BAB II

TINJAUAN PUSTAKA

A. Keamanan Informasi
a. Definisi Keamanan Informasi

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah

penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah
sistem yang berbasis informasi, dimana informasinya sendiri tidak memiliki arti
fisik.(https://alsyahdadgmni.blogspot.com/ 7:12 24/8)

Keamanan informasi merupakan perlindungan informasi dari berbagai ancaman agar

menjamin kelanjutan proses bisnis, mengurangi risiko bisnis, dan
meningkatkan return of investment (ROI) serta peluang bisnis (Chaeikar, etc., 2012).
(https://mmsi.binus.ac.id/2017/11/17/keamanan-informasi/ 25/8 4:25)

Dapat disimpulkan bahwa keamanan informasi menggambarkan usaha untuk

melindungi komputer dan non peralatan komputer, fasilitas, data, dan informasi dari
penyalahgunaan oleh orang yang tidak bertanggungjawab.Keamanan informasi
dimaksudkan untuk mencapai kerahasiaan, ketersediaan, dan integritas di dalam
sumber daya informasi dalam suatu perusahaan.Masalah keamanan informasi
merupakan salah satu aspek penting dari sebuah sistem informasi.Akan tetapi,
masalah keamanan ini kurang mendapat perhatian dari para pemilik dan pengelola
sistem informasi.

b. Tujuan Sistem Keamanan Informasi

Sistem keamanan informasi (information security) memiliki empat tujuan

yang sangat mendasar adalah:
 a) Kerahasiaan (Confidentiality).
Informasi pada sistem komputer terjamin kerahasiaannya, hanya dapat diakses
oleh pihak-pihak yang diotorisasi, keutuhan serta konsistensi data pada sistem
tersebut tetap terjaga. Sehingga upaya orang-orang yang ingin mencuri informasi
tersebut akan sia-sia.
b) Ketersediaan (Availability).
Menjamin pengguna yang sah untuk selalu dapat mengakses informasi dan
sumberdaya yang diotorisasi. Untuk memastikan bahwa orang-orang yang memang
berhak untuk mengakses informasi yang memang menjadi haknya.
c) Integritas ( Integrity)
Menjamin konsistensi dan menjamin data tersebut sesuai dengan aslinya,
sehingga upaya orang lainyang berusaha merubah data akan segera dapat diketahui.
d) Penggunaan yang sah (Legitimate Use).
Menjamin kepastian bahwa sumberdaya tidak dapat digunakan oleh orang yang tidak
berhak.

(pdf sim 743)buku perpus

a. Kerahasiaan

Melindungi data dan informasi perusahaan dari penyingkapan orang-orang

yang tidak berhak. Inti utama dari aspek kerahasiaan adalah usaha untuk menjaga
informasi dari orang-orang yang tidak berhak mengakses.Privacy lebih kearah data-
data yang sifatnya privat.Serangan terhadap aspek privacy misalnya usaha untuk
melakukan penyadapan.Usaha-usaha yang dapat dilakukan untuk meningkatkan
privacy adalah dengan menggunakan teknologi kriptografi.Kriptografi adalah ilmu
yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek
keamanan informasi seperti keabsahan, integritas data, serta autentikasi data.
 b. Ketersediaan

Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi

benar-benar asli, atau orang yang mengakses atau memberikan informasi adalah
betul-betul orang yang dimaksud. Masalah pertama untuk membuktikan keaslian
dokumen dapat dilakukan dengan teknologi watermarking dan digital signature.
Watermarking juga dapat digunakan untuk menjaga intelektual property, yaitu
dengan menandatangani dokumen atau hasil karya pembuat. Masalah kedua biasanya
berhubungan dengan akses control, yaitu berkaitan dengan pembatasan orang-orang
yang dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bahwa
memang dia adalah pengguna yang sah atau yang berhak menggunakannya.

c. Integritas

Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin
pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah
informasi tanpa izin. Sistem informasi perlu menyediakan representasi yang akurat
dari sistem fisik yang direpresentasikan

(https://alsyahdadgmni.blogspot.com/ 7:12 24/8) buku

c. Manajemen Keamanan Informasi

Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri

atas empat tahap yakni:

a) Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi

perusahaan
b) Mendefinisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
c) Menentukan kebijakan kemanan informasi
d) Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut
 d. Kebutuhan atas Strategi Keamanan Sistem Informasi

Strategi keamanan sistem informasi dibutuhkan karena:

- Tidak dapat dipungkiri lagi bahwa informasi yang dihasilkan oleh

komputer merupakan hal yang penting untuk menyukseskan bisnis.
- Teknologi baru telah mengubah pola lingkungan bisnis termasuk ancaman
dan serangan dari luar lingkungan.
- Keamanan sistem informasi merupakan kunci keberhasilan untuk
menggunakan alat bantu baik dalam bentuk hardware maupun software
dalam berbisnis baru dan pemrosesannya.
- Keamanan sistem informasi bukanlah sekadar masalah pengendalian dari
sisi teknologi dengan menggunakan baik hardware maupun software,
namun penerapan kebijakan dan standar yang memadai akan menentukan
arah keamanan sistem informasi.
- Bisnis secara elektronik membutuhkan kepercayaan bisnis.
- Bisnis perusahaan sangat tergantung dengan ICT.
- Banyak faktor yang membutuhkan pendekatan secara terintegrasi dan
untuk jangka panjang/long-term. (buku perpus)

e. Kebijakan Keamanan Informasi

Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan

program. Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap,
diantaranya:
a. Fase 1, Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek
kebijakan keamanan tersebut.
 b. Fase 2, Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang
berminat dan terpengaruh.
c. Fase 3, Konsultasi dan persetujuan. Berkonsultasi dengan manajemen untuk
mendapatkan pandangan mengenai berbagai persyaratan kebijakan.
d. Fase 4, Kesadaran dan edukasi. Melaksanakan program pelatihan kesadaran
dan edukasi dalam unit-unit organisasi.
e. Fase 5, Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh
unit organisasi dimana kebijakan tersebut dapat diterapkan.
Kebijakan Keamanan yang Terpisah dikembangkan untuk
a) Keamanan Sistem Informasi
b) Pengendalian Akses Sistem
c) Keamanan Personel
d) Keamanan Lingkungan Fisik
e) Keamanan Komunikasi data
f) Klasifikasi Informasi
g) Perencanaan Kelangsungan Usaha
h) Akuntabilitas Manajemen
Kebijakan terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk
tulisan, dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan,
pengendalian dapat diimplementasikan.
Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk
mencapai sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan
tidak berdisiplin dalam melaksanakan tugasnya. Kebijakan keamanan sistem
informasi biasanya disusun oleh pimpinan operasi beserta pimpinan ICT (Information
Communication Technology) dengan pengarahan dari pimpinan organisasi.
Rangkaian konsep secara garis besar dan dasar bagi prosedur keamanan sistem
informasi adalah:
 - Keamanan sistem informasi merupakan urusan dan tanggung jawab semua
karyawan

Karyawan diwajibkan untuk memiliki “melek” keamanan informasi. Mereka

harus mengetahui dan dapat membayangkan dampak apabila peraturan keamanan
sistem informasi diabaikan. Semua manajer bertanggung jawab untuk
mengkomunikasikan kepada semua bawahannya mengenai pengamanan yang
dilakukan di perusahaan dan meyakinkan bahwa mereka mengetahui dan memahami
semua peraturan yang diterapkan di perusahaan dan bagiannya.

- Penetapan pemilik sistem informasi

Akan berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem (atau
sistem) yang bertanggung jawab atas keamanan sistem dan data yang dipakainya. Ia
berhak untuk mengajukan permintaan atas pengembangan sistem lebih lanjut atau
pembetulan di dalam sistem yang menyangkut bagiannya. Personel ini merupakan
contact person dengan bagian ICT (Information Communication Technology)

- Langkah keamanan harus sesuai dengan peraturan dan undang-undang.

Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undang-

undang yang telah ditetapkan yang berkaitan dengan proteksi data, computer crime,
dan hak cipta.

- Antisipasi terhadap kesalahan

Dengan meningkatkan proes transaksi secara online dan ral time dan
terkoneksi sistem jaringan internaisonal, transaksi akan terlaksana hanya dalam
hitunngan beberapa detik dan tidak melibatkan manusia. Transaksi semacam ini
apabila terjadi kesalahan tidak dapat langsung diperbaiki atau akan menyita banyak
waktu dan upaya untuk memperbaikinya.
Antisipasi dan pencegahan dengan tindakan keamanan yang ketat akan memberikan
garansi atas integritas, kelanjutan, dan kerahasiaan transaksi yang terjadi. Tindakan
pecegahan tambahan harus diimplementasikan agar dapat mendeteksi dan
melaporkan kesalahan yang terjadi sehingga kejanggalan dapat dikoreksi secepat
mungkin.

- Pengaksesan ke dalam sistem harus berdasarkan kebutuhan fungsi

User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem

sesuai dnegan prinsip “need to know”. Pemilik sistem harus bertanggung jawab atas
pemberian akses ini.

- Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk

diproses di sistem komputer

Sistem komputer milik perusahaan beserta jaringannya hanya diperbolehkan

untuk dipakai demi kepentingan bisnis perusahaan. Data perusahaan hanya
diperbolehkan dipakai untuk bisnis perusahaan dan pemilik sistem bertanggung
jawab penuh atas pemberian pengaksesan terhadap data tersebut.

- Pekerjaan yang dilakukan oleh pihak ketiga

Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh
perusahaan, maka perusahaan harus dilindungi oleh keamanan atas informasi
perusahaan. Di dalam kontrak harus didefinisikan agar pihak ketiga mematuhi
peraturan dan keamanan sistm informasi perusahaan. Manajemen harus bertanggung
jawab agar pihak ketiga mematuhi dan mengikuti peraturan keamanan yang telah
dirumuskan.

- Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan

pemakai akhir sistem informasi
 Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan,
dianjurkan agar diadakan pemisahan secara fungsional antara pengembang sistem,
pengoperasian sistem harian dan pemakai akhir. Untuk mencapai tujuan ini, pihak
ICT terutama bagian pengembangan sistem tidak dibenarkan apabila ia menangani
administrasi yang menyangkut keamanan sistem. Tugas ini agar diberikan kepada
bagian tersendiri yang disebut systems administrator yang secara organisasi struktur
tidak di bawah ICT.

- Implementasi sistem baru atau permintaan perubahan terhadap sistem

yang sudah ada harus melalui pengontrolan yang ketat melalui prosedur
sistem akseptasi dan permintaan perubahan (change request)

Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku

untuk pengembangan dan implementasi sistem baru. Setiap permintaan perubahan
program harus disertai alasan yang kuat serta keuntungan yang akan didapatkan dan
pemohon harus dapat meyakini manajer terkait dan pemilik sistem mengenai
perubahan ini. Oleh karena itu, sangat penting apabila semua pihak yang terkait harus
menandatangani “change request” sebelum kegiatan ini dimulai.

- Sistem yang akan dikembangkan harus sesuai dnegan standart metode

pengembangan sistem yang diemban oleh organisasi

Sistem yang akan dibangun harus memakai bahasa pemograman yang telah
ditetapkan. Tidak dibenarkan apabila programer membuatnya dengan bermacam-
macam bahasa pemograman. Patut dipertimbangkan semua risiko keamanan beserta
penanggulannya di dalam sistem. Sebelum sistem aplikasi diimplementasikan,
pemilik sistem harus mengevaluasi dan menilai keadaan keamanan di dalam aplikasi
tersebut.

- Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan

dengan memakai kode identiitasnya (user-ID)
 Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua
aktivitas yang dilakukan dengan ID ini akan terekam di dalam audit-trial. Pemakai
tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal yang mengakibatkan
kerugian terhadap perusahaan. Kesalahan yang berdampak akan mengakibatkan
peringatan atau pemutusan hubungan kerja terhadap pemilik user-ID ini.
(buku sim perpus)

Langkah-langkah yang dapat dipertimbangkan pada saat penyusunan

kebijakan keamanan informasi, diantaranya:

- Mengidentifikasi semua aset dan sumber daya yang penting di organisasi.

Tujuan tahap ini adalah untuk memahami kebutuhan jaringan dan bisnis
perusahaan, mengidentifikasi risiko ICT yang harus dikurangi dan dieleminasi.

- Menentukan vulnerability.
Menganalisis dan menentukan semua area vulnerability, seperti kelemahan
sistem, masalah dengan peralatan penunjang sistem, kelemahan keamanan yang dapat
dimanfaatkan oleh penyusup.

- Asses risk.
Apabila terjadi pelanggaran apa yang akan terjadi dan apa akibatnya?
Pelanggaran yang bagaimana yang akan mengakibatkan kerusakan fatal?
Pertimbangan lain termasuk kehilangan data potensial, melanggar hokum, diekspos di
media secara tidak diingini, biaya terkait dengan pelanggaran, dan seterusnya.

- Menentukan tanggung jawab.

Setiap departemen harus menunjuk seorang staf sebagai wakil departemennya
untuk mengidentifikasikan ancaman potensial terhadap korporasi. Jangan tanggung
jawab ini hanya dibebankan kepada bagian ICT.
 - Menyusun kebijakan keamanan sistem informasi.
Membuat suatu kebijakan yang mengacu kepada guidelines, prosedur,
standarisasi, dan kontrak kerja. Dokumen-dokumen tersebut harus berisikan
informasi yang berkaitan dengan computing platforms, technology platforms,
tanggung jawab pemakai, dan struktur organisasi. Apabila terjadi perubahan maka
yang diubah adalah dokumen terkait dan bukan kebijakan sistem informasinya.

- Implementasi kebijakan keamanan sistem informasi di organisasi.

Kebijakan apa pun juga yang dipilih harus secara jelas dikemukakan tanggung
jawab masing-masing terhadap keamanan yang diterapkan dan menyebutkan pemilik
sistem tertentu bersama datanya.

- Audit keamanan sistem informasi

Pengauditan terhadap keamanan sistem informasi harus secara kontinu
dilaksanakan. Pengauditan ini bukan merupakan suatu kejadian namun suatu proses.
Auditor akan memantau kemajuan dari rekomendasi dan memonitor apakah
kebijakan keamanan sistem informasi masih tetap di jalur yang benar.
(buku sim perpus)

B. Ancaman
a. Definisi Ancaman

Ancaman adalah suatu aksi atau kejadian yang dapat merugikan perusahaan
yang mengakibatkan kerugian bisa berupa uang/biaya, tenaga upaya, kemungkinan
berbisnis (business opportunity), reputasi nama baik, dan yang paling parah dapat
membuat organisasi pailit. (buku simperpus)

Ancaman yang paling terkenal dalam keamanan sistem informasi adalah

virus. Virus adalah sebuah program komputer yang dapat mereplikasi dirinya sendiri
tanpa pengetahuan pengguna. Ancaman dalam sistem informasi merupakan serangan
yang dapat muncul pada sistem yang digunakan. Serangan dapat diartikan sebagai
“tindakan yang dilakukan dengan menggunakan metode dan teknik tertentu dengan
berbagai tools yang diperlukan sesuai dengan kebutuhan yang disesuaikan dengan
objek serangan tertentu baik menggunakan serangan terarah maupun acak“. Serangan
yang terjadi terhadap sebuah sistem jaringan dikalangan praktisi lazim sering disebut
dengan penetration.

b. Ancaman Terhadap Keamanan Sistem Informasi

Suatu jaringan terdiri dari banyak titik terminal (nodes) yang disambungkan
satu sama lain menjadi satu garis komunikasi. Fungsi tertentu dilakukan pada
terminal-terminal tersebut misalnya menyimpan data atau meneruskan data yang
dikirim ke terminal lain ,routing dan rerouting, melakukan suatu tindakan apabila
terjadi kegagalan fungsi, penggunaan oleh user, dan lain-lain. Oleh karena itu, risiko
pada masing-masing node sangat tinggi, dibandingkan dengan jaringannya sendiri.

Beberapa risiko keamanan jaringan diantaranya:

- Mengakses jaringan atau aplikasi oleh user yang tidak memiliki

wewenang dari terminal sendiri atau dari nodesnetwork yang lain.
- Mengganggu atau mengacaukan pengiriman data yang rahasia dengan
cara mencegat dan memanipulasikannya.
- Kegagalan jaringan atau putus hubungan jaringan.

Serangan/ancaman terhadap jaringan yang merupakan pintu gerbang untuk

menyerang sistem perusahaan, dapat dalam bentuk software jahat (malicious
software):

 Logic bom
Bom ini dapat merupakan kode yang dibuat oleh “oknum jahat” di dalam program
aplikasi
 - Menambah statement:
IF (ungkapan logis) = TRUE
THEN (Perbuata sesuatu yang jahat/merusak)
- Membuat suatu trigger yang dapat menguntungkan lawan bisnis atau
individu:
IF (ungkapan sesuatu) NOT EQUAL (ungkapan lain)
THEN (lakukan prosedur misalnya menghapus gaji seseorang
atau memindahkan dana ke rekening seseorang)
ELSE (lanjutkan prosedur yang nomal)
 Bom waktu
Apabila sistem mencapai waktu (tanggal dan jam) tertentu yang diprogram di
dalam program aplikasi maka aplikasi akan merugikan perusahaan atau merusak
jaringan.
 Virus
Program kecil ini yang juga disebut malware seringkali disebarkan sebagai
attachment di dalam E-mail. Sebelum membuka attachment apa pun user harus
mengetahui pengirimnya. Apabila pengirim tidak dikenal disarankan untuk langsung
menghapus attachment tersebut beserta E-mail-nya. Kemungkinan lain adalah
melekatnya virus pada suatu file yang di download dari situs yang tidak di kenal.
Akibat sepak terjang virus adalah:
- Merusak atau menghapus files
- Memperlambat kinerja computer
- Menyebarkan sendiri melalui program E-mail

 Worms
Worm dapat memperlambat lalu lintas jaringan, mengonsumsikan sumber daya
secara berlebihan termasuk kapasitas CPU dan disk space.
  Trojan Horses
Program ini secara diam-diam menyusup ke dalam jaringan dan menjebak
pengguna sehingga “pintu belakang” terbuka untuk:
- Program palsu di dalam struktur direktori yang kompleks.
- Perekaman password oleh program palsu pada saat memasukan password
dan mengirim ke pembuat program yang tidak memiliki wewenang.
- Perekaman password dengan menggunakan program aplikasi yang palsu
di front-end.
- Pemanipulasiaan files.

 Spyware
Spyware adalah jenis malware yang secara diam-diam diletakkan di dalam
komputer, ia akan mengikuti tingkah laku pemakai dan melaporkan ke tempat
asalnya. Beberapa jenis spyware akan dapat menjengkelkan pemakai karena ia akan
menambah pengirim spam/”junk mail”atau pop-ups yang tidak diingini. Namun ada
juga jenis spyware yang dapat merusak komputer beserta informasi di dalamnya.

 Interception komunikasi
Pasif interception yang kadang kala disebutkan sniffing dapat berupa:
- Memasang program rahasia untuk menangkap informasi dari paket data
yang lalu-lalang di jaringan untuk mengetahui isi pengiriman data (wire
tapping).
- Kebocoran pada radio frekuensi.
- Terrestrial microwave interception.
- Satellite broadcast interception.

Sedangkan aktif interception yang juga disebut spoofing dapat berupa:

 - Decoy. Hubungan ke penerima diputus dan pengirim data diterima oleh
yang tidak berwenang, di mana pengirim tidak mengetahui/sadar atas
kejadian ini dan ia masih berpendapat bahwa pengiriman berjalan dengan
normal.
- Relay. Data yang dikirim diterima oleh yang tidak berwenang dan setelah
ia melakukan manipulasi terhadap data tersebut dikirimkan/diteruskan
kepada penerima yang berwenang.

 Denial of Service
Tipe serangan ini akan menyebabkan komputer crash atau menjadikan jaringan
sangat sibuk dengan membanjirnya permintaan pemrosesan sehingga lalu lintas
jaringan tidak dapat berjalan secara normal.

 Malicious Java/Active X
Penyusup menggunakan kode untuk mengumpulkan informasi atau
menjalankan program jahat (malicious code) di computer user yang tertular dengan
kode ini. Malicious code ini dapat:

- Memodifikasi konfigurasi sistem klien (client system configuration)

- Merusak sumber daya yang tersedia di Iclient system (file pointers,
memory, windows, CPU cycle, dan lain-lain).

 Tunneling
Apabila karyawan meneruskan pekerjaannya di rumah dan mengirimkan file
ke komputer di kantor, ada kemungkinan orang ketiga yang dapat mengakses
komputer di rumah milik karyawan tersebut dan menyusupkan file/software
rahasia di dalam sebuah dokumen yang nantinya disimpan di sistem milik
perusahaan. buku
 c. Jenis Ancaman

Ancaman terhadap sistem informasi dibagi menjadi 2(dua) macam, yaitu

ancaman aktif dan ancaman pasif.
a. Ancaman aktif mencakup:
1. Pencurian data
Jika informasi penting yang terdapat dalam database dapat diakses oleh orang
yang tidak berwenang makahasilnya dapat kehilangan informasi atau uang. Misalnya,
mata-mata industri dapat memperoleh informasipersaingan yang berharga, penjahat
komputer dapat mencuri uang bank.
2. Penggunaan sistem secara ilegal
Orang yang tidak berhak mengakses informasi pada suatu sistem yang bukan
menjadi hak-nya, dapat mengakses sistem tersebut. Penjahat komputer jenis ini
umumnya adalah hacker yaitu orang yang suka menembus system keamanan dengan
tujuan mendapatkan data atau informasi penting yang diperlukan, memperoleh akses
ke system telepon, dan membuat sambungan telepon jarak jauh secara tidak sah.
3. Penghancuran data secara ilegal
Orang yang dapat merusak atau menghancurkan data atau informasi dan
membuat berhentinya suatu system operasi komputer. Penjahat komputer ini tidak
perlu berada ditempat kejadian. Ia dapat masuk melalui jaringankomputer dari suatu
terminal dan menyebabkan kerusakan pada semua sistem dan hilangnya data atau
informasi penting. Penjahat komputer jenis ini umumnya disebut sebagai cracker
yaitu penjebol sistem komputer yang bertujuan melakukan pencurian data atau
merusak sistem.
4. Modifikasi secara ilegal
Perubahan-perubahan pada data atau informasi dan perangkat lunak secara tidak
disadari. Jenis modifikasi yang membuat pemilik sistem menjadi bingung karena
adanya perubahan pada data dan perangkat lunak disebabkan oleh progam aplikasi
yang merusak (malicious software). Program aplikasi yang dapat merusak tersebut
terdiri dari program lengkap atau segemen kode yang melaksanakan fungsi yang tidak
dikehendaki oleh pemilik sistem. Fungsi ini dapat menghapus file atau menyebabkan
sistem terhenti. Jenis aplikasi yang dapat merusak data atau perangkat lunak yang
paling populer adalah virus.

b. Ancaman pasif mencakup:

1. Kegagalan sistem
Kegagalan sistem atau kegagalan software dan hardware dapat menyebabkan
data tidak konsisten, transaksitidak berjalan dengan lancar sehingga data menjadi
tidak lengkap atau bahkan data menjadi rusak. Selain itu, tegangan listrik yang tidak
stabil dapat membuat peralatan-peralatan menjadi rusak dan terbakar.
2. Kesalahan manusia
Kesalahan pengoperasian sistem yang dilakukan oleh manusia dapat mengancam
integritas sistem dan data.
3. Bencana alam
Bencana alam seperti gempa bumi, banjir, kebakaran, hujan badai merupakan
faktor yang tidak terduga yangdapat mengancam sistem informasi sehingga
mengakibatkan sumber daya pendukung sistem informasi menjadi luluhlantah dalam
waktu yang singkat.
(pdf sim 743)

C. Risiko dan Manajemen Risiko

a. Definisi Risiko
Risiko/Risk merupakan kombinasi dari komponen kejadian yang menyangkut
ancaman (threat), vulnerability, dan impact.
Kelemahan keamanan sistem sebagai penunjang bisnis perusahaan yang dapat
dimanfaatkan oleh pihak lain untuk menguasai sistem bersangkutan dapat dimengerti
sebagai vulnerability. Sedangkan impact merupakan penilaian atas pengaruh ancaman
yang dilakukan terhadap baik aset maupun tujuan dari organisasi, dengan
memanfaatkan kelemahan sistem.
Jenis impact yang menyangkut organisasi untuk dicermati pada saat menganalisa
risiko:
- Kerugian atas revenue
- Kerugian atas modal organisasi
- Kerugian mengenai reputasi di pasar
- Menghilangnya kesempatan bisnis (business opportunity)
- Kerugian di pasar modal
- Kehilangan kepercayaan pelanggan
- Kehilangan kepercayaan karyawan
- Kehilangan kepercayaan pemegang saham
- Melanggar regulasi
- Melanggar syarat-syarat hokum/legal
- Tercemarnya nama baik organisasi

b. Analisa Risiko
Analisa risiko merupakan cikal bakal pembuatan kebijakan keamanan sistem
dari setiap organisasi. Sebelum membuat suatu kebijakan keamanan (security policy),
sangat penting untuk memahami dan mengidentifikasi sumber daya yang dimiliki
oleh organisasi sehingga dapat membedakan sumber daya mana yang harus
dilindungi dan menetapkan beberapa sumber daya yang bisa merupakan objek yang
lebih penting daripada yang lain. Hal ini sangat penting karena berkaitan dengan
biaya.
Meskipun banyak informasi yang diterima mengenai peringatan ancaman dari
luar/eksternal, jangan melupakan ancaman terselubung dari dalam/internal yang lebih
banyak dilakukan. Sebagai contoh, menurut computer Security Institute (CSI) di San
Fransisco diperkirakan 60-80 persen penyalahgunaan jaringan dilakukan oleh orang
dalam.
Analisa risiko melibatkan penentuan:
- Apa yang harus diproteksi dan dikontrol oleh organisasi.
- Apa yang dibutuhkan untuk memproteksinya.
- Bagaimana cara memproteksinya dan mengontrolnya.
- Prioritas.
Tujuan utama pada saat risk assessment adalah mengidentifikasikan proteksi
dan kontrol terhadap informasi. Pada saat risk assesment akan ditemukan banyak
bagian abu-abu (gray area) atau bidang yang tidak jelas jenis control apa yang cocok
untuk diterapkan. Oleh karena itu, tidak mungkin untuk mencapai keamanan sampai
100 persen; total security berarti mengurangi produktivitas. Kontrol terhadap sistem
informasi tidak boleh sampai mengabaikan tujuan bisnis atau misi dari organisasi.
Mengimplementasikan kontrol adalah langkah yang baik, namun tidak boleh
menghambat kelancaran bisnis atau operasional.
Misalnya memberikan potongan harga pada penjualan di retail tidak harus
selalu meminta otorisasi dari atasan. Setiap penjual diberikan wewenang untuk
memberikan diskon sampai batas tertentu dan di atas batas tersebut adalah wewenang
atasannya yang juga memiliki batas kewenangan pemberian diskon. Contoh lain yang
merupakan bagian abu-abu (gray area) adalah penggunaan Multimedia Message
Service (MMS). Boleh dikatakan hampir semua orang saat ini memiliki telepon
genggam dengan built-in kamera yang dapat dikategorikan sebagai ancaman. Pemilik
dengan mudah dapat merekam informasi rahasia (terutama rahasia manufacturing
atau pertahanan) dan mengirimnya keluar organisasi melalui mobile networks.
Tujuan utama dari proteksi terhadap informasi adalah menciptakan lingkungan
yang aman dan terjamin bagi manajemen untuk melakukan tugasnya. Pada saat
penentuan kotrol, banyak faktor yang harus dipertimbangkan, termasuk peraturan
pemerintah yang menyangkut bisnis perusahaan yang digeluti. Harus disadari juga
bahwa setiap kontrol dibutuhkan persyaratan. Persyaratan yang akan diterapkan
sudah tentu akan membutuhkan waktu pelaksanaan (response time),dan penambahan
biaya.
Risikonya harus dikelompokkan oleh tingkat kepentingan dan dampak kerusakan
yang diakibatkannya. Faktor penentunya adalah:
- Perkiraan risiko kehilangan sumber daya (dengan sengaja atau secara tidak
sengaja)
- Perkiraan pentingnya sumber daya (Apa impact-nya)
Pada saat melakukan analisa risiko harus diidentifikasikan semua sumber daya
(“Apa yang harus diproteksi oleh organisasi”) yang memiliki risiko dan berpotensi
untuk pelanggaran keamanan. Namun, pada saat mengidentifikasikan sumber daya
yang dimiliki oleh organisasi, harus pula dipertimbangkan dan dicermati secara luas
tujuan dari bisnis. Berikut kategori sumber daya yang harus dipertimbangkan untuk
mengestimasikan ancaman terhadap keamanan sistem:
 Hardware
- Processors
- Boards
- Keyboards
- Terminals
- Workstations
- Personal computers
- Printers
- Disk Drives
- Communications lines
- Terminals servers
- Routers
- Hubs
- Dish antenna (apabila menggunakan antenna)
 Software
- Source programs
- Object programs
 - Utilities
- Diagnostic programs
- Operating systems
- Communications programs
 Data
- Pada saat proses
- Penyimpanan secara online
- Archieved off-line
- Backups
- Audit trails/log
- Databases
- Data yang dikirim melalui media komunikasi
 Manusia
- Pemakai/users
- Operators yang menjalankan sistem
 Dokumentasi
- Program
- Hardware
- Systems
- Local administrative procedures
 Persediaan
- Kertas
- Formulir
- Pita dan tinta/toner printers
- Media magnetic
(buku perpus)

c. Manajemen Risiko
 Manajemen risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan
risiko atau mengurangi dampaknya. Pendefinisian risiko terdiri atas empat langkah:
1. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
2. Menyadari risikonya
3. Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar
terjadi
4. Menganalisis kelemahan perusahaan
Tingkat keparahan dampak dapat diklasifikan menjadi:
1. Dampak yang parah (severe impact) yang membuat perusahaan
bangkrut atau sangat membatasi kemampuan perusahaan tersebut
untuk berfungsi
2. Dampak signifikan (significant impact) yang menyebabkan kerusakan
dan biaya yang signifikan, tetapi perusahaan tersebut tetap selamat
3. Dampak minor (minor impact) yang menyebabkan kerusakan yang
mirip dengan yang terjadi dalam operasional sehari-hari

Tabel Tingkat Dampak dan Kelemahan

Dampak Parah Dampak Signifikan Dampak Minor
Kelemahan Melaksanakan analisis Melaksanakan Analisis
Tingkat Tinggi kelemahan. Harus analisis kelemahan. kelemahan tidak
meningkatkan Harus dibutuhkan
pengendalian meningkatkan
pengendalian
Kelemahan Melaksanakan analisis Melaksanakan Analisis
Tingkat kelemahan. Sebaiknya analisis kelemahan. kelemahan tidak
Menengah meningkatkan Sebaiknya dibutuhkan
pengendalian meningkatkan
 pengendalian
Kelemahan Melaksanakan analisis Melaksanakan Analisis
Tingkat Rendah kelemahan. Menjaga analisis kelemahan. kelemahan tidak
pengendalian tetap Menjaga dibutuhkan
ketat pengendalian tetap
ketat
Setelah analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam
laporan analisis risiko. Isi dan laporan ini sebaiknya mencakup informasi berikut ini,
mengenai tiap-tiap risiko:
1. Diskripsi risiko
2. Sumber risiko
3. Tingginya tingkat risiko
4. Pengendalian yang diterapkan pada risiko tersebut
5. Para pemilik risiko tersebut
6. Tindakan yang direkomendasikan untuk mengatasi risiko
7. Jangka waktu yang direkomendasikan untuk mengatasi risiko
Jika perusahaan telah mengatasi risiko tersebut, laporan harus diselesaikan dengan
cara menambahkan bagian akhir :
8. apa yang telah dilaksanakan untuk mengatasi risiko tersebut

E. Pengendalian
a. Definisi Pengendalian
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk
melindungi perusahaan dari resiko atau untuk meminimalkan dampak risiko tersebut
pada perusahaan jika resiko tersebut terjadi. Pengendalian dibagi menjadi tiga
kategori, yaitu :
b. Pengendalian Teknis
 Pengendalian teknis (technical control) adalah pengendalian yang menjadi
satu di dalam system dan dibuat oleh para penyusun system selam masa siklus
penyusunan system. Di dalam pengendalian teknis, jika melibatkan seorang auditor
internal didalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar
pengendalian semacam ini menjadi bagian dari desain system. Kebanyakan
pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.
1. Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang
yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang
yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya
informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup:
a) Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri
mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata
sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon
atau titik masuk jaringan.
b) Autentifikasi pengguna. Setelah identifkasi awal telah dilakukan, para pengguna
memverikasi hak akses dengan cara memberikan sesuatu yang mereka miliki,
seperti smart card atau tanda tertentu atau chip identifikasi. Autentifikasi
pengguna dapat juga dilaksanakan dengan cara memberikan sesuatau yang
menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.
c) Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui,
seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau
derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat
mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file,
sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan
perubahan pada file tersebut.
Identifkasi dan autentifikasi memanfaatkan profil pengguna (user profile),
atau deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkan file pengendalian
akses(acess control file) yang menentukan tingkat akses yang tersedia bagi tiap
pengguna.
Setelah para pengguna memenuhi syarat tiga fungsi pengendalian kases,
mereka dapat menggunakan sumber daya informasi yang terdapat di dlaam batasan
file pengendalian akses. Pencatatan audit yang berbasis komputer terus dilakukan
pada semua aktivitas pengendalian akses, seperti tanggal dan waktu serta identifikasi
terminal, dan digunakan untuk mempersiapkan laporan keuangan.
2. System Deteksi Gangguan
Logika dasar dari system deteksi gangguan adalah mengenali upaya
pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan.
Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection
software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail.
Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si
pengguna.
Contoh deteksi pengganggu yang lain adalah peranti lunak yang ditujukan
untuk mengidentifikasikan calon pengganggu sebelum memiliki kesempatan untuk
membahayakan. Peralatan prediksi ancaman dari dalam (insider threat prediction
tool) telah disusun sedemikian rupa sehingga dapat mempertimbangkan karakteristik
seperti posisi seseorang di dalam perusahaan, akses ke dalam data yang sensitive,
kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan,
file yang dimilki, dan penggunaan protocol jaringan tertentu. Hasil pembuatan
profilan seperti ini, yang beberapa berbentuk kuantitatif, dapat mengklasifikasikan
ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi
ancaman kecelakaan, mencurigakan, dan tidak berbahaya.
3. Firewall
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan.
Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web
perusahaan dengan jaringan internal perusahaan yang berisikan data sensitive dan
system informasi. Cara lain adalah menyediakan kata sandi kepada mitra dagang
yang memungkinkannya memasuki jaringan internal dari Internet.
Pendekatan ketiga adalah membangun dinding pelindung atau firewall.
Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data ked
an dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya
suatu pengaman untuk semua komputer pada jaringan perusahaan dan bukannya
pengaman terpisah untuk masing-masing computer. Beberapa perusahaan yang
menawarkan peranti lunak antivirus (seperti McAfee di www.mcafee.com dan
www.norton.com ) sekarang memberikan peranti lunak firewall tanpa biaya ekstra
dengan pembelian produk antivirus mereka.
Ada tiga jenis firewall, yaitu:
1) Firewall Penyaring Paket.Router adalah alat jaringan yang mengarahkan aliran
lalu lintas jaringan. Jika router diposisikan antara Internet dan jaringan internal,
maka router dapat berlaku sebagai firewall. Router dilengkapi dengan table data
dan alamat-alamat IP yang menggambarkan kebijakan penyaringan. Untuk
masing-masing transmisi, router mengakses table-tabelnya dan memungkinkan
hanya beberapa jenis pesan dari beberapa lokasi Internet (alamat IP) untuk lewat.
Alamat IP (IP Address) adalah serangkaian empat angka (masing-masing dari 0
ke 255) yang secara unik mengidentifikasi masing-masing computer yang
terhubung dengan Internet. Salah satu keterbasan router adalah router hanya
merupakan titik tunggal keamanan, sehingga jika hacker dapat melampuinya
perusahaan tersebut bisa mendapatkan masalah. “IP spoofing”, yaitu menipu table
akses router, adalah dalah satu metode yang digunakan untuk pembajak untuk
menipu router.
2) Firewall Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalah
firewall tingkat sirkuit yang terpasang antara Internet dan jaringan perusahaan
tapi lebih dekat dengan medium komunikasi (sirkuit) daripada router. Pendekatan
ini memungkinkan tingkat autentifikasi dan penyaringan yang tinggi, jauh lebih
 tinggi dibandingkan router. Namun, keterbatasan dari titik tunggal keamanan
tetap berlaku.
3) Firewall Tingkat Aplikasi. Firewall ini berlokasi antara router dan computer
yang menajlankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan
tambahan dapat dilakukan. Setelah permintaan diautentifikasi sebagai permintaan
yang berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan dari computer
yang diotorisasi (penyaringan paket), aplikasi tersebut dapat memnita informasi
autentifikasi yang lebih jauh seperti menanyakan kata sandi sekunder,
mengonfirmasikan identitas, atau bahkan memeriksa apakah permintaan tersebut
berlangsung selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang
paling efektif, firewall ini cenderung untuk mengurangi akses ke sumber daya.
Masalah lain adalah seorang programmer jaringan harus penulis kode program
yang spesifik untuk masing-masing aplikasi dan mengubah kode tersebut ketika
aplikasi ditambahkan, dihapus, dimodifikasi.
4. Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode
yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat
dienkripsi dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika
seseorang yang tidak memiliki otorisasi memperoleh akses enkripsi tersebut akan
membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah
kesalahan penggunaan.
Popularitas kriptografis semakin meningkat karena e-commerce, dan produk
khusus ditujukan untuk meningkatkan keamanan e-commerce telah dirancang. Salah
satunya adalah SET (Secure Electronic Transactions), yang ,melakukan pemeriksaan
keamanan menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada
orang-orang yang dapat berpartisispasi dalam transaksi e-commerce – pelanggan,
penjual, dan institusi keuangan. Dua tanda tangan biasanya digunakan menggantikan
nomor kartu kredit.
5. Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah
mengunci pintu ruangan computer. Perkembangan seterusnya menghasilkan kunci-
kunci yang lebih canggih yaitu dibuka dengan cetakan telapak tangan dan cetakan
suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat
melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara
menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari
wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir, dan badai.
6. Meletakkan Pengendalian Teknis Pada Tempatnya
Anda dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak
semuanya dicantumkan), bahwa teknologi telah banyak digunakan untuk
mengamankan informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk
keamanan. Perusahaan biasanya memilih dari daftar ini dan menerapkan kombinasi
yang dianggap menawarkan pengaman yang paling realisitis.

c. Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi
prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku
yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan dapat berlaku dalam
jangka panjang.

d. Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi
serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga
agar para karyawan perusahaan memahami serta mendukung program keamanan
tersebut.
 e. Cara Mencapai Tingkat Pengendalian Yang Tepat
Ketiga jenis pengendalian – teknis, formal, dan informal – mengharuskan
biaya. karena bukanlah merupakan praktik bisnis yang baik untuk mengahabiskan
lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari
resiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkat yang
sesuai.Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat
berdasarkan biaya versus keuntungan, tapi dalam beberapa industry terdapat pula
pertimbangan-pertimbangan lain.

f. Meletakkan Manajemen Keamanan Informasi Pada Tempatnya

Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi
sebelum menempatkan pengendalian yang didasarkan atas identifikasi ancaman dan
risiko ataupun atas panduan yang diberikan oleh pemerintah atau asosiasi industri.
Perusahaan harus mengimplementasikan gabungan dari pengendalian teknis, formal,
dan informal yang diharapkan untuk menawarkan tinngkat keamanan yang diinginkan
pada batasan biaya yang ditentukan dan sesuai dengan pertimbangan lain yang
membuat perusahaan dan sistemnya mamapu berfungsi secara efektif.

E. Standar Industri dan Sertifikasi Profesional

The Center for Internet Security (CIS) adalah organisasi nirlaba yang
didedikasikan untuk membantu para mengguna computer guna membuat system
mereka lebih aman. Bantuan diberikan melalui dua produk – CIS Benchmark dan CIS
Scoring Tools.

Mulai tahun 1960-an,profesi TI mulai menawarkan program sertifikasi. Tiga contoh

berikut mengilustrasikan cakupan dari program-program ini.
- Asosiasi Audit Sistem dan Pengendalian
Program sertifikasi keamanan yang pertama adalah certified information system
auditor, yang ditawarkan oleh information systems audit and control association
(ISACA). Untuk mendapatkan sertifikasi ini pendaftar harus mengikuti suatu ujian,
mengikuti kode etika, dan memberikan bukti pengalaman kerja dalam bidang
keamanan informasi.
- Konsersium Sertifikasi Keamanan Sistem Informasi Internasional
The certification information system security professional (CISSP) ditawarkan oleh
internasional information system security certification consortium (ISC). Sertifikasi
CISSP memberi bukti bahwa pemegangnya memiliki keahlian dalam keamanan
informasi yang mencakup topik seperti pengendalian akses, kriptografi, arsitektur
keamanan, keamanan internet dan praktik manajemen keamanan.
- Institute SANS
Institute SANS (SysAdmin, Audit, Network, Security) menawarkan sertifikasi
melalui global information assurance sertification program miliknya, yang
mencakup mata kuliah seperti audit keamanan IT dan intisari pengendalian serta
penulisan dan pemeriksaan kebijakan keamanan.

F. MANAJEMEN KEBERLANGSUNGAN BISNIS

Manajemen keberlangsungan bisnis (bussines continuity management –
BCM) adalah aktivitas yang ditujukan untuk menentukan operasional setelah terjadi
gangguang sistem informasi. Pada tahun awal penggunaan komputer, aktivitas ini
disebut perencanaan bencana (disaster planing), namun istilah yang lebih positif
perencanaan kontijensi (contigency plan), menjadi populer. Elemen penting dalam
perenccanaan kontijensi adalah rencana kontijensi, yang merupakan dokumen tertulis,
formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika
terjadi gangguan, atau ancaman gangguan, pada operasi komputasi perusahaan.
Banyak perusahaan telah menemukan bahwa, dibanding sekedar
mengandalkan, satu rencana kontijensi besar, pendekatan yang terbaik adalah
merancang beberapa sub rencana yang menjawab beberapa kontijensi yang spesifik.
Sub rencana yang umum mencakup :
Rencana darurat (Emergency plan). Rencana darurat menyebutkan cara-cara yang
akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara ini mencakup
sistem alarm, prosedur evakuasi dan sistem pemadaman api.
Rencana cadangan. Perusahaan harus mengatur agar fasilitas komputer cadangan
tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak digunakan.
Cadangan ini dapat diperoleh melalui kombinasi dari :

1. Redudansi. Peranti keras, peranti lunak dan data di duplikasikan sehingga jika
satu set tidak dapat dioperasikan, set cadangannya dapat meneruskan proses.
2. Keberagaman. Sumber daya informasi tidak dipasang pada tempat yang sama,
komputer dibuat terpisah untuk wilayah operasi yang berbeda-beda.
3. Mobilitas. Perusahaan dapat membuat perjanjian dengan para pengguna
peralatan yang sama sehingga masing-masing perusahan dapat menyediakan
cadangan kepada yang lain jika terjadi bencana besar. Pendekatan yang lebih
detail adalah membuat kontrak dengan jasa pelayanan cadangan hot site dan
cold site. Hot site adalah fasilitas komputer lengkap yang disediakan oleh
pemasok untuk pelanggannya untuk digunakan jika terdapat situasi darurat.
Cold site hanya mencakup fasilitas bangunan namun tidak mencakup fasilitas
komputer.
Rencana catatan penting. Catatan penting (vital records) perusahaan adalah
dokumen kertas, microform dan media penyimpanan optimis dan magnetis yang
penting untuk meneruskan bisnis perusahaan tersebut. Rencana catatan penting (vital
records plan) menentukan cara bagaimna catatan penting tersebut harus dilindungi.
Selain menjaga catatan tersebut di situs komputer, cadanan harus disimpan dilokasi.
Semua jenis catatan dapat secara fisik dipindahkan ke lokasi terpencil tersebut,
namun catatan komputer dapat ditransmisikan secara elektronik.
 a. Meletakkan Manajemen Keberlangsungan Bisnis Pada Tempatnya
Manajemen keberlangsungan bisnis merupakan salah satu bidang pengunaan
komputer dimana kita dapat melihat perkembangan besar. Banyak upaya telah
dilaksanakan untuk mengembangkan perencanaan kontijensi, dan banyak informasi
serta bantuan telah tersedia. Tersedia pula rencana dalam paket sehingga perusahaan
dapat mengadaptasinya ke dalam kebutuhan khususnya. Sistem komputer TAMP
memasarakan sistem pemulihan bencana (disaster recovery system – DRS) yang
mencakup sistem manajemen basis dasa, instruksi, dan perangkat yang dapat
digunakan untuk mempersiapkan rencana pemulihan. Panduan dan garis besar
tersedia bagi perusahaan untuk digunakan sebagai titik awal atau tolak ukur.