang pegawai
terus menerus yang pada akhirnya tidak mengetahui tingkat kerahasiaan
membentuk suatu kebiasaan yang suatu informasi, atau tidak mengetahui
kemudian diakumulasikan dan modus-modus dari pelaku Social
disampaikan secara sosial atau Engineering, sehingga ia akan mudah
kemasyarakatan. terjebak oleh pelaku. Rendahnya tingkat
Manusia sebagai pencipta pengetahuan tersebut juga memberikan
kebudayaan memiliki kemampuan daya peluang yang besar bagi pelaku untuk
yaitu akal, intelegensia, dan intuisi, mendapatkan apa yang diinginkannya.
perasaan dan emosi, kemauan, fantasi c. Kepercayaan
dan perilaku. EB Taylor mendeskripsikan Faktor kepercayaan merupakan faktor
beberapa faktor dari manusia yang dapat yang memberikan resiko besar dalam
mempermudah para pelaku Social menghadapiseseorang untuk masuk ke
Engineering untuk melakukan aksinya: dalam perangkap Social Engineering.
a. Kebiasaan atau Budaya Seseorang terkadang akan memberikan
Dalam konteks Social Engineering, sudah suatu informasi rahasia kepada orang lain
menjadi kebiasaan bagi manusia, atas dasar kepercayaan bahwa orang
khususnya di Indonesia untuk memiliki tersebut tidak akan menyalahgunakan
rasa saling tolong menolong dalam atau pun menyebarkan informasi yang
menghadapi sesama. Budaya gotong bersifat rahasia. Atas dasar kepercayaan
royong pun telah mendarah daging bagi pula, seseorang akan bersikap lengah dan
82 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
tidak waspada dengan lingkungan Manusia merupakan sebuah sistem yang
sekitarnya. Hal ini juga memberikan celah dikuasai oleh manusia itu sendiri. Tetapi,
bagi pelaku Social Engineering untuk dalam sebuah jaringan, keamanan
menjalankan modus-modusnya. manusia merupakan Bagian yang paling
d. Ketakutan atau Penekanan (Fear) lemah dalam sistem. Dalam konteks
Semua manusia memiliki rasa takut dalam keamanan informasi, manusia lah faktor
menghadapiancaman atau tekanan dalam yang paling krusial yang harus
menghadapiberbagai hal. Rasa takut ini diperhatikan. Komponen kedua ialah
lah yang bisa dimanfaatkan oleh pelaku proses yang merupakan sekumpulan
Social Engineering. Melalui cara-cara yang sistem keamanan yang dibuat
menakuti seperti ancaman ataupun berdasarkan dokumen resmi perusahaan
gertakan, maka manusia akan mudah seperti standar operasional prosedur,
untuk membocorkan informasi yang surat edaran, maupun petunjuk pelaksana
diketahuinya demi melindungi dirinya dari atau kebijakan-kebijakan perusahaan
rasa takut tersebut. lainnya. Kebijakan ini lah yang merupakan
Berdasarkan keempat faktor diatas, salah satu pondasi bagi terjaganya
dapat disimpulkan bahwa manusia keamanan informasi.
sebagai makhluk yang memiliki akal, Sasaran utama dari Social
inteligensia dan intuisi, perasaan dan Engineering adalah dengan memperoleh
emosi, fantasi dan perilaku, dapat akses yang illegal ke sistem dan/atau
menjadi objek yang sangat rentan dalam informasi untuk melakukan suatu
menghadapiSocial Engineering. Keempat penipuan ataupun kecurangan melalui
faktor tersebutlah yang memberikan sarana manusia. Selain itu, penyusupan ke
peluang kepada para pelaku Social dalam jaringan, pencurian identitas dan
Engineering, sehingga seseorang akan juga pencurian infomasi data rahasia, juga
menjadi lengah dan tidak sadar bahwa ia merupakan sederetan target dari pelaku
telah memasuki jebakan dari pelaku Social Social Engineering.
Engineering. Menurut Supradono (2009),
Menurut Amanda Andreas, terdapat keamanan informasi tidak hanya bisa
tiga hal yang dijadikan sebagai komponen disandarkan pada teknologi keamanan
utama dari keamanan informasi. informasi saja, tetapi harus ada
Komponen yang pertama ialah manusia. pemahaman yang dilakukan oleh
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |83
organisasi atau perusahaan agar dapat pada komputernya, tidak mematikan
menangani masalah secara tepat dalam komputer saat hendak ditinggal untuk
memenuhi kebutuhan keamanan suatu keperluan tertentu, dan harus
informasi. Dengan demikan, dibutuhkan selalu mengunci setiap laci yang ada di
pengelolaan yang komprehensif meja kerja masing-masing karyawan.
mengenai keamanan informasi, Kebiasaan karyawan dalam membiarkan
keamanan informasi harus catatan-catatan kecil yang di temple pada
memperhatikan tiga aspek, yaitu layar monitor, serta membiarkan
Confidentially, Integrity, dan Availability dokumen-dokumen berserakan di atas
(CIA).13 meja masih belum bisa ditinggalkan
Dalam pemenuhan aspek CIA, sehingga dapat meningkatkan faktor
perusahaan telah menerapkan dua kerentanan dalam menghadapi keamanan
bentuk konkrit mengenai pemenuhan informasi dan memperbesar peluang user
aspek ini, yaitu mengenai penerapan untuk melakukan rekayasa sosial dalam
dalam bentuk non-operasional atau menghadapi karyawan tersebut.
administratif yang berisi berbagai Situasi Keamanan Informasi Perusahaan
kebijakan tertulis yang berupa pedoman, dalam menghadapi Metode Social
prosedur, surat edaran maupun memo. Enginnering
Bentuk kedua yaitu melalui penerapan Terakhir, Peneliti akan melakukan
dalam bentuk operasional dengan pembandingan antara upaya-upaya yang
mengadakan program sharing ilmu dilakukan oleh perusahaan dalam
pengetahuan serta sosialiasasi, himbauan menjaga keamanan informasi melalui
dengan melalui e-mail blast. sudut pandang ancaman Social
Salah satu dari implementasi Engineering dengan cara-cara yang dapat
kebijakan tersebut adalah dengan dilakukan oleh pelaku Social Engineering
diterapkannya “clean desk policy” yang untuk mendapatkan informasi secara
mengatur karyawan agar tidak illegal. Metode Social Engineering
meninggalkan catatan-catatan penting di menurut Mawarna14 ada empat yaitu yang
meja kerja, tidak memasang password pertama ialah Social Engineering by

13 14
Kennetth C. Laudon, Jane p. Laudon . Sistem Marwana (2012), Teknik Social Engineering Dan
Informasi Manajemen 1, Jakarta , Penerbit Pencegahannya.
Salemba Empat
84 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
Phone. Metode ini menggunakan sarana diwajibkan untuk memusnahkan segala
telepon sebagai sarana utamanya dalam catatan-catatan yang sudah tidak
melakukan aksi Social Engineering. berguna, dilarang untuk menempelkan
Biasanya pelaku akan berpura-pura untuk post-it note yang berisikan password
menelepon dari dalam perusahaan ataupun nomor rekening nasabah hingga
dengan menggunakan interkom untuk penguncian meja kantor untuk
mendapatkan suatu informasi. Hal ini menghindari tindakan pencurian
tidak akan terjadi di perusahaan, telah dokumen-dokumen penting.
menerapkan kebijakan mengenai sharing Metode yang ketiga ialah Social
informasi yang hanya melalui surat dan Engineering Online. Peneliti berpendapat
berdasarkan kewenangan dari pihak yang bahwa metode ini bukan merupakan
memiliki otoritas. Sehingga, kemungkinan metode yang tepat untuk menyerang
bagi pelaku Social Engineering dalam karyawan. Menurut Peneliti, metode ini
mendapatkan informasi melalui saluran akan lebih menguntungkan jika dilakukan
telepon sangat kecil. kepada karyawan perusahaan. Namun,
Metode yang kedua ialah tidak menutup kemungkinan juga bahwa
Dumpster Diving. Dumpster Diving karyawan perusahaan bisa terjebak pada
dilakukan dengan cara ‘mengacak-acak metode ini karena tidak adanya
tong sampah’. Tong sampah disini ialah kesadaran mengenai pentingnya
dalam artian bahwa pelaku bisa membedakan password masing-masing
mendapatkan informasi melalui buku akun atau perangkat keras demi menjaga
telepon perusahaan, bagan organisasi keamanan informasi. Urgensi mengenai
yang sudah tidak terpakai, memo yang pentingnya perbedaan password dan
dibuang secara sembarangan, petunjuk mengganti password secara berkala pun
kebijakan perusaahan, jadwal pertemuan, sudah dilakukan oleh perusahaan melalui
nama login dan password, hingga segala himbauan e-mail blast kepada seluruh
informasi yang tertulis pada post-it note jajaran karyawan.
di layar komputer serta hardware yang Metode yang keempat ialah Social
sudah usang. Dalam mencegah pelaku Engineering dari sudut pandang
untuk melakukan metode ini, maka psikologis. Metode ini menggunakan
perusahaan menerapkan kebijakan “clean teknik persuasif, seperti menyamar
desk policy” dimana seluruh karyawan seperti orang yang memiliki kewenangan
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |85
atas suatu informasi. Selain itu, cara ini b. Penawaran, pelaku akan berpura-pura
juga memanfaatkan kondisi pertemanan sebagai teknisi yang mampu untuk
dalam memperoleh sebuah informasi. menyelesaikan akibat dari sabotase
Pertemanan yang dimaksud adalah tersebut kepada perusahaan.
menjalin hubungan yang seolah-olah baik c. Bantuan, pelaku akan meminta
dengan seseorang. bantuan kepada karyawan untuk
Maka untuk menghadapi metode menanyakan sesuatu yang berkaitan
seperti itu, perusahaan telah melakukan dengan sabotase tersebut sampai ia
berbagai pelatihan-pelatihan untuk mendapatkan informasi yang
meningkatkan profesionalitas dan kinerja diinginkan.
para karyawannya. Di dalam dunia Berdasarkan 3 alur tersebut, Peneliti
pekerjaan, manajemen perusahaan berpendapat bahwa untuk melakukan
terutama dari divisi sumber daya manusia alur tersebut dibutuhkan kemampuan
selalu menekankan mengenai yang jauh diatas normal, dan hanya bisa
profesionalitas, dimana di dalam dilakukan oleh orang-orang yang
lingkungan pekerjaan hanya ada istilah professional. Untuk melakukan sabotase,
rekan kerja. Maksud dari pernyataan pelaku harus mempelajari seluk beluk
tersebut ialah, rekan kerja memiliki jaringan sistem informasi perusahaan,
makna pertemanan hanya dalam ruang yang mungkin informasi itu baru bisa
lingkup pekerjaan yang mengutamakan didapatkan melalui karyawan maupun
profesionalitas. mantan karyawan. Pada kasus demikian,
Metode yang terakhir ialah Reverse Social sense of belonging dari karyawan serta
Engineering, serupa dengan metode treatement perusahaan dalam
Social Engineering dari sudut pandang menghadapi karyawan diuji. Berdasarkan
psikologis, yang membedakan ialah pernyataan Kepala Divisi sumber daya
metode ini memiliki 3 alur yang identik, manusia, suatu kebocoran informasi tidak
yaitu: akan terjadi apabila terdapat sense of
a. Sabotase, sebelum melancarkan belonging dari karyawan dalam
aksinya, pelaku harus melakukan menghadapi perusahaan yang tentu saja
sabotase dalam menghadapijaringan diciptakan melalui treatement yang
yang berhubungan dengan diberikan oleh perusahaan kepada
pengamanan suatu informasi. karyawan.
86 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1
 Berdasarkan uraian di atas, Peneliti keefektivitasan upaya pengamanan
menyimpulkan bahwa pernyataan informasi perbankan.
mengenai manusia merupakan faktor Walaupun demikian, pada observasi
yang terlemah sekaligus terkuat menjadi yang telah dilakukan, masih terdapat
semakin tidak terbantahkan. Manusia pelanggaran, terutama berkaitan dengan
merupakan faktor yang paling penting clean desk policy dimana masih
dalam menjaga keamanan informasi. ditemukannya post-it notes pada layar
Maka dari itu, perusahaan harus komputer. Hal ini menunjukkan bahwa
menerapkan standar operasional karyawan masih ada yang belum
prosedur serta memberikan pelatihan- menyadari mengenai pentingnya menjaga
pelatihan kepada karyawannya untuk keamanan informasi. Maka, Peneliti
menumbuhkan kesadaran akan meyimpulkan bahwa tingkat efektivitas
keamanan informasi. Dengan adanya keamanan informasi perusahaan dilihat
kesadaran akan keamanan informasi, dari upaya manajemen sudah dinilai
ditambah dengan sense of belonging cukup efektif. Sedangkan efektivitas pada
dalam menghadapi perusahaan, Peneliti tingkat karyawan dalam pengaplikasian
berpendapat bahwa karyawan tersebut pengamanan informasi dinilai masih
akan menjadi karyawan yang professional dalam penyempurnaan yang lebih baik
dan loyal kepada perusahaannya. Melalui lagi.
profesionalitas dalam bekerja, serta sense Pada teori EB Taylor
of belonging yang kuat akan semakin mendeskripsikan mengenai beberapa hal
memperkecil ancaman Social Engineering. yang mempengaruhi terjadinya Social
Kesimpulan Engineering antara lain adalah kebiasaan
Melalui teori efektivitas, teori keamanan atau budaya, pengetahuan (knowledge),
informasi dan syarat dari ISO/IEC 27001, kepercayaan (trust), dan ketakutan atau
Peneliti menilai bahwa Perusahaan telah penekanan tidak bisa diterapkan oleh
memenuhi seluruh komponen dari teori- kejahatan social engineering karena
teori dan syarat tersebut. Hal itu teknologi sistem keamanan yang cukup
tercermin mulai dari pelaksanaan Standar baik yaitu dengan menerapkan clean desk
Operasional Prosedur hingga pengadaan policy , permintaan data dengan
pelatihan-pelatihan juga menunjukkan menggunakan surat dan email blast

Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |87
mengenai peringatan tenttang keamanan Daftar Pustaka
Buku
informasi..
Buzan, B. (2000). Human Security: What It
Manusia merupakan faktor yang Means, and What It Entails. Kuala
Lumpur: the 14st Asia Pasific
paling penting sekaligus yang paling
Roundtable on Confidence uliding
lemah dalam konteks keamanan and Conflict Resolution.
Golose, P. R. (2015). Invasi Terorisme ke
informasi perbankan. Manusia
Cyberspace. Jakarta: Yayasan
merupakan faktor yang paling kuat Pengembangan Kajian Ilmu
Kepolisian.
karena manusialah yang bertugas untuk
Muradi. (2013). Penataan Kebijakan
melakukan kegiatan perusahaan serta Keamanan Nasional. Bandung:
Penerbit Dian Cipta.
melakukan pengamanan informasi.
Christopher Hadnagy (2010). Social
Manusia sebagai faktor yang paling Engineering. The Art of Homan
Hacking. Indianapolis, Indiana.
lemah, di lihat dari aspek psikologis,
Wiley Publishing, inc
dimana manusia akan sangat rentan Departemen Pertahanan Republik
Indonesia (2008) Buku Putih
untuk menjadi korban dari serangan
Pertahanan Republik Indonesia
Social Engineering yang akan 2008
Departemen Pertahanan Republik
mengakibatkan kebocoran informasi yang
Indonesia (2015) Buku Putih
seharusnya dijaga. Pertahanan Republik Indonesia 2015
Mary Kaldor (2007). Human Security :
Dalam hal ini, seluruh jajaran
Reflections on Globalization and
Kepala Divisi, mulai dari Kepala Divisi Intervention. Cambridge, UK
Copyright
Teknologi hingga Sumber Daya Manusia,
Idrus Muhammad (2009). Metode Ilmu
memiliki arah pemikiran yang sama yaitu Penelitian Ilmu Sosial : Pendekatan
Kualitatif dan Kuantitatif.
mengenai pemberdayaan manusia dalam
Yogjakarta, Penerbit Erlangga
mengamankan informasi perbankan Sugiyono (2016), Metode Penelitian
Kuantitatif, Kualitatif dan R & D,
sehingga tidak akan menjadi korban dari
Bandung, Penerbit ALFABETA, CV
Social Engineering. Hal ini telah terbukti Berbagai Sumber Daya Bagi
Pertumbuhan Berkelanjutan,
dengan rutinnya diadakan pelatihan-
Jakarta
pelatihan mengenai information security Kennetth C. Laudon, Jane p. Laudon .
Sistem Informasi Manajemen 1,
awareness, hingga pengiriman e-mail
Jakarta , Penerbit Salemba Empat
blast yang berisikan himbauan mengenai Jurnal
Granger, Sarah., Social Engineering
tata cara melakukan pengamanan
Fundamentals, Part I: Hacker
informasi secara sederhana. Tactics. Symantec

88 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1

Lucky Adhie, 2010, Identity Thet dengan
menggunakan Social Engineering
Studi Kasus: Kartu Kredit di
indonesia.
Peltier, T.R., 2001, Information Security
Risk Analysis, Auerbach
Publications.
Papadaki, Maria, Furnell, Steven dan
Dodge, Ronald C., Social
Engineering – Exploiting the
Weakest Links. s.l. : European
Network and Information Security
Agency, 2008
Rhodes, Colleen., Safeguarding Against
Social Engineering. East Carolina :
s.n., 2006.
Siagian, B. D. (2016). Analisis Wacana
Radikalisme pada Situs Online di
Indonesia dalam Perspektif
Keamanan Nasional(Tesis). Bogor:
Program
StudiPeperanganAsimetrisUniversit
asPertahanan.
Solichul Huda , 2007 Pengamanan Sistem
Komputer dari Model Social
Engineering dengan mengaktifkan
program Security Awareness,
Subekti, V. S. (2015). Dinamika Konsolidasi
Demokrasi: Dari Ide Pembaharuan
Sistem Politik hingga ke Praktik
Pemerintahan Demokratis . Jakarta:
Yayasan Pustaka Obor Indonesia.
Whitman, Michael E, dan Mattord,
Herbert J (2012), Principles of
Information Security (4th ed).
Boston, MA, USA Course Technologi
Marwana (2012), Teknik Social
Engineering Dan Pencegahannya.
Website
Azis,(2015); cybercrime-dan-social-
engineering. diakses 30 September,
2016,
http://fahmirahmatazis.co.id/2015/0
9/cybercrime-dan-social-
engineering.
Efektivitas Keamanan Informasi dalam Menghadapi Ancaman Social Engineering | Suherman |89
Bagus Artiadi Soewardi, Cyber Defence
diakses 5 januari 2017.
http//www.kemhan.go.id/pothan
Dr. Joel Brenner ( 2009), National
Counterinteligence Executive
diakses 5 januari 2017.
https://cryptome.org/dni-cbs-24.pdf
Etikakelompok7,(2013) Keamanan
Jaringan dan Komputer diakses 30
https://keamananjaringandankompu
ter/2013/03/22/website-palsu-klik-
bca/
Houchins Thomas ( 2002); Security’s
Biggest Threats: Social Engineering
Your Employees, diakses 5 januari
2017.
https://www.giac.org/paper/gsec/2149/sec
uritys-biggest-threats-social-
engineering-employees/
Indrajit,(2015), Social Engineering Masih
Menjadi Ancaman, diakses 30
September 2016
http://www.ciso.co.id/2015/03/social
-engineering-masih-menjadi-
ancaman/).
Institute, Insurance Information., Identity
Theft. Consumer Fraud and Identity
Theft. Insurance Information
Institute, 2009. Diakses : 23
september 2016.]
http://www.iii.org/media/facts/stats
byissue/idtheft/.
Indra, D. dan M. Chandrataruna (2009)
pencuri data adalah karyawan
Huawei
(http://teknologi.vivanews.com/new
s/read/41027. pencuri data adalah
karyawan huawei. Diakses 3 0ktober
2016.
Nudin,2005 Teori Organisasi 30
September, 2016 http://file.upi.edu
SekilasTentang Cyber Crime, Cyber
Security ,diakses 30 September,
2016,
http://inet.detik.com/read/2015/08/3
1/sekilas-tentang-cyber-crime-cyber-
security-dan-cyber-war
S. Juliandri Simanungkalit 2009,
Perancangan Manajemen, 30
September, 2016
http://lib.ui.ac.id/file?file=digital/Pera
ncangan20manajemen-
Literatur.pdf.

90 | Jurnal Prodi Peperangan Asimetris | April 2017 | Volume 3 Nomor 1