1
1. Kesulitan dalam mengidentifikasi biaya yang relevan untuk setiap
item kerugian dan menaksir probabilitas terjadinya eksposur tersebut.
Hal ini terjadi karena estimasi melibatkan biaya estimasi biaya
interupsi bisnis yang sulit diprediksi atau penggantian komputer lama
yang biayanya tentu tidak sebanding dengan komputer baru.
2. Estimasi kemungkinan kerugian melibatkan prediksi masa yang akan
datang, sedangkan prediksi tersebut sulit dilakukan apalagi terkait
dengan teknologi yang berkembang dengan cepat.
- Pendekatan kualitatif, metodenya secara sederhana merinci daftar
kerentana dan ancaman terhadap sistem, kemudian secara subjektif
meranking item-item tersebut berdasarkan kontribusi setiap item tersebut
terhadap total eksposur kerugian perusahaan tersebut.
Pada praktiknya, seringkali kedua pendekatan ini diterapkan secara
bersamaan, dengan cakupan are analisis yaitu ;
- Interupsi bisnis,
- Kerugian perangkat lunak,
- Kerugian data,
- Kerugian perangkat keras,
- Kerugian fasilitas,dan
- Kerugian jasa dan personel.
3
dimiliki oleh sejumlah orang yang terbatas. Namun banyak perusahaan
yang telah memiliki program khusus untuk menguji adanya perubahan
dalam program.
3. Mengubah file secara langsung, indvidu-individu tertentu
menemukan cara untuk memotong proses normal untuk menginput
data kedalam program komputer, jika hal ini yang terjadi maka
bencana yang didapat.
4. Pencurian data, merupakan salah satu masalah yang sangat tinggi
yang cukup serius dalam dunia bisnis hari ini. Persaingan yang terjadi
memungkinkan adanya pencurian data baik yang kuantitatif dan
kualitatif. Sejumlah informasi yang ditransmisikan antar perusahaan
melalui internet, informasi yang seperti ini rentan terhadap pencurian
pada saat transmisi dan bias saja disadap.
5. Sabotase, akan membahayakan sistem informasi. Sabotase ada
kalanya menggunakan program komputer, bila menggunakan metode
ini sering disebut bom logika.
6. Penyalahgunaan atau pencurian sumber daya informasi, biasa
terjadi pada saat karyawan menyalahgunakan sumber daya komputer
organisasi untuk kepentingan pribadi.
Lingkungan Pengendalian
4
2. Struktur Organisasi, memerlukan adanya bagian yang
bertanggungjawab terhadap sistem keamanan komputer tersebut.
3. Dewan Direksi dan Komitenya, menyangkut penunjukan individu
kompeten untuk bertanggungjawab akan sistem keamanan komputer.
4. Metode pembagian otoritas dan tanggungjawab, pembagian tugas,
tanggungjawab, dan wewenang harus didelegasikan dengan baik dan
tergambar secara jelas dalam struktur organisasi.
5. Aktivitas Pengendalian Manajemen, terkait dengan penganggaran
biaya yang efektif dan efisien dalam melakukan suatu rancangan sumber
daya sistem komputer dan informasi.
6. Fungsi audit internal, sebagai auditor akan sistem keamanan komputer
dengan konstan dan dimodifikasi untuk memenuhi kebutuhan yang terus
berubah dan membuatkan kebijakan keamanan yang harus teruji
kesesesuaian dan keefektifannya.
7. Kebijakan dan praktik personalia, menyangkut pemisahan tugas,
supervise yang memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan
ganda merupakan praktik personalia yang penting. Sehingga diperlukan
peraturan dan kebijakan menyangkut perbedaan tugas-tugas tersebut.
8. Pengaruh eksternal, menyangkut sistem informasi perusahaan yang
sesuai dengan hukum dan regulasi lokal, federal, dan Negara bagian.
Hukum dan regulasi ini mengatur keamanan dan privasi berbagai tipe
data, termasuk data terkait dengan pelanggan dan kredit mereka,
pelanggan dan riwayat mereka, personalia dan pemerintah.
5
individu tak berwenang ke lokasi tersebut. Serangan terhadap pustaka
data dan ruangan kritis lainnya dapat diminimalkan dengan penjagaan
yang ketat. Yang dapat dilakukan dengan penggunan pitu ganda untuk
tempat penyimpanan perangkat komputer, yang dapat diakses dengan
kode atau password serta identifikasi khusus yang hanya dapat diakses
oleh pihak terkait saja dan jika ada orang lain yang memiliki akses
terbatas pada lokasi maka akan memiliki hambatan untuk masuk pada
lokasi tersebut.
Untuk komputer personal, perlakuannya dengan membatasi
booting hanya dari harddisk internal dan jaringan serta hanya dapat
diakses dengan password. Untuk proteksi akan virus secara
pembatasan fisik, dilakukan dengan menyediakan workstation yang
tidak memiliki harddisk dan diskdrive dengan tujuan workstation
hanya dapat menggunakan disk dalam jaringan dan perangkat lunak
dan data tersimpan di server pusat. Selain itu dapat pula menggunakan
sistem operasi yang ROM-based serta penggunaan kabel fisik yang
anti sadap.
2. Pengendalian akses sistem, merupakan pengendalian dalam bentuk
perangkat lunak yang didesain untuk mencegah penggunaan sistem
oleh pengguna yang illegal. Dengan tujuan untuk mengecek keabsahan
pengguna dengan menggunakan sarana seperti ID pengguna,
password, IP, dan perangkat-perangkat keras.
3. Pengendalian akses file, bertujuan mencegah akses illegal ke data dan
file program. Pengendalian akses file yang paling fundamental adalah
pembuatan petunjuk dan prosedur legal untuk mengakses dan
mengubah file. Batasan khusus harus diberikan pada programmer yang
memang memiliki pengetahuan untuk mengubah program dengan
syarat programmer harus menunjukkan persetujuan tertulis. Setiap
program yang penting harus disimpan pada file yang terkunci,
mengindikasikan bahwa program tetap dapat dijalankan namun tidak
dapat dilihat atau diubah dan hanya keamanan yang dapat mengetahui
password untuk membuka file program.
Ancaman pasif mencakup masalah seperti kegagalan perangkat keras dan mati
listrik. Pengendalian terhadap ancaman ini dapat berupa pengendalian preventif
maupun korektif.
6
Sistem Toleransi Kesalahan
Keamanan Internet
Koneksi perusahaan dengan dunia internet akan memberi peluang pada bagi
perusahaan menjadi sasaran setiap hacker yang ada di dunia.
Kerentanan yang menyangkut dengan koneksi internet ini dapat muncul akibat
dari kelemahan-kelemahan berikut ini :
1. Sistem operasi atau konfigurasi sistem operasi, sistem operasi
merupakan bagian yang paling utama dan terpenting yang harus
dijamin keamanannya oleh administrator. Namun masalahnya, tidak
ada sistem operasi yang dapat bebas dari serangan sebab hacker selalu
menemukan kelemahan baru didalam sistem operasi.
2. Kerentanan Web Server, web server serupa dengan sistem operasi
dalam arti pengelola web server perlu memonitor bulletin terkait
7
dengan informasi dan pembaruan perihal konfigurasi server.
Konfigurasi ini dapat mempengaruhi keamanan web server
3. Kerentanan Jaringan Privat, pada waktu Web server ditempatkan
pada komputer host yang terkoneksi pada berbagai komputer melalui
jaringan LAN. Dalam keadaan seperti ini hacker dapat menyerang satu
komputer melalui satu komputer yang lain. Dengan cara mengirimkan
surat elektronik yang disertai program kuda Troya ke komputer
perantara tersebut. Program kuda Troya ini secara otomatis akan
terinstal pada saat pengguna membuka surat elektronik tersebut.
Program ini akan memungkinkan hacker mengendalikan komputer dari
jarak jauh.
4. Kerentanan Berbagai Program Server, adakalanya komputer host
sustu web menjalankan erver-server yang lain seperti FTP server.
Masalahnya setiap tambahan server akan menambah pula resiko yang
akan terjadi. Salah satu server cacat atau lemah manka akan membuka
jalan bagi hacker untuk menyerang server-server yang lainnya.
5. Prosedur Keamanan Umum, memaksudkan pentingnya keamanan
yang baik secara keseluruhan.setiap kesalahan dan perkecualian harus
di-log kedalam file yang dijamin aman. Namun hacker tetap saja akan
berusaha mengubah file log, dengan cara menuliskan log dikomputer
yang berbeda namun dapat diantisipasi dengan penggunaan firewall.
8
Menaksir kebutuhan penting perusahaan, yang mencakup
perangkat keras, perangkat lunak, peralatan listrik, peralatan
pemeliharaan,ruang gedung, catatan yang vital, dan sumber
daya manusia.
Daftar prioritas pemulihan berdasarkan kebutuhan
perusahaan, pemulihan terhadap terjadinya bencana akan
memakan waktu yang relative lama sehingga perlu dibuatkan
daftar prioritas terkait dengan aktivitas perusahan yang paling
penting.
Strategi dan Prosedur pemulihan, mengindikasikan
persiapan dan reaksi akan terjadinya suatu bencana, apabila
terjadi suatu bencana maka telah direncankan apa yang harus
dilakukan, siapa, bagaimana melakukannya dan berapa lama
waktu yang dibutuhkan. Hal-hal tersebut menyangkut pada :
o Pusat respons darurat,
o Prosedur ekskalasi,
o Menentukan pemrosesan komputer alternative,
o Rencana relokasi karyawan,
o Perencanaan penyelamatan,
o Perencanan pengujian sistem dan pemeliharan sistem.
Referensi:
https://www.academia.edu/9833591/Bab_5_KEAMANAN_SISTEM_INFORMA
SI