“Implementasi Manajemen Keamanan Informasi

Pada Perusahaan ”

Disusun Oleh:

• Hawari - Urfan ( 17170136 )

ARS UNIVERSITY
 Abstrak
Menurut Sarno dan Iffano keamanan informasi adalah suatu upaya untuk mengamankan aset
informasi terhadap ancaman yang mungkin timbul. Sehingga keamanan informasi secara tidak
langsung dapat menjamin kontinuitas bisnis, mengurangi resiko-resiko yang terjadi, mengoptimalkan
pengembalian investasi (return on investment. Semakin banyak informasi perusahaan yang disimpan,
dikelola dan di-sharing-kan maka semakin besar pula resiko terjadi kerusakan, kehilangan atau
tereksposnya data ke pihak eksternal yang tidak diinginkan (Sarno dan iffano : 2009). Menurut
ISO/IEC 17799:2005 tentang information security management system bahwa keamanan informasi
adalah upaya perlindungan dari berbagai macam ancaman untuk memastikan keberlanjutan bisnis,
meminimalisir resiko bisnis, dan meningkatkan investasi dan peluang bisnis

Informasi merupakan aset yang sangat berharga bagi sebuah organisasi karena merupakan salah
satusumber daya strategis dalam meningkatkan nilai usaha dan kepercayaan publik. Oleh karena itu
maka perlindungan terhadap informasi (keamanan informasi) merupakan hal yang mutlak
harusdiperhatikan secara sungguh‐sungguh oleh segenap jajaran pemilik, manajemen, dan
karyawanorganisasi yang bersangkutan. Keamanan informasi yang dimaksud menyangkut kebijakan,
prosedur, proses, dan aktivitas untuk melindungi informasi dari berbagai jenis ancaman terhadapnya
sehinggadapat menyebabkan terjadinya kerugian‐kerugian bagi kelangsungan hidup organisasi.

Latar belakang
Arti dari keamanan komputer telah berubah dalam beberapa tahun terakhir. Sebelum masalah
keamanan data/informasi menjadi popular, kebanyakan orang berpikir bahwa keamanan computer
difokuskan pada alat alat computer secara fisik. Secara tradisional, fasilitas komputer secara fisik
dilindungi karena tiga alasan:

• Untuk mencegah pencurian atau kerusakan hardware

• Untuk mencegah pencurian atau kerusakan informasi
• Untuk mencegah gangguan layanan

Prosedur yang sangat ketat untuk akses ke ruang server diaplikasikan oleh sebagian besar
organisasi, dan prosedur ini sering digunakan untuk mengukur level keamanan computer. Dengan
adanya akses jarak jauh atau remote terminal, jaringan yang sudah banyak serta teknologi internet yang
berkembang pesat maka perlindungan secara fisik sudah jarang atau tidak dapat lagi digunakan untuk
mengukur level keamanan. Meskipun demikian, masih ada beberapa perusahaan yang masih
melindungi fasilitas fisik server mereka dengan peralatan cangih tetapi kurang memperhatikan
perlindungan terhadap data atau informasi itu sendiri yang disimpan dalam server. Walupun nilai data
atau informasi tersebut beberapa kali lebih besar dari nilai hardware.
 Pembahasan

A. Pentingnya Manajemen Kontrol Keamanan pada Sistem

Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan hidup bisnis
dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik, pos, dan audio visual.
Oleh karena itu, manajemen informasi penting bagi meningkatkan kesuksusesan yang
kompetitif dalam semua sektor ekonomi.

Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan ketersediaan
informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus, dan hackers sudah
mengancam informasi bisnis manajemen oleh karena meningkatnya keterbukaan informasi dan
lebih sedikit kendali/control yang dilakukan melalui teknologi informasi modern. Sebagai
konsekuensinya , meningkatkan harapan dari para manajer bisnis, mitra usaha, auditor,dan
stakeholders lainnya menuntut adanya manajemen informasi yang efektif untuk memastikan
informasi yang menjamin kesinambungan bisnis dan meminimise kerusakan bisnis dengan
pencegahan dan memimise dampak peristiwa keamanan.

B. Alasan Mengapa harus mengamankan informasi

Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang dimiliki.
Kebanyakan orang mungkin akan bertanya, mengapa “keamanan informasi” dan bukan
“keamanan teknologi informasi” atau IT Security. Kedua istilah ini sebenarnya sangat terkait,
namun mengacu pada dua hal yang sama sekali berbeda. “Keamanan Teknologi Informasi” atau
IT Security mengacu pada usaha-usaha mengamankan infrastruktur teknologi informasi dari
gangguan-gangguan berupa akses terlarang serta utilisasi jaringan yang tidak diizinkan

Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:

1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau informasi,

memastikan bahwa informasi hanya dapat diakses oleh orang yang berwenang dan menjamin
kerahasiaan data yang dikirim, diterima dan disimpan.
 2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin fihak
yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi serta metode
prosesnya untuk menjamin aspek integrity ini.

3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat dibutuhkan,
memastikan user yang berhak dapat menggunakan informasi dan perangkat terkait (aset yang
berhubungan bilamana diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol yang layak,
yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur- prosedur, struktur-struktur
organisasi dan piranti lunak.

Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara umum
diartikan sebagai “quality or state of being secure-to be free from danger” [1]. Untuk menjadi
aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan bisa dicapai dengan
beberapa strategi yang biasa dilakukan secara simultan atau digunakan dalam kombinasi satu
dengan yang lainnya. Strategi keamanan informasi memiliki fokus dan dibangun pada masing-
masing ke-khusus-annya.

C. Contoh dari Proses keamanan informasi

• Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau anggota
organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses
tanpa otorisasi, dan bencana alam.

• Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang- orang
dalam organisasi.

• Operation Security yang memfokuskan strategi untuk mengamankan kemampuan organisasi

atau perusahaan untuk bekerja tanpa gangguan.
• Communications Security yang bertujuan mengamankan media komunikasi, teknologi
komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai tujuan
organisasi.

• Network Security yang memfokuskan pada pengamanan peralatan jaringan data organisasi,
jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam memenuhi
fungsi komunikasi data organisasi.

D. Cara Manajemen Pengamanan Informasi

Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka ada
karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan informasi
dikenal sebagai 6P yaitu:

Planning

Planning dalam manajemen keamanan informasi meliputi proses perancangan, pembuatan, dan
implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya yaitu:

1) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk periode
yang lama, biasanya lima tahunan atau lebih,

2) tactical planning memfokuskan diri pada pembuatan perencanaan dan mengintegrasi

sumberdaya organisasi pada tingkat yang lebih rendah dalam periode yang lebih singkat,
misalnya satu atau dua tahunan,

3) operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi

tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang dibutuhkan
untuk mendukung perancangan, pembuatan, dan implementasi strategi keamanan informasi
supaya diterapkan dalam lingkungan teknologi informasi. Ada beberapa tipe planning dalam
manajemen keamanan informasi, meliputi :
 Incident Response Planning (IRP)

IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi, dan
mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan sumberdaya
informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar terjadi dan mempengaruhi
atau merusak aset informasi. Insiden merupakan ancaman yang telah terjadi dan
menyerang aset informasi, dan mengancam confidentiality, integrity atau
availbilitysumberdaya informasi. Insident
Response Planning meliputi incident detection, incident response, dan incident recovery.

Disaster Recovery Planning (DRP)

Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan
pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP dapat
dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat lagi menanganinya
secara efektif dan efisien untuk melakukan pemulihan dari insiden itu. Insiden dapat kemudian
dikategorikan sebagai bencana jika organisasi tidak mampu mengendalikan akibat dari insiden
yang terjadi, dan tingkat kerusakan yang ditimbulkan sangat besar sehingga memerlukan waktu
yang lama untuk melakukan pemulihan.

Business Continuity Planning (BCP)

Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa berjalan jika
terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya pendukungnya merupakan
tugas utama business continuity planning. Jika terjadi bencana, BCP bertugas menjamin
kelangsungan fungsi kritis di tempat alternatif. Faktor penting yang diperhitungkan dalam BCP
adalah biaya.

Policy

Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
• Enterprise Information Security Policy (EISP) menentukan kebijakan departemen keamanan
informasi dan menciptakan kondisi keamanan informasi di setiap bagian organisasi.

• Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan perilaku yang
dapat diterima dan tidak dapat diterima dari segi keamanan informasi pada setiap teknologi yang
digunakan, misalnya e-mail atau penggunaan internet.

• System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau teknologi secara
teknis atau manajerial.

Programs

Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam beberapa
bagian. Salah satu contohnya adalah program security education training and awareness.
Program ini bertujuan untuk memberikan pengetahuan kepada pekerja mengenai keamanan
informasi dan meningkatkan pemahaman keamanan informasi pekerja sehingga dicapai
peningkatan keamanan informasi organisasi.

Protection

Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi perkiraan
resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi, teknologi proteksi dan
perangkat proteksi baik perangkat keras maupun perangkat keras. Setiap mekanisme merupakan
aplikasi dari aspek-aspek dalam rencana keamanan informasi.

People

Manusia adalah penghubung utama dalam program keamanan informasi. Penting sekali
mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan informasi.
Aspek ini meliputi personil keamanan dan keamanan personil dalam organisasi.
 E. Dasar apa yang digunakan dalam Keamanan sistem Informasi

ISO/IEC 27001 adalah standar information security yang diterbitkan pada October 2005 oleh
International Organization for Standarization dan International Electrotechnical Commission.
Standar ini menggantikan BS-77992:2002.

ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta, lembaga
pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan syarat-syarat untuk
membuat, menerapkan, melaksanakan, memonitor, menganalisa dan memelihara seta
mendokumentasikan Information Security Management System dalam konteks resiko bisnis
organisasi keseluruhan

ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem manajemen keamanan

informasi (ISMS). ISMS yang baik akan membantu memberikan perlindungan terhadap
gangguan pada aktivitas-aktivitas bisnis dan melindungi proses bisnis yang penting agar
terhindar dari resiko kerugian/bencana dan kegagalan serius pada pengamanan sistem informasi,
implementasi ISMS ini akan memberikan jaminan pemulihan operasi bisnis akibat kerugian yang
ditimbulkan dalam masa waktu yang tidak lama.

F. Penilaian risiko keamanan informasi (Information Security Risk

Assessment)

a) membangun dan memelihara kriteria risiko keamanan informasi yang meliputi:

1. kriteria risk acceptance

2. kriteria untuk melakukan penilaian risiko keamanan informasi

b) memastikan bahwa penilaian risiko keamanan informasi yang dilakukan secara

berulang menghasilkan hasil yang konsisten, valid, dan dapat diperbandingkan
(comparable)
c) mengidentifikasi risiko keamanan informasi:

1. menerapkan proses penilaian risiko keamanan informasi untuk mengidentifikasi risiko yang
berkaitan dengan hilangnya aspek confidentiality, integrity, dan availability untuk
informasi di dalam ruang lingkup sistem manajemen keamanan informasi
2. mengidentifikasi risk owner

d) menganalisis risiko keamanan informasi:

1. menilai potensi konsekuensi berdasarkan risiko yang telah teridentifikasi

2. menilai kemungkinan (likelihood) kejadian berdasarkan risiko yang telah
teridentifikasi
3. menentukan tingkatan risiko

e) mengevaluasi risiko keamanan informasi:

1. membandingkan hasil dari analisis risiko dengan kriteria yang telah dibuat
2. menentukan prioritas untuk melakukan risk treatment

G. Penanganan Risiko Keamanan Informasi (Information Security Risk

Treatment)

a) memilih opsi penanganan risiko yang sesuai

b) menentukan semua kendali yang mencukupi untuk mengimplementasikan pilihan penanganan

risiko keamanan informasi

c) membandingkan kendali yang telah ditentukan dengan Annex A dan melakukan verifikasi
untuk memastikan bahwa tidak ada kendali penting yang diabaikan
 d) menghasilkan Statement of Applicability yang mengandung kendali yang dibutuhkan serta
justifikasi yang menentukan apakah kendali telah diimplementasikan atau tidak.

e) memformulasikan perencanaan penanganan risiko keamanan informasi

f) memperoleh persetujuan dari risk owner terkait perencanaan penanganan risiko keamanan
informasi dan persetujuan dari resiko residu keamanan informasi

H. Dampak Positif Penggunaan Sistem Informasi

1. Mempercepat arus informasi

Arus informasi saat ini menjadi sangat cepat, bahkan cenderung tidak terkontrol hingga saat ini.
namun demikian, hal ini merupakan salah satu dampak positif, karena dapat memberikan
informasi mengenai suatu kejadian secara cepat, meskipun terkadang tidak akurat dan tidak
tepat.

Arus informasi dengan feedback yang merupakan karakteristik sistem informasimenjadi salah
satu faktor perkembangan informasi dan komunikasi yang tampak. Sehingga memberikan
manfaat tersendiri bagi setiap user. Terlebih terhadap internet, perkembangan
jaringan komputer menjadi semakin pesat seiring penggunaan internet yang kian meningkat.

2. Mempermudah akses terhadap informasi terbaru

Merupakan salah satu efek domino dari bertambah cepatnya arus informasi. Dengan adanya
teknologi informasi dan komunikasi yang berkembang sangat pesat, maka siapapun akan bisa
memperoleh informasi dengan mudah. Akses terhadap informasi ini bisa dilakukan kapanpun,
dimanapun, dan dari siapapun itu. Hal ini akan membantu individu dalam meningkatkan
informasi dan pengetahuan yang dimilikinya, meski terkadang realibilitas dan validitas dari
informasi tersebut dipertanyakan.
 Hal ini menjadi penanda bahwa penggunaan internet untuk berkomunikasi menjadi salah satu
pilihan yang sangat diminati. Karena dapat terhubung ke setiap orang dai belahan dunia
manapun. Disinilah peranan manfaat jaringan komputer sebagai salah satu sumber penggunaan
internet menjadi lebih optimal.

3. Media sosial

Media sossial juga merupakan dampak positif lainnya dari perkembangan teknologi informasi
dan kommunikasi. Media sosial dapat memberikan banyak sekali manfaat, salah satunya adalah
dapat mempertumakan individu dengan orang baru, dan menambah relasi antar individu.

Sebagai contoh, salah satunya adalah facebook. Situs yang cukup besar ini menjadi salah satu
media sosial yang paling banyak orang gunakan. Tidak hanya untuk menambah jaringan
pertemanan di dunia maya, facebook juga menjadi sarana promosi dalam bisnis. Manfaat
facebook bagi user sangatlah berguna, terlebih untuk menjalankan bisnis, baik itu bisnis kecil
maupun bisnis besar.

4. Membantu individu dalam mencari informasi

Dalam mencari informasi yang baru dan masih hangat, maka teknologi informasi dan juga
komunikasi sangat memegang peranan yang penting. Dengan adanya arus informasi yang
menjadi jauh lebih cepat, maka individu akan menjadi lebih mudah dalam mencari informasi
yang diinginkan.

Peranan internet terhadap prestasi belajar siswa menjadi salah satu momok yang cukup
diperhitungkan. Dalam hal ini siswa dapat mengeksplor pikiran dan bahan pelajaran di sekolah
mereka dengan mengakses informasi lebih luas dalam setiap mata pelajaran. Sehingga siswa
tersebut memiliki pikiran yang tak hanya berlingkup dari sekolah saja tapi dari luar sekolah
secara global.

5. Media hiburan
 Peanfaatan dari teknologi informasi dan juga komunikasi berikutnya adalah dalam hal hiburan.
Teknologi informasi dan juga komunikasi saat ini mendukung media hiburan yang sangat banyak
ragamnya bagi setiap orang. Contoh saja dari media hiburan berupa games, music, dan juga ideo,
banyak orang yang bisa hilang dan juga lepas dai stress karena hiburan yang ditawarkan oleh
perkembangan teknologi informasi dan komunikasi ini.

Fungsi teknologi dan informasi dan komunikasi juga dapat menjadi salah satu pilihan hiburan
yang cukup simple bagi beberapa orang. Tidak hanya sebagai media informasi, penggunaan
internet dapat menjadi salah satu hal pereganggan pipkiran, contohnya dengan menonton video
yang banyak tersebar di internet.

Akan tetapi perlu di noted bahwa ajang hiburan ini sebagai hal positif untuk menghilangkan
suntuk semata bukan untuk mengakses konten negatif yang membawa dampak buruk bagi user.

6. Mepermudah komunikasi dengan individu lainnya yang jauh

Komunikasi merupakan salah satu hal yang paling utama yang harus dijalin oleh manusia,
sebagai makhluk sosial. Dengan adanya teknologi informasi dan juga komunikasi, maka saat ini
untuk dapat berkomunikasi dengan orang lain menjadi jauh lebih mudah. Apabila pada jaman
dulu kita harus menunggu berhari-hari menggunakan pos, maka saat ini, dengan perkembangan
teknologi informasi dan komunikasi, kita bisa mengirim pesan dalam waktu hitungan detik,
dengan cepat dan juga mudah.

Ini menjadi salah satu faktor pendorong penyebab teknologi komputer berkembang cepat.
Chatting menjadi hal yang favorit bagi sebagian orang, terlebih saat ini penggunaan smartphone
semakin meningkat di semua kalangan.

7. Sharing dan berbagi file

 File dan juga dokumen saat ini sudah merupakan kebutuhan dari setiap orang. Baik dari file
music ataupun dokumen penting, bisa dibagikan dengan menggunakan internet yang merupakan
produk dari teknologi informasi dan juga komunikasi. Setiap user dapat saling membagikan
file dan dokumen dengan mudah, bahkan kita saat ini bisa menyimpan file yang kita miliki
dengan mudah di dalam cloud storage, atau media penyimpanan di dalam internet.

Kegiatan membagikan file ke user tujuan tentunya memerlukan security yang cukup aman agar
data yang di share tetap rahasia hingga user yang dimaksud menerima. Cara menjaga
keamanan jaringan komputer perlu diperhatikan agar data yang dibagikan tetap terjaga.

8. Memiliki banyak dampak positif dalam dunia pendidikan

Dampak lainnya yang paling terasa dari perkembangan teknologi informasi dan komunikasi
adalah dalam bidang pendidikan. Materi pelajaran dan segala hal yang berhubungan dengan
pendidikan akan menjadi lebih mudah untuk diakses dan diperoleh. Sehingga hal ini pun akan
membantu meningkatkan efektivitas dan juga efisiensi dari kebutuhan pendidikan itu sendiri bagi
tiap individu di dalam kehidupan sehari-hari.

Inilah manfaat mempelajari ilmu komputer yang dapat digunakan untuk membantu
menyelesaikan tugas sekolah maupun tugas kuliah. Peranan teknologi memang tak dipungkiri
juga turut andil dalam perkembangan dunia pendidikan yang lebih luas, dan lebih maju untuk
kedepannya.

9. Sebagai lokasi untuk bisnis jual beli

Saat ini, muncul banyak lapangan pekerjaan baru yang dihasilkan berkat adanya perkembangan
teknologi informasi dan juga komunikasi, yaitu online shop dan juga bisnis online. Hal ini
menggeser kedigdayaan penjualan barang melalu toko fisik, karena dianggap lebih murah,
praktis dan juga lebih efisien dari segi pemasaran produknya.
 Dengan adanya toko online ini, maka semakin banyak meningkatkan lapangan pekerjaan,
dimana orang yang tadinya tidak memiliki pekerjaan akhirnya bisa memiliki pekerjaan dengan
berjualan online. Disinilah fungsi sistem informasi dibutuhkan, juga bisa menggunakan media
komunikasi online sebagai sarana mempromosikan bisnis.

10. Membantu menyelesaikan masalah dengan mudah

Teknologi informasi dan juga komunikasi ternyata juga memiliki dampak yang positif dalam hal
penyelesaian masalah. Dengan komunikasi yang menjadi lebih baik dan juga arus informasi yang
cepat, maka teknologi informasi dan juga komunikasi dapat menjadi solusi bagi masalah anda.

I. Dampak Negatif Penggunaan Sistem Informasi

Berikut ini adalah beberapa dampak negative dari teknologi informasi dan juga komunikasi:

1. Individu menjadi malas untuk bersosialisasi secara fisik

2. Meningkatnya penipuan dan juga kejahatan cyber
3. Cyber Bullying
4. Konten negative yang berkembang pesat
5. Fitnah dan juga pencemaran nama baik secara luas
6. Menjauhkan yang dekat
7. Mengabaikan tugas dan juga pekerjaan
8. Mebuang-buang waktu untuk hal yang tidak berguna
9. Menurunnya prestasi belajar dan juga kemampuan bekerja seseorang
 J. RESIKO DALAM PENERAPAN SISTEM INFORMASI
DI PERUSAHAAN

Kegunaan sistem informasi dalam mendukung proses bisnis organisasi semakin nyata dan
meluas. Sistem informasi membuat proses bisnis suatu organisasi menjadi lebih efisien dan
efektif dalam mencapai tujuan. Sistem informasi bahkan menjadi key- enabler (kunci
pemungkin) proses bisnis organisasi dalam memberikan manfaat bagi stakeholders. Maka dari
itu, semakin banyak organisasi, baik yang berorientasi profit maupun yang tidak, mengandalkan
sistem informasi untuk berbagai tujuan. Di lain pihak, seiring makin meluasnya implementasi
sistem informasi maka kesadaran akan perlunya dilakukan review atas pengembangan suatu
sistem informasi semakin meningkat. Kesadaran ini muncul karena munculnya berbagai kasus
yang terkait dengan gagalnya sistem informasi, sehingga memberikan akibat yang sangat
mempengaruhi kinerja organisasi.

Terdapat beberapa resiko yang mungkin ditimbulkan sebagai akibat dari gagalnya
pengembangan suatu sistem informasi, antara lain:

1. Sistem informasi yang dikembangkan tidak sesuai dengan kebutuhan

organisasi.
2. Melonjaknya biaya pengembangan sistem informasi karena adanya “scope creep” (atau
pengembangan berlebihan) yang tanpa terkendali.
3. Sistem informasi yang dikembangkan tidak dapat meningkatkan kinerja organisas
Mengingat adanya beberapa resiko tersebut diatas yang dapat memberikan dampak terhadap
kelangsungan organisasi maka setiap organisasi harus melakukan review dan evaluasi terdapat
pengembangan sistem informasi yang dilakukan. Review dan evaluasi ini dilakukan oleh
internal organisasi ataupun pihak eksternal organisasi yang berkompeten dan diminta oleh
organisai. Kegiatan review dan evaluasi ini biasanya dilakukan oleh Auditor Sistem Informasi.
Selain wawasan, pengetahuan dan ketrampilan diatas seorang spesialis audit sistem informasi
juga dituntut memenuhi
syarat akreditasi pribadi terkait suatu sistem sertifikasi kualitas yang diakui secara internasional.
Salah satu sertifikasi profesional sebagai standar pencapaian prestasi dalam bidang audit,
kontrol, dan keamanan sistem informasi yang telah diterima secara internasional adalah CISA®
(Certified Information Systems Auditor) yang dikeluarkan oleh ISACA (Information Systems
Audit and Control Association). Audit sistem informasi dilakukan untuk menjamin agar sistem
informasi dapat melindungi aset milik organisasi dan terutama membantu pencapaian tujuan
organisasi secara efektif.

Contoh resiko penggunaan system informasi dalam perusahaan

Teknologi informasi memiliki peranan penting bagi setiap organisasi baik lembaga pemerintah
maupun perusahaan yang memanfaatkan teknologi informasi pada kegiatan bisnisnya, serta
merupakan salah satu faktor dalam mencapai tujuan organisasi. Peran TI akan optimal jika
pengelolaan TI maksimal. Pengelolaan TI yang maksimal akan dilaksanakan dengan baik dengan
menilai keselarasan antara penerapan TI dengan kebutuhan organisasi sendiri.

Semua kegiatan yang dilakukan pasti memiliki risiko, begitu juga dengan pengelolaan TI.
Pengelolaan TI yang baik pasti mengidentifikasikan segala bentuk risiko dari penerapan TI dan
penanganan dari risiko-risiko yang akan dihadapi. Untuk itu organisasi memerlukan adanya
suatu penerapan berupa Tata Kelola TI (IT Governance) (Herawan, 2012).
Pemanfaatan dan pengelolaan Teknologi Informasi (TI) sekarang ini sudah menjadi perhatian di
semua bidang dikarenakan nilai aset yang tinggi yang mempengaruhi secara langsung kegiatan
dan proses bisnis. Kinerja TI terhadap otomasi pada sebuah organisasi perlu selalu diawasi dan
dievaluasi secara berkala agar seluruh mekanisme manajemen TI berjalan sesuai dengan
perencanaan, tujuan, serta proses bisnis organisasi. Selain itu, kegiatan pengawasan dan evaluasi
tersebut juga diperlukan dalam upaya pengembangan yang berkelanjutan agar TI bisa
berkontribusi dengan maksimal di lingkungan kerja organisasi.
 K. Tujuan Keamanan Sistem Informasi
Adapun tujuan keamanan Informasi menurut Garfinkel, antara lain:
1) Kerahasiaan/privacy
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari orang
yang tidak berhak mengakses. Privacy lebih kearah datadata yang sifatnya privat sedangkan
confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain untuk keperluan
tertentu (misalnya
sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk
keperluan tertentu tersebut.

2) Ketersediaan/ availability
Agar data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk
menggunakannya.

3) Integritas/ integrity.
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi.
Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa ijin merupakan
contoh masalah yang harus dihadapi. Sebuah e-maildapat saja “ditangkap” di tengah jalan,
diubah isinya kemudian diteruskan ke alamat yang dituju. Dengan kata lain, integritas dari
informasi sudah tidak terjaga.
Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini.

4) Autentikasi/ Authentication .
Berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli, orang
yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud,
atau server yang dihubungi adalah betul-betul serveryang
asli. Authentication biasanya diarahkan kepada orang (pengguna), namun tidak pernah
ditujukan kepada serveratau mesin.
5) Access Control
Berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya berhubungan
dengan klasifikasi data (public, private, confidential, top secret) dan user (guest, admin, top
manager) mekanisme authentication dan jugaprivacy.

6) Non-repudiation
Menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi. Jumlah
kejahatan komputer (computer crime), terutama yang berhubungan dengan sistem informasi
akan terus meningkat dikarenakan beberapa hal:
a. Aplikasi bisnis berbasis teknologi informasi dan jaringan komputer semakin
meningkat.
b. Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan
membutuhkan lebih banyak operator dan administrator yang handal.
c. Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya
program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya lubang
keamanan.
d. Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan
komputer yang global seperti internet..
e. Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus
dimengerti dan masalah interoperabilityantar vendor yang lebih sulit ditangani.
f. Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak pemakai
yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
g. Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan
telekomunikasi yang sangat cepat. Begitu pentingnya nilai sebuah informasi menyebabkan
seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu, karena
jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian bagi pemilik informasi
itu sendiri.

L. Kelemahan atau Ancaman

Cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan
prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol
yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba menyusup terhadap
sistem tersebut. Kelemahan tersebut dimanfaatkan oleh orang- orang yang tidak bertanggung
jawab seperti gangguan /serangan:

a. Untuk mendapatkan akses (access attacks)

Berusaha mendapatkan akses ke berbagai sumber daya komputer atau data/informasi

b. Untuk melakukan modifikasi (modification attacks)

Didahului oleh usaha untuk mendapatkan akses, kemudian mengubah data/informasi secara tidak
sah

c. Untuk menghambat penyediaan layanan (denial of service attacks)

Berusaha mencegah pemakai yang sah untuk mengakses sebuah sumber daya atau informasi
Menghambat penyediaan layanan dengan cara mengganggu jaringan computer

M. Cara dalam Melakukan Serangan

Beberapa cara dalam melakukan serangan, antara lain:

1 Sniffing
Memanfaatkan metode broadcasting dalam LAN, membengkokkan
aturan Ethernet, membuat network interface bekerja dalam mode promiscuousn. Cara
pencegahan dengan pendeteksian sniffer (local & remote) dan penggunaan kriptografi

2. Spoofing
Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang memiliki hak
akses yang valid, Spoofer mencoba mencari data dari user yang sah agar bisa masuk ke dalam
sistem. Pada saat ini, penyerang sudah mendapatkan username & password yang sah
untuk bisa masuk ke serve.
3. Man-in-the-middle
Membuat client dan server sama-sama mengira bahwa mereka berkomunikasi dengan pihak
yang semestinya (clientmengira sedang berhubungan dengan server, demikian pula sebaliknya)

4. Menebak password
- Dilakukan secara sistematis dengan teknik brute-force atau dictionary ( mencoba semua
kemungkinan password )
- Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai, atau yang memiliki
relasi dengan user yang ditebak (tanggal lahir, nama anak, dan sebagainya)

N. 3 hal Utama yang menyebabkan Acaman Sistem Informasi

1) Ancaman Alam
- Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi,badai, pencairan
salju
- Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
- Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut

2) Ancaman Manusia

3) Ancaman Lingkungan
Menurut sifatnya ancaman terhadap sistem informasi terdiri dari ancaman aktif. Ancaman aktif
dapat berupa penyelewengan aktivitas, penyalahgunaan kartu kredit, kecurangan dan kejahatan
komputer, pengaksesan oleh orang yang tidak berhak, sabotase maupun perogram yang
jahil, contoh virus,torjan,cacing,bom waktu dan lain-lain. Sedangkan ancaman pasif berupa
kesalahan manusia, kegagalan sistem maupun bencana alam dan politik. Besar kecilnya suatu
ancaman dari sumber ancaman yang teridentifikasi atau belum teridentifikasi dengan jelas
tersebut, perlu di klasifikasikan secara matriks ancaman sehingga kemungkinan yang timbul dari
ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman tersebut memiliki
probabilitas serangan yang beragam baik
dapat terprediksi maupun tidak dapat terprediksikan seperti terjadinya gempa bumi yang
mengakibatkan sistem informasi mengalami mall function.

O. Aspek ancaman keamanan komputer atau keamanan sistem informasi

1. Interruption -> informasi dan data yang ada dalam sistem komputer dirusak dan dihapus
sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.
2. Interception -> informasi yang ada disadap atau orang yang tidak berhak mendapatkan akses
ke komputer dimana informasi tersebut disimpan.
3. Modifikasi -> orang yang tidak berhak berhasil menyadap lalu lintas informasi yang sedang
dikirim dan diubah sesuai keinginan orang tersebut.
4. Fabrication -> orang yang tidak berhak berhasil meniru suatu informasi yang ada sehingga
orang yang menerima informasi tersebut menyangka informasi tersebut berasal dari orang yang
dikehendaki oleh si penerima informasi tersebut.

P. Macam-macam resiko Penggunaan

a. Pengungkapan dan pencurian
Ketika database dan perpustakaan perangkat lunak dapat diakses oleh orang yang tidak
berhak.

b. Penggunaan secara tidak sah

Terjadi ketika sumber daya perusahaan dapat digunakan oleh orang yang tidak berhak
menggunakannya, biasa disebut hacker.

c. Pengrusakan secara tidak sah dan penolakan pelayanan

Penjahat komputer dapat masuk ke dalam jaringan komputer dari komputer yang berada jauh
dari lokasi dan menyebabkan kerusakan fisik, seperti kerusakan pada layar monitor, kerusakan
pada disket, kemacetan pada printer, dan tidak berfungsinya keyboard.
d. Modifikasi secara tidak sah
Perubahan dapat dibuat pada data-data perusahaan, informasi, dan perangkat lunak. Beberapa
perubahan tidak dapat dikenali sehingga menyebabkan pengguna yang ada di output system
menerima informasi yang salah dan membuat keputusan yang salah. Tipe modifikasi yang paling
dikhawatirkan adalah modifikasi disebabkan oleh perangkat lunak yang menyebabkan
kerusakan, biasanya dikelompokkan sebagai virus.

Dengan mengetahui ancaman dan kelemahan pada sistem informasi terdapat beberapa
kriteria yang perlu diperhatikan dalam masalah keamanan sistem informasi yang dikenal
dengan 10 domain, yaitu :
1) Akses kontrol sistem yang digunakan
2) Telekomunikasi dan jaringan yang dipakai
3) Manajemen praktis yang di pakai
4) Pengembangan sistem aplikasi yang digunakan
5) Cryptographs yang diterapkan
6) Arsitektur dari sistem informasi yang diterapkan
7) Pengoperasian yang ada
8) Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9) Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10) Tata letak fisik dari sistem yang ada
 Kesimpulan dan saran
Seperti layaknya rumah maupun manusia, perusahaan juga mempunyai rahasia yang harus dijaga. Siapa
yang menjaganya? Tentu saja penghuni dari perusahaan itu baik atasan maupun karyawannya. Mungkin Anda
berpikir apa yang menjadi prioritas dan mengapa harus menjaga kerahasiaan dari perusahaan? Seperti yang
Anda ketahui di dalam perusahaan terdapat berbagai macam informasi mengenai neraca keuangan, aktiva, surat-
surat penting, sistem, modal yang digunakan, saham, bunga pinjaman, hutang yang dimiliki dan berbagai hal
penting. Coba bayangkan ketika informasi itu bocor kepada pihak lainnya, maka hal apa yang akan terjadi?
Diibaratkan ketika seseorang sedang melakukan curhat kepada Anda dan kemudian dengan mudahnya Anda
bercerita pada teman Anda. Hari berikutnya seluruh orang sudah tahu mengenai rahasia itu. Tentunya hal ini
akan sangat merugikan bagi orang yang rahasianya terbongkar. Rasa malu, tidak aman dan juga sedih akan
mereka rasakan. Hal yang sama juga berlaku pada perusahaan.

Intinya :
• Mengamankan jaringan
• Memperhatikan Phishing
• Membackup data

Saran
Banyak sekali cara untuk membuat kita aman akan ada nya kejahatan di dunia maya, mungkin kedepan
nya banyak sekali celah yang bisa di akses oleh karna itu kita tidak lagi toleran terhadap akan nya tekhnologi,
mungkin saran dari saya untuk membuat celah yang tidak ter tembus kita ajar kan ke pendidikan sejak awal sd
ataupun smp oleh sebab itu akan adanya mungkin pembelajran yang akan di alami anak.
 Daftar Pustaka

Putra, Y. M. (2018). Keamanan Informasi. Modul Kuliah Sistem Informasi Manajemen. Jakarta: FEB-
Universitas Mercu Buana

https://jigokushoujoblog.wordpress.com/2010/11/20/pentingnya-manajemen-kontrol-keamanan-pada- sistem/

https://blogs.itb.ac.id/23215139gilangramadhanel5216mrkisem1t15d16mr/2015/11/30/manajemen -risiko- dalam-

perspektif-positif-dan-negatif/

https://dosenit.com/kuliah-it/teknologi-informasi/dampak-positif-dan-negatif-penggunaan-teknologi- informasi-
dan-komunikasi

https://sis.binus.ac.id/2015/07/01/resiko-dalam-penerapan-sistem-informasi-di-perusahaan/