Asriyanik1
1
Program Studi Teknik Informatika UMMI
asriyanik@gmail.com
501
Jurnal SANTIKA : Jurnal Ilmiah Sains dan Teknologi-ISSN2088-5407 Volume 6 No 2 Desember 2016
2. Menurut Laudon (2012:16) sistem informasi dari Direktoral Jendral Pendidikan Tinggi
adalah komponen-komponen yang saling (DIKTI). Beberapa modul yang biasa ada dalam
berkaitan yang bekerja bersama-sama untuk sistem informasi akademik adalah:
mengumpulkan, mengolah, menyimpan, dan 1. Modul administrasi akademik
menampilkan informasi untuk mendukung - Manajemen data master seperti data
pengambilan keputusan, koordinasi, dosen, jurusan, fakultas, mata kuliah,
pengaturan, analisa, dan visualisasi pada jadwal kuliah, dll
sebuah organisasi. - Menajemen pelaporan, seperti pelaporan
3. Menurut Whitten, Bentley, dan Ditman data mahasiswa, data dosen, data
(2009:10) sistem informasi adalah pengaturan kurikulum data alumni, daftar hadir, dll
orang, data, proses, dan informasi (TI) atau - Menajemen konversi/ import data
teknologi informasi yang berinteraksi untuk - Manajemen pengguna
mengumpulkan, memproses, menyimpan, dan 2. Modul penerimaan mahasiswa baru
menyediakan sebagai output informasi yang Meliputi informasi pendaftaran, data
diperlukan untuk mendukung sebuah intansi pendaftar, cara mendaftar, dan pendaftaran
atau organisasi. online
4. Menurut O’Brien (2014:34) mengatakan 3. Modul mahasiswa
bahwa komponen Sistem Informasi terbagi Meliputi pengisian KRS online, pengecekan
atas beberapa hal, yaitu: nilai dan proses pembimbingan akademik
a. Sumber daya data (sebagai data dan 4. Modul Dosen
pengetahuan). Meliputi data mahasiswa bimbingan,
b. Sumber daya Manusia (sebagai pemakai penilaian, daftar hadir, dll
akhir dan ahli SI). 5. Modul keuangan mahasiswa
c. Sumber daya software (sebagai program Meliputi informasi data keuangan SPP, DPP,
dan prosedur). praktikum, dll
d. Sumber daya hardware (mesin dan (Sutabri, 2012)
media).
e. Sumber daya jaringan (sebagai media Keamanan Informasi
komunikasi dan dukungan jaringan). Berdasar pada ISO/IEC 17799:2005
5. Menurut Ladjamudin (2013), sistem Informasi tentang information security management system,
dapat didefinisikan sebagai berikut : keamanan informasi adalah upaya perlindungan
a. Suatu sistem yang dibuat oleh manusia dari berbagai macam ancaman untuk memastikan
yang terdiri dari komponen-komponen keberlanjutan bisnis, meminimalisir resiko bisnis,
dalam organisasi untuk mencapai suatu dan meningkatkan investasi dan peluang bisnis.
tujuan yaitu menyajikan informasi. Keamanan Informasi memiliki 3 aspek,
b. Sekumpulan prosedur organisasi yang diantaranya adalah:
pada saat dilakasanakan akan 1. Kerahasiaan (Confidentiality)
memberikan informasi bagi pengambilan Dengan adanyan keamanan informasi maka harus
keputusan dan/atau untuk mengendalikan dapat menjamin bahwa data bersifat rahasia,
organisasi. maksudnya hanya dapat diakses oleh pihak yang
c. Suatu sistem di dalam suatu organisasi berhak.
yang mempertemukan kebutuhan 2. Keutuhan (Integrity)
pengolahan transaksi, mendukung Maksudnya, dengan adanya keamanan
operasi, bersifat manajerial, dan kegiatan informasi dapat menjamin bahwa data tetap utuh
strategi dari suatu organisasi dan dan lengkap, menjaga dari kerusakan atau
menyediakan pihak luar tertentu dengan ancaman lain yang mengakibatkan berubah
laporan-laporan yang diperlukan. informasi dari aslinya.
Berdasarkan latar belakang di atas, maka 3. Ketersediaan (Availability)
dapat disimpulkan sistem informasi adalah Maksudnya adalah dengan adanya keamanan
kumpulan dari perangkat keras, perangkat lunak, informasi menjamin pengguna dapat mengakses
sumber daya manusia, dan komponen lainnya informasi kapanpun tanpa adanya gangguan dan
yang saling bekerjasama untuk melakukan tujuan tidak dalam format yang tidak bisa digunakan.
organisasi dengan menggunakan bantuan
teknologi komputer. Tiga aspek keamanan informasi tersebut
biasa disingkat dengan istilah CIA
Sistem Informasi Akademik (Confidentiality, Integrity, Availability) yang
Sistem informasi akademik merupakan merupakan aspek dasar yang harus dipenuhi dari
sistem informasi yang mengolah data akademik. konsep keamanan informasi. Dalam membuat
Biasanya modul sistem informasi akademik sistem keamanan informasi.
disesuaikan dengan kebutuhan pengolahan data
502
Jurnal SANTIKA : Jurnal Ilmiah Sains dan Teknologi-ISSN2088-5407 Volume 6 No 2 Desember 2016
Sistem Manajemen Keamanan Informasi ancaman adalah agar diketahui ancaman yang
(SMKI) mungkin terjadi.
Sistem Manajemen Keamanan Informasi 3. Mengidentifikasi kelemahan (vulnerability)
(SMKI) atau Information Security Management Kerentanan/ kelemahan (vulnerability) adalah
System (ISMS) merupakan suatu proses yang kekurangan yang ada pada sistem yang dapat
disusun berdasarkan pendekatan risiko bisnis menjadi celah terjadinya ancaman. Tujuan
untuk merencanakan (plan), mengimplementasi melakukan identifikasi kelemahan adalah agar
(do), memonitor dan meninjau ulang (check) serta dapat memahami kelemahan yang dimiliki
memelihara dan meningkatkan atau oleh sistem/ organisasi.
mengembangkan (act) terhadap Keamanan 4. Menentukan kemungkinan ancaman
Informasi perusahaan [ISO/IEC 27001, 2005]. (probability)
Tujuan dibangun dan diterapkannya SMKI adalah Tahapan ini bertujuan untuk mengetahui
untuk menjaga aspek kerahasiaan kemungkinan ancaman yang terjadi sesuai
(confidentiality), keutuhan (integrity) dan dengan identifikasi ancaman yang telah
ketersediaan (availability) dari informasi. didefinisikan.
International Standard Organization (ISO) 5. Analisis Dampak (Impact Analysis)
mengelompokkan standar Keamanan Informasi ke Tahapan ini adalah kegiatan untuk
dalam serial ISO/IEC 27000, yaitu: mementukan sebesara besar pengaruh suatu
1. ISO 27000: Dokumen yang berisi risiko yang diakibatkan oleh kelemahan atau
definisi-definisi Keamanan Informasi ancaman terhadap proses bisnis suatu
yang digunakan sebagai istilah dasar organisasi.
dalam serial ISO/IEC 27000. 6. Penilaian risiko (risk assessment)
2. ISO 27001: Dokumen yang menjelaskan Penilaian risiko dilakukan untuk memberikan
persyaratan standar yang harus dipenuhi gambaran dari seberapa besar akibat yang
untuk membangun SMKI. akan diterima organisasi jika ancaman yang
3. ISO 27002: Dokumen yang berisi menyebabkan kegagalan bisnis terjadi. Cara
panduan praktis (code of practice) teknik melakukan penilaian risiko terdapat dua
Keamanan Informasi. metode, yaitu:
4. ISO 27003: Dokumen yang berisi a. Metode kualitatif
panduan implementasi SMKI Dilakukan dengan melakukan perkiraan
5. ISO 27004: Dokumen yang berisi terhadap biaya yang akan ditanggung oleh
matriks dan metode pengukuran suatu organisasi akibat dari risiko yang
keberhasilan implementasi SMKI. diterima. Biasanya dibuat terlebih dahulu
6. ISO 27005: Dokumen panduan patokannya. Nilai risiko biasanya berupa
pelaksanaan manajemen risiko. pilihan: risiko rendah, risiko medium,
7. ISO 27006 : Dokumen panduan untuk risiko tinggi
sertifikasi SMKI perusahaan. b. Metode kuantitatif
8. ISO 27007: dokumen panduan audit Untuk metode kuantitatif dilakukan
SMKI perusahaan penilaian dengan rumus matematis yaitu:
(Sarno dan Isyat Iffano, 2009) Nilai risiko = Nilai aset x analisis dampak
bisnis x nilai ancaman
Manajemen Risiko
Risiko adalah peluang terjadinya sesuatu METODE PENELITIAN
yang dapat mengakibatkan terganggunya proses Tahapan – tahapan penelitian
bisnis atau memberikan dampak sehingga tujuan Tahapan penelitian yang dilakukan pada
organisasi terganggu. Manajemen risiko adalah penelitian ini yaitu:
proses untuk mengidentifikasi risiko, 1. Studi pendahuluan
menganalisis risiko serta melakukan penanganan Pada tahap studi pendahuluan dilakukan
untuk mengurangi risiko sampai dampaknya pengenalan terhadap lingkungan organisasi
dapat diterima terhadap keberlangsungan proses dan sistem informasi akademik yang ada di
bisnis. Kegiatan manajemen risiko meliputi: UMMI untuk dapat menentukan dengan lebih
1. Mengidentifikasi informasi/ aset, yaitu baik tentang permasalahan dan solusi yang
melakukan pengelompokkan aset ke dalam dibutuhkan.
beberapa kategori atau golongan. 2. Melakukan penilaian risiko dengan tahapan
2. Mengidentifikasi ancaman (threat) berikut:
Ancaman (threat) adalah suatu potensi yang a. Mengidentifikasi aset pada sistem
disebabkan oleh insiden yang mungkin informasi akademik UMMI
membahayakan jalannya proses bisnis b. Mengidentifikasi ancaman yang
organisasi. Tujuan melakukan identifikasi mungkin terjadi pada sistem informasi
akademik UMMI
503
Jurnal SANTIKA : Jurnal Ilmiah Sains dan Teknologi-ISSN2088-5407 Volume 6 No 2 Desember 2016
504
Jurnal SANTIKA : Jurnal Ilmiah Sains dan Teknologi-ISSN2088-5407 Volume 6 No 2 Desember 2016
Berdasar pada nilai aset, ancaman dan kerentanan, maka nilai risiko dari aset perangkat lunak SIAK UMMI adalah:
Tabel 1. Penilaian risiko
No Aset Jenis Ancaman Kelemahan (Vulnerability) LOIS BIA RV Risk Level
Aplikasi SIAK Tidak adanya perlindungan terhadap file atau 2 3 6 Moderate
data pada suatu halaman web,
mengakibatkan user yang tidak berwenang
Site Scraping (Site
1 dapat mendownload beberapa atau
Reconnaissance)
keseluruhan source, konten atau data-data
yang terkandung di situs secara langsung di
internet.
Tidak adanya batasan ketika user gagal 2 4 8 High
2 Brute Force Login
melakukan login
Kurangnya pemeriksaan atau pengujian 2 4 8 High
3 Cross Site Scripting (XSS) (testing) terhadap aplikasi ketika selesai
dibangun
Tidak adanya batasan ketika user gagal 2 4 8 High
4 Dictionary Password Attack
melakukan login
Password yang digunakan oleh user terlalu 2 4 8 High
5 Guessing Password Attack
mudah untuk ditebak
Antar muka perangkat lunak yang rumit. 3 4 12 High
Kurangnya dokumentasi mengenai
Kesalahan penggunaan
6 penggunaan perangkat lunak Spesifikasi
perangkat Lunak
pengembangan perangkat lunak yang tidak
jelas atau tidak lengkap
Pelanggaran pemeliharaan Tidak adanya pengawasan terhadap user 3 3 9 High
7
sistem informasi yang menggunakan komputer
Tidak adanya pencatatan log aktivitas 4 4 16 Critical
8 Penyalahgunaan hak akses
administrator atau operator
Aplikasi menerima seluruh karakter yang 2 4 8 High
9 SQL Injection
diinputkan oleh user
Penyalahgunaan Fungsi Tidak adanya pencatatan log aktivitas 4 4 16 Critical
10
Aplikasi administrator atau operator
Tidak ada atau tidak cukupnya pengujian 2 5 10 Critical
11 Software error
perangkat lunak
Keterangan:
LOIS = Likely of Insiden
BIA = Bussiness Impact Analysis
RV = Risk Value
505
Jurnal SANTIKA : Jurnal Ilmiah Sains dan Teknologi-ISSN2088-5407 Volume 6 No 2 Desember 2016
506