Mirza Adliawan

165020307111061

Sistem Informasi Manajemen CD

RESUME BAB 8: MELINDUNGI SISTEM INFORMASI

KERENTANAN DAN PENYALAHGUNAAN SISTEM

a) Mengapa Sistem Dapat Menjadi Rentan
Sistem dapat menjadi rentan karena adanya kerentanan terhadap internet dan
tantangan pengamanan nirkabel. Data-data dalam jumlah besar yang tersimpan
dalam bentuk elektronik menjadi lebih rentan terhadap banyak ancaman daripada
ketika tersimpan dalam bentuk manual/fisik karena melalui jaringan komunikasi,
sistem informasi di lokasi berbeda menjadi terhubung. Hal ini menimbulkan
potensi adanya akses yang tak terotorisasi, penyalahgunaan atau kecurangan yang
dapat terjadi pada titik akses manapun dalam jaringan. Ancaman terhadap sistem
dapat berasal dari faktor teknis, organisasional, dan lingkungan yang diperburuk
oleh keputusan manajemen yang buruk.
b) Peranti Lunak Berbahaya: Virus, Worm, Trojan Horse dan Spyware
Malware adalah program peranti lunak yang berbahaya/malicious software
termasuk di dalamnya adalah beragam ancaman seperti virus, worm dan Trojan
horse.
1. Virus komputer adalah program perangkat lunak berbahaya yang
menempelkan dirinya kepada program perangkat lunak lain atau pada data
file dengan tujuan untuk dieksekusi, biasanya tanpa sepengetahuan atau
seizin pengguna.
2. Worm adalah program komputer independen yang menyalin dirinya
sendiri dari komputer ke komputer dalam suatu jaringan. Worm dapat
beroperasi sendiri tanpa menempel pada program komputer lain dan tidak
terlalu bergantung pada perilaku manusia untuk menyebar dari komputer
ke komputer. Worm merusak data dan program serta mengganggu dan
bahkan menghentikan operasi jaringan komputer.
3. Trojan horse adalah program perangkat lunak yang tampak tidak
berbahaya namun kemudian melakukan hal-hal di luar dugaan seperti Zeus
 Trojan yang mampu mencuri data finansial dan personal dengan diam-
diam melacak tombol-tombol para pengguna komputer saat mereka
memasukkan informasi ke dalam komputer. Trojan horse bukanlah virus
karena ia tidak bereplikasi, namun ia sering menjadi jalan untuk virus atau
kode berbahaya lain untuk masuk ke dalam sistem komputer.
4. Spyware merupakan program kecil yang dapat menginstal sendiri secara
diam-diam pada komputer untuk memonitor aktivitas pengguna dalam
Web dan memunculkan iklan-iklan. Beberapa spyware bahkan termasuk
jahat. Misalnya keylogger yang merekam pencetan tombol pada komputer
untuk mencuri nomor seri software, meluncurkan serangan internet,
memperoleh akses ke akun e-mail atau mengambil informasi pribadi
seperti nomor kartu kredit.
c) Hacker dan Vandalisme Maya
Seorang hacker adalah seseorang yang berniat memperoleh akses tanpa
otorisasi terhadap sistem komputer. Dalam komunitas peretas, istilah cracker
secara khusus digunakan untuk merujuk pada peretas dengan maksud
jahat/kriminal. Aktivitas peretas telah meluas mulai hanya sekadar penyusupan
hingga termasuk pencurian barang dan informasi termasuk perusakan sistem dan
cybervandalism yaitu gangguan yang disengaja, perusakan, atau bahkan
penghancuran situs Web atau sistem informasi perusahaan.
d) Ancaman Internal: Karyawan
Kurangnya pengetahuan sering menjadi penyebab utama pelanggaran
keamanan jaringan. Banyak karyawan membiarkan rekannya menggunakan
password-nya yang sebenarnya bisa disalahgunakan. Penyusup yang mencari
akses ke dalam sistem kadang mampu menipu karyawan untuk memberikan
password mereka dengan berpura-pura menjadi anggota penting perusahaan untuk
mencari informasi. Praktik ini disebut sosial engineering.
e) Kerentanan Peranti Lunak
Kesalahan-kesalahan peranti lunak membawa ancaman yang konstan
terhadap sistem informasi. Masalah utama pada perangkat lunak adalah
munculnya bug atau kecacatan kode program. Penelitian menunjukkan bahwa
hampir tidak mungkin menghilangkan semua bug dalam program yang besar.
Sumber utama bug adalah kompleksitas kode dalam pengambilan keputusan.
Untuk memperbaiki cacat dalam perangkat lunak ketika telah teridentifikasi,

1
 vendor membuat perangkat lunak kecil yang disebut patch untuk memperbaiki
cacat tanpa mengganggu operasi perangkat lunaknya.

NILAI BISNIS DARI PENGAMANAN DAN PENGENDALIAN

Pengamanan dan pengendalian sistem informasi memiliki peranan penting karena
sistem informasi menyimpan informasi rahasia. Sistem informasi dapat berisi informasi
operasi perusahaan (rahasia dagang, rencana pengembangan produk baru, strategi
pemasaran), sistem informasi menyimpan informasi senjata, operasi intelejen, sasaran
militer, dan sistem informasi menyimpan informasi milik pelanggan, karyawan atau
mitra bisnis.
a) Persyaratan Hukum dan Peraturan Untuk Manajemen Catatan
Elektronik
Peraturan pemerintah AS mendesak perusahaan untuk melakukan
pengamanan dan pengendalian secara lebih serius dengan mengharuskan data
dilindungi dari penyalahgunaan dan akses yang tidak sah.
Pada bidang kesehatan terdapat Health Insurance Portability and
Accountability Act (HIPAA). HIPAA mengharuskan penyimpanan informasi
pasien selama 6 tahun dan menjamin kerahasiaannya, merinci standar privasi
keamanan dan transaksi elektronik bagi penyedia jasa pelayanan kesehatan,
memberi sanksi bagi pelanggaran privasi, pengungkapan catatan medis pasien.
Pada bidang jasa keuangan terdapat aturan Gramm-Leach-Bliley Act
yang mengharuskan institusi keuangan untuk menjamin keamanan dan
kerahasiaan data pelanggan dan memastikan data harus disimpan pada media yang
aman.
Pada bidang usaha publik terdapat aturan Sarbanes-Oxley Act yang
mengharuskan manajemen untuk melindungi akurasi dan integritas informasi
keuangan dan mengharuskan pengendalian internal dilakukan dalam membuat dan
mendokumentasikan informasi LK.
b) Bukti Elektronik dan Ilmu Forensik Komputer
Ilmu Forensik Komputer adalah proses ilmiah pengumpulan,
pemeriksaan, autentikasi, pemeliharaan dan analisis data sehingga data dapat
digunakan sebagai bukti di pengadilan. Ilmu forensik komputer menangani:
1. Pemulihan data dari komputer
2. Penyimpanan dan penanganan data yang sudah pulih dengan aman

2
 3. Pencarian informasi penting dalam sejumlah besar data
4. Penyampaian informasi di hadapan pengadilan

MENETAPKAN KERANGKA KERJA UNTUK PENGAMANAN DAN

PENGENDALIAN
Pengendalian SI terdiri dari General Control dan Application Control. General
Control menentukan disain, keamanan dan penggunaan program komputer serta
keamanan file data pada seluruh aplikasi komputer. Application Controls adalah
pengendalian spesifik yang unik untuk setiap aplikasi komputer seperti aplikasi
penggajian dan proses pemesanan.
a) Penilaian Risiko
Perusahaan harus mengetahui aset mana yang membutuhkan
perlindungan dan sejauh mana aset tersebut terancam. Penilaian resiko
menentukan tingkat risiko jika aktivitas atau proses tertentu tidak dikendalikan.
Setelah penilaian risiko, para pembuat sistem berkosentrasi pada faktor
pengendalian yang memiliki potensi kerugian terbesar.
b) Kebijakan Pengamanan
Setelah perusahaan mengidentifikasi risiko, perlu mengembangkan
kebijakan pengamanan. Kebijakan pengamanan menjawab: aset informasi
perusahaan apa yang paling penting, siapa yang menciptakan dan
mengendalikan informasi tersebut, kebijakan pengamanan apa yang tepat untuk
melindungi informasi tersebut, tingkat risiko apa yang dapat diterima oleh
manajemen dll.
c) Memastikan Keberlangsungan Bisnis
Perencanaan pemulihan bencana merancang cara-cara merestorasi
layanan komputasi dan komunikasi setelah terganggu oleh suatu peristiwa
bencana. Perencanaan keberlangsungan bisnis berfokus pada bagaimana
perusahaan dapat mengembalikan operasi bisinis setelah dilanda bencana.
d) Peran Proses Audit
Audit sistem informasi manajemen yang menyeluruh dan sistematis
dapat mengukur efektifitas pengamanan dan pengendalian sistem informasi.
Audit dapat membuat simulasi serangan atau bencana untuk menguji respon
teknologi, staf sistem informasi, dan karyawan perusahaan. Audit memuat daftar

3
 dan menentukan peringkat kelemahan pengendalian dan memperkirakan
kemungkinan keterjadiannya.

TEKNOLOGI DAN PERANGKAT PENGAMAN

a) Autentikasi
Autentikasi adalah kemampuan untuk mengetahui siapa pengguna yang
melakukan akses ke sistem. Akses pengendalian piranti lunak dirancang hanya
untuk mengizinkan para pengguna sah untuk menggunakan sistem atau
mengakses data dengan menggunakan beberapa metode autentikasi. Beberapa
metode autentikasi antara lain: Token, Kartu Pintar, Autentikasi Biometrik.
b) Firewall, Sistem Deteksi Gangguan dan Antivirus
Firewall merupakan kombinasi piranti lunak yang mengendalikan arus
lalu lintas jaringan yang masuk dan keluar. Firewall bertindak seperti penjaga
gawang yang memeriksa identitas setiap pengguna sebelum memberikan akses
ke jaringan.
Sistem deteksi gangguan menggunakan perangkat yang selalu aktif
melakukan pemantauan yang diletakkan di titik-titik yang paling rentan dalam
jaringan perusahaan untuk secara kontinyu mendeteksi dan menghalangi para
penyusup.
Antivirus dirancang untuk memeriksa adanya virus komputer dalam
sistem dan drive komputer. Namun kebanyakan antivirus hanya efektif melawan
virus yang sudah dikenal ketika antivirus itu dibuat. Supaya tetap efektif,
antivirus harus terus diperbarui.
c) Enkripsi dan Infrastruktur Kunci Publik
Enkripsi adalah proses mengubah teks atau data biasa menjadi teks
bersandi rahasia (chipper) yang tidak dapat dibaca oleh siapapun selain pengirim
dan penerima yang dimaksudkan. Data dienkripsi menggunakan kode numerik
rahasia, yang dinamakan kunci enkripsi, yang mengubah data biasa menjadi teks
bersandi rahasia. Pesan harus dideskripsi oleh penerima. Dua metode untuk
mengenkripsi data: Secure Sockets Layer (SSL) dan Transport Layer Security
(TLS). Terdapat dua alternatif metode enkripsi yaitu: enkripsi kunci simetris dan
enkripsi kunci publik. Bentuk enkripsi yang paling aman adalah enkripsi kunci
publik. Enkripsi kunci publik menggunakan dua kunci: satu dibagikan dan satu
lagi sepenuhnya pribadi.