ARTIKEL SISTEM INFORMASI MANAJEMEN

“Implementasi Manajemen Keamanan Informasi

pada Perusahaan ”

Disusun Oleh:

• ASSANI ROHMATUN NIKMAH ( 43217120163 )

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS MERCUBUANA
JAKARTA
 A. Pentingnya Manajemen Kontrol Keamanan pada Sistem

Informasi adalah salah suatu asset penting dan sangat berharga bagi kelangsungan
hidup bisnis dan disajikan dalam berbagai format berupa : catatan, lisan, elektronik,
pos, dan audio visual. Oleh karena itu, manajemen informasi penting
bagi meningkatkan kesuksusesan yang kompetitif dalam semua sektor ekonomi.

Tujuan manajemen informasi adalah untuk melindungi kerahasiaan, integritas dan

ketersediaan informasi. Dengan tumbuhnya berbagai penipuan, spionase, virus, dan
hackers sudah mengancam informasi bisnis manajemen oleh karena meningkatnya
keterbukaan informasi dan lebih sedikit kendali/control yang dilakukan melalui teknologi
informasi modern. Sebagai konsekuensinya , meningkatkan harapan dari para manajer
bisnis, mitra usaha, auditor,dan stakeholders lainnya menuntut adanya manajemen
informasi yang efektif untuk memastikan informasi yang menjamin kesinambungan
bisnis dan meminimise kerusakan bisnis dengan pencegahan dan memimise dampak
peristiwa keamanan.

B. Alasan Mengapa harus mengamankan informasi

Keamanan Informasi adalah suatu upaya untuk mengamankan aset informasi yang
dimiliki. Kebanyakan orang mungkin akan bertanya, mengapa “keamanan informasi”
dan bukan “keamanan teknologi informasi” atau IT Security. Kedua istilah ini
sebenarnya sangat terkait, namun mengacu pada dua hal yang sama sekali berbeda.
“Keamanan Teknologi Informasi” atau IT Security mengacu pada usaha-usaha
mengamankan infrastruktur teknologi informasi dari gangguan-gangguan berupa akses
terlarang serta utilisasi jaringan yang tidak diizinkan

Keamanan informasi terdiri dari perlindungan terhadap aspek-aspek berikut:

1. Confidentiality (kerahasiaan) aspek yang menjamin kerahasiaan data atau

informasi, memastikan bahwa informasi hanya dapat diakses oleh orang yang
berwenang dan menjamin kerahasiaan data yang dikirim, diterima dan disimpan.
 2. Integrity (integritas) aspek yang menjamin bahwa data tidak dirubah tanpa ada ijin
fihak yang berwenang (authorized), menjaga keakuratan dan keutuhan informasi
serta metode prosesnya untuk menjamin aspek integrity ini.

3. Availability (ketersediaan) aspek yang menjamin bahwa data akan tersedia saat
dibutuhkan, memastikan user yang berhak dapat menggunakan informasi dan
perangkat terkait (aset yang berhubungan bilamana diperlukan).

Keamanan informasi diperoleh dengan mengimplementasi seperangkat alat kontrol

yang layak, yang dapat berupa kebijakan-kebijakan, praktek-praktek, prosedur-
prosedur, struktur-struktur organisasi dan piranti lunak.

Informasi yang merupakan aset harus dilindungi keamanannya. Keamanan, secara

umum diartikan sebagai “quality or state of being secure-to be free from danger” [1].
Untuk menjadi aman adalah dengan cara dilindungi dari musuh dan bahaya. Keamanan
bisa dicapai dengan beberapa strategi yang biasa dilakukan secara simultan atau
digunakan dalam kombinasi satu dengan yang lainnya. Strategi keamanan informasi
memiliki fokus dan dibangun pada masing-masing ke-khusus-annya.

C. Contoh dari Proses keamanan informasi

• Physical Security yang memfokuskan strategi untuk mengamankan pekerja atau

anggota organisasi, aset fisik, dan tempat kerja dari berbagai ancaman meliputi bahaya
kebakaran, akses tanpa otorisasi, dan bencana alam.

• Personal Security yang overlap dengan ‘phisycal security’ dalam melindungi orang-
orang dalam organisasi.

• Operation Security yang memfokuskan strategi untuk mengamankan kemampuan

organisasi atau perusahaan untuk bekerja tanpa gangguan.
• Communications Security yang bertujuan mengamankan media komunikasi, teknologi
komunikasi dan isinya, serta kemampuan untuk memanfaatkan alat ini untuk mencapai
tujuan organisasi.

• Network Security yang memfokuskan pada pengamanan peralatan jaringan data

organisasi, jaringannya dan isinya, serta kemampuan untuk menggunakan jaringan
tersebut dalam memenuhi fungsi komunikasi data organisasi.

D. Cara Manajemen Pengamanan Informasi

Manajemen keamanan informasi memiliki tanggung jawab untuk program khusus, maka
ada karakteristik khusus yang harus dimilikinya, yang dalam manajemen keamanan
informasi dikenal sebagai 6P yaitu:

Planning

Planning dalam manajemen keamanan informasi meliputi proses perancangan,

pembuatan, dan implementasi strategi untuk mencapai tujuan. Ada tiga tahapannya
yaitu:

1) strategic planning yang dilakukan oleh tingkatan tertinggi dalam organisasi untuk
periode yang lama, biasanya lima tahunan atau lebih,

2) tactical planning memfokuskan diri pada pembuatan perencanaan dan

mengintegrasi sumberdaya organisasi pada tingkat yang lebih rendah dalam periode
yang lebih singkat, misalnya satu atau dua tahunan,

3) operational planning memfokuskan diri pada kinerja harian organisasi. Sebagi

tambahannya, planning dalam manajemen keamanan informasi adalah aktifitas yang
dibutuhkan untuk mendukung perancangan, pembuatan, dan implementasi strategi
keamanan informasi supaya diterapkan dalam lingkungan teknologi informasi. Ada
beberapa tipe planning dalam manajemen keamanan informasi, meliputi :
 Incident Response Planning (IRP)

IRP terdiri dari satu set proses dan prosedur detil yang mengantisipasi, mendeteksi,
dan mengurangi akibat dari insiden yang tidak diinginkan yang membahayakan
sumberdaya informasi dan aset organisasi, ketika insiden ini terdeteksi benar-benar
terjadi dan mempengaruhi atau merusak aset informasi. Insiden merupakan ancaman
yang telah terjadi dan menyerang aset informasi, dan
mengancam confidentiality, integrity atau availbilitysumberdaya informasi. Insident
Response Planning meliputi incident detection, incident response, dan incident
recovery.

Disaster Recovery Planning (DRP)

Disaster Recovery Planning merupakan persiapan jika terjadi bencana, dan melakukan
pemulihan dari bencana. Pada beberapa kasus, insiden yang dideteksi dalam IRP
dapat dikategorikan sebagai bencana jika skalanya sangat besar dan IRP tidak dapat
lagi menanganinya secara efektif dan efisien untuk melakukan pemulihan dari insiden
itu. Insiden dapat kemudian dikategorikan sebagai bencana jika organisasi tidak mampu
mengendalikan akibat dari insiden yang terjadi, dan tingkat kerusakan yang ditimbulkan
sangat besar sehingga memerlukan waktu yang lama untuk melakukan pemulihan.

Business Continuity Planning (BCP)

Business Continuity Planning menjamin bahwa fungsi kritis organisasi tetap bisa
berjalan jika terjadi bencana. Identifikasi fungsi kritis organisasi dan sumberdaya
pendukungnya merupakan tugas utama business continuity planning. Jika terjadi
bencana, BCP bertugas menjamin kelangsungan fungsi kritis di tempat alternatif. Faktor
penting yang diperhitungkan dalam BCP adalah biaya.

Policy

Dalam keamanan informasi, ada tiga kategori umum dari kebijakan yaitu:
• Enterprise Information Security Policy (EISP) menentukan kebijakan departemen
keamanan informasi dan menciptakan kondisi keamanan informasi di setiap bagian
organisasi.

• Issue Spesific Security Policy (ISSP) adalah sebuah peraturan yang menjelaskan
perilaku yang dapat diterima dan tidak dapat diterima dari segi keamanan informasi
pada setiap teknologi yang digunakan, misalnya e-mail atau penggunaan internet.

• System Spesific Policy (SSP) pengendali konfigurasi penggunaan perangkat atau

teknologi secara teknis atau manajerial.

Programs

Adalah operasi-operasi dalam keamanan informasi yang secara khusus diatur dalam
beberapa bagian. Salah satu contohnya adalah program security education training and
awareness. Program ini bertujuan untuk memberikan pengetahuan kepada pekerja
mengenai keamanan informasi dan meningkatkan pemahaman keamanan informasi
pekerja sehingga dicapai peningkatan keamanan informasi organisasi.

Protection

Fungsi proteksi dilaksanakan melalui serangkaian aktifitas manajemen resiko, meliputi

perkiraan resiko (risk assessment) dan pengendali, termasuk mekanisme proteksi,
teknologi proteksi dan perangkat proteksi baik perangkat keras maupun perangkat
keras. Setiap mekanisme merupakan aplikasi dari aspek-aspek dalam rencana
keamanan informasi.

People

Manusia adalah penghubung utama dalam program keamanan informasi. Penting

sekali mengenali aturan krusial yang dilakukan oleh pekerja dalam program keamanan
informasi. Aspek ini meliputi personil keamanan dan keamanan personil dalam
organisasi.
 E. Dasar apa yang digunakan dalam Keamanan sistem Informasi

ISO/IEC 27001 adalah standar information security yang diterbitkan pada October 2005
oleh International Organization for Standarization dan International Electrotechnical
Commission. Standar ini menggantikan BS-77992:2002.

ISO/IEC 27001: 2005 mencakup semua jenis organisasi (seperti perusahaan swasta,
lembaga pemerintahan, dan lembaga nirlaba). ISO/IEC 27001: 2005 menjelaskan
syarat-syarat untuk membuat, menerapkan, melaksanakan, memonitor, menganalisa
dan memelihara seta mendokumentasikan Information Security Management System
dalam konteks resiko bisnis organisasi keseluruhan

ISO/IEC 27001 mendefenisikan keperluan-keperluan untuk sistem manajemen

keamanan informasi (ISMS). ISMS yang baik akan membantu memberikan
perlindungan terhadap gangguan pada aktivitas-aktivitas bisnis dan melindungi proses
bisnis yang penting agar terhindar dari resiko kerugian/bencana dan kegagalan serius
pada pengamanan sistem informasi, implementasi ISMS ini akan memberikan jaminan
pemulihan operasi bisnis akibat kerugian yang ditimbulkan dalam masa waktu yang
tidak lama.

F. Penilaian risiko keamanan informasi (Information Security Risk

Assessment)

a) membangun dan memelihara kriteria risiko keamanan informasi yang meliputi:

1. kriteria risk acceptance

2. kriteria untuk melakukan penilaian risiko keamanan informasi

b) memastikan bahwa penilaian risiko keamanan informasi yang dilakukan

secara berulang menghasilkan hasil yang konsisten, valid, dan dapat
diperbandingkan (comparable)
c) mengidentifikasi risiko keamanan informasi:

1. menerapkan proses penilaian risiko keamanan informasi untuk mengidentifikasi

risiko yang berkaitan dengan hilangnya aspek confidentiality, integrity,
dan availability untuk informasi di dalam ruang lingkup sistem manajemen
keamanan informasi
2. mengidentifikasi risk owner

d) menganalisis risiko keamanan informasi:

1. menilai potensi konsekuensi berdasarkan risiko yang telah teridentifikasi

2. menilai kemungkinan (likelihood) kejadian berdasarkan risiko yang telah
teridentifikasi
3. menentukan tingkatan risiko

e) mengevaluasi risiko keamanan informasi:

1. membandingkan hasil dari analisis risiko dengan kriteria yang telah dibuat
2. menentukan prioritas untuk melakukan risk treatment

G. Penanganan Risiko Keamanan Informasi (Information Security

Risk Treatment)

a) memilih opsi penanganan risiko yang sesuai

b) menentukan semua kendali yang mencukupi untuk mengimplementasikan pilihan

penanganan risiko keamanan informasi

c) membandingkan kendali yang telah ditentukan dengan Annex A dan melakukan

verifikasi untuk memastikan bahwa tidak ada kendali penting yang diabaikan
 d) menghasilkan Statement of Applicability yang mengandung kendali yang dibutuhkan
serta justifikasi yang menentukan apakah kendali telah diimplementasikan atau tidak.

e) memformulasikan perencanaan penanganan risiko keamanan informasi

f) memperoleh persetujuan dari risk owner terkait perencanaan penanganan risiko

keamanan informasi dan persetujuan dari resiko residu keamanan informasi

H. Dampak Positif Penggunaan Sistem Informasi

1. Mempercepat arus informasi

Arus informasi saat ini menjadi sangat cepat, bahkan cenderung tidak terkontrol hingga
saat ini. namun demikian, hal ini merupakan salah satu dampak positif, karena dapat
memberikan informasi mengenai suatu kejadian secara cepat, meskipun terkadang
tidak akurat dan tidak tepat.

Arus informasi dengan feedback yang merupakan karakteristik sistem informasimenjadi

salah satu faktor perkembangan informasi dan komunikasi yang tampak. Sehingga
memberikan manfaat tersendiri bagi setiap user. Terlebih terhadap
internet, perkembangan jaringan komputer menjadi semakin pesat seiring penggunaan
internet yang kian meningkat.

2. Mempermudah akses terhadap informasi terbaru

Merupakan salah satu efek domino dari bertambah cepatnya arus informasi. Dengan
adanya teknologi informasi dan komunikasi yang berkembang sangat pesat, maka
siapapun akan bisa memperoleh informasi dengan mudah. Akses terhadap informasi ini
bisa dilakukan kapanpun, dimanapun, dan dari siapapun itu. Hal ini akan membantu
individu dalam meningkatkan informasi dan pengetahuan yang dimilikinya, meski
terkadang realibilitas dan validitas dari informasi tersebut dipertanyakan.
 Hal ini menjadi penanda bahwa penggunaan internet untuk berkomunikasi menjadi
salah satu pilihan yang sangat diminati. Karena dapat terhubung ke setiap orang dai
belahan dunia manapun. Disinilah peranan manfaat jaringan komputer sebagai salah
satu sumber penggunaan internet menjadi lebih optimal.

3. Media sosial

Media sossial juga merupakan dampak positif lainnya dari perkembangan teknologi
informasi dan kommunikasi. Media sosial dapat memberikan banyak sekali manfaat,
salah satunya adalah dapat mempertumakan individu dengan orang baru, dan
menambah relasi antar individu.

Sebagai contoh, salah satunya adalah facebook. Situs yang cukup besar ini menjadi
salah satu media sosial yang paling banyak orang gunakan. Tidak hanya untuk
menambah jaringan pertemanan di dunia maya, facebook juga menjadi sarana promosi
dalam bisnis. Manfaat facebook bagi user sangatlah berguna, terlebih untuk
menjalankan bisnis, baik itu bisnis kecil maupun bisnis besar.

4. Membantu individu dalam mencari informasi

Dalam mencari informasi yang baru dan masih hangat, maka teknologi informasi dan
juga komunikasi sangat memegang peranan yang penting. Dengan adanya arus
informasi yang menjadi jauh lebih cepat, maka individu akan menjadi lebih mudah
dalam mencari informasi yang diinginkan.

Peranan internet terhadap prestasi belajar siswa menjadi salah satu momok yang
cukup diperhitungkan. Dalam hal ini siswa dapat mengeksplor pikiran dan bahan
pelajaran di sekolah mereka dengan mengakses informasi lebih luas dalam setiap mata
pelajaran. Sehingga siswa tersebut memiliki pikiran yang tak hanya berlingkup dari
sekolah saja tapi dari luar sekolah secara global.

5. Media hiburan
 Peanfaatan dari teknologi informasi dan juga komunikasi berikutnya adalah dalam hal
hiburan. Teknologi informasi dan juga komunikasi saat ini mendukung media hiburan
yang sangat banyak ragamnya bagi setiap orang. Contoh saja dari media hiburan
berupa games, music, dan juga ideo, banyak orang yang bisa hilang dan juga lepas dai
stress karena hiburan yang ditawarkan oleh perkembangan teknologi informasi dan
komunikasi ini.

Fungsi teknologi dan informasi dan komunikasi juga dapat menjadi salah satu pilihan
hiburan yang cukup simple bagi beberapa orang. Tidak hanya sebagai media informasi,
penggunaan internet dapat menjadi salah satu hal pereganggan pipkiran, contohnya
dengan menonton video yang banyak tersebar di internet.

Akan tetapi perlu di noted bahwa ajang hiburan ini sebagai hal positif untuk
menghilangkan suntuk semata bukan untuk mengakses konten negatif yang membawa
dampak buruk bagi user.

6. Mepermudah komunikasi dengan individu lainnya yang jauh

Komunikasi merupakan salah satu hal yang paling utama yang harus dijalin oleh
manusia, sebagai makhluk sosial. Dengan adanya teknologi informasi dan juga
komunikasi, maka saat ini untuk dapat berkomunikasi dengan orang lain menjadi jauh
lebih mudah. Apabila pada jaman dulu kita harus menunggu berhari-hari menggunakan
pos, maka saat ini, dengan perkembangan teknologi informasi dan komunikasi, kita bisa
mengirim pesan dalam waktu hitungan detik, dengan cepat dan juga mudah.

Ini menjadi salah satu faktor pendorong penyebab teknologi komputer berkembang
cepat. Chatting menjadi hal yang favorit bagi sebagian orang, terlebih saat ini
penggunaan smartphone semakin meningkat di semua kalangan.

7. Sharing dan berbagi file

 File dan juga dokumen saat ini sudah merupakan kebutuhan dari setiap orang. Baik dari
file music ataupun dokumen penting, bisa dibagikan dengan menggunakan internet
yang merupakan produk dari teknologi informasi dan juga komunikasi. Setiap
user dapat saling membagikan file dan dokumen dengan mudah, bahkan kita saat ini
bisa menyimpan file yang kita miliki dengan mudah di dalam cloud storage, atau media
penyimpanan di dalam internet.

Kegiatan membagikan file ke user tujuan tentunya memerlukan security yang cukup
aman agar data yang di share tetap rahasia hingga user yang dimaksud
menerima. Cara menjaga keamanan jaringan komputer perlu diperhatikan agar data
yang dibagikan tetap terjaga.

8. Memiliki banyak dampak positif dalam dunia pendidikan

Dampak lainnya yang paling terasa dari perkembangan teknologi informasi dan
komunikasi adalah dalam bidang pendidikan. Materi pelajaran dan segala hal yang
berhubungan dengan pendidikan akan menjadi lebih mudah untuk diakses dan
diperoleh. Sehingga hal ini pun akan membantu meningkatkan efektivitas dan juga
efisiensi dari kebutuhan pendidikan itu sendiri bagi tiap individu di dalam kehidupan
sehari-hari.

Inilah manfaat mempelajari ilmu komputer yang dapat digunakan untuk membantu
menyelesaikan tugas sekolah maupun tugas kuliah. Peranan teknologi memang tak
dipungkiri juga turut andil dalam perkembangan dunia pendidikan yang lebih luas, dan
lebih maju untuk kedepannya.

9. Sebagai lokasi untuk bisnis jual beli

Saat ini, muncul banyak lapangan pekerjaan baru yang dihasilkan berkat adanya
perkembangan teknologi informasi dan juga komunikasi, yaitu online shop dan juga
bisnis online. Hal ini menggeser kedigdayaan penjualan barang melalu toko fisik,
karena dianggap lebih murah, praktis dan juga lebih efisien dari segi pemasaran
produknya.
 Dengan adanya toko online ini, maka semakin banyak meningkatkan lapangan
pekerjaan, dimana orang yang tadinya tidak memiliki pekerjaan akhirnya bisa memiliki
pekerjaan dengan berjualan online. Disinilah fungsi sistem informasi dibutuhkan, juga
bisa menggunakan media komunikasi online sebagai sarana mempromosikan bisnis.

10. Membantu menyelesaikan masalah dengan mudah

Teknologi informasi dan juga komunikasi ternyata juga memiliki dampak yang positif
dalam hal penyelesaian masalah. Dengan komunikasi yang menjadi lebih baik dan juga
arus informasi yang cepat, maka teknologi informasi dan juga komunikasi dapat
menjadi solusi bagi masalah anda.

I. Dampak Negatif Penggunaan Sistem Informasi

Berikut ini adalah beberapa dampak negative dari teknologi informasi dan juga
komunikasi:

1. Individu menjadi malas untuk bersosialisasi secara fisik

2. Meningkatnya penipuan dan juga kejahatan cyber
3. Cyber Bullying
4. Konten negative yang berkembang pesat
5. Fitnah dan juga pencemaran nama baik secara luas
6. Menjauhkan yang dekat
7. Mengabaikan tugas dan juga pekerjaan
8. Mebuang-buang waktu untuk hal yang tidak berguna
9. Menurunnya prestasi belajar dan juga kemampuan bekerja seseorang
 J. RESIKO DALAM PENERAPAN SISTEM INFORMASI DI
PERUSAHAAN

Kegunaan sistem informasi dalam mendukung proses bisnis organisasi semakin nyata
dan meluas. Sistem informasi membuat proses bisnis suatu organisasi menjadi lebih
efisien dan efektif dalam mencapai tujuan. Sistem informasi bahkan menjadi key-
enabler (kunci pemungkin) proses bisnis organisasi dalam memberikan manfaat bagi
stakeholders. Maka dari itu, semakin banyak organisasi, baik yang berorientasi profit
maupun yang tidak, mengandalkan sistem informasi untuk berbagai tujuan. Di lain
pihak, seiring makin meluasnya implementasi sistem informasi maka kesadaran akan
perlunya dilakukan review atas pengembangan suatu sistem informasi semakin
meningkat. Kesadaran ini muncul karena munculnya berbagai kasus yang terkait
dengan gagalnya sistem informasi, sehingga memberikan akibat yang sangat
mempengaruhi kinerja organisasi.

Terdapat beberapa resiko yang mungkin ditimbulkan sebagai akibat dari

gagalnya pengembangan suatu sistem informasi, antara lain:

1. Sistem informasi yang dikembangkan tidak sesuai dengan kebutuhan

organisasi.
2. Melonjaknya biaya pengembangan sistem informasi karena adanya “scope
creep” (atau pengembangan berlebihan) yang tanpa terkendali.
3. Sistem informasi yang dikembangkan tidak dapat meningkatkan kinerja
organisas
Mengingat adanya beberapa resiko tersebut diatas yang dapat memberikan dampak
terhadap kelangsungan organisasi maka setiap organisasi harus melakukan review dan
evaluasi terdapat pengembangan sistem informasi yang dilakukan. Review dan
evaluasi ini dilakukan oleh internal organisasi ataupun pihak eksternal organisasi yang
berkompeten dan diminta oleh organisai. Kegiatan review dan evaluasi ini biasanya
dilakukan oleh Auditor Sistem Informasi. Selain wawasan, pengetahuan dan
ketrampilan diatas seorang spesialis audit sistem informasi juga dituntut memenuhi
syarat akreditasi pribadi terkait suatu sistem sertifikasi kualitas yang diakui secara
internasional. Salah satu sertifikasi profesional sebagai standar pencapaian prestasi
dalam bidang audit, kontrol, dan keamanan sistem informasi yang telah diterima secara
internasional adalah CISA® (Certified Information Systems Auditor) yang dikeluarkan
oleh ISACA (Information Systems Audit and Control Association). Audit sistem
informasi dilakukan untuk menjamin agar sistem informasi dapat melindungi aset milik
organisasi dan terutama membantu pencapaian tujuan organisasi secara efektif.

Contoh resiko penggunaan system informasi dalam perusahaan

Teknologi informasi memiliki peranan penting bagi setiap organisasi baik lembaga
pemerintah maupun perusahaan yang memanfaatkan teknologi informasi pada kegiatan
bisnisnya, serta merupakan salah satu faktor dalam mencapai tujuan organisasi. Peran
TI akan optimal jika pengelolaan TI maksimal. Pengelolaan TI yang maksimal akan
dilaksanakan dengan baik dengan menilai keselarasan antara penerapan TI dengan
kebutuhan organisasi sendiri.

Semua kegiatan yang dilakukan pasti memiliki risiko, begitu juga dengan pengelolaan
TI. Pengelolaan TI yang baik pasti mengidentifikasikan segala bentuk risiko dari
penerapan TI dan penanganan dari risiko-risiko yang akan dihadapi. Untuk itu
organisasi memerlukan adanya suatu penerapan berupa Tata Kelola TI (IT
Governance) (Herawan, 2012).
Pemanfaatan dan pengelolaan Teknologi Informasi (TI) sekarang ini sudah menjadi
perhatian di semua bidang dikarenakan nilai aset yang tinggi yang mempengaruhi
secara langsung kegiatan dan proses bisnis. Kinerja TI terhadap otomasi pada sebuah
organisasi perlu selalu diawasi dan dievaluasi secara berkala agar seluruh mekanisme
manajemen TI berjalan sesuai dengan perencanaan, tujuan, serta proses bisnis
organisasi. Selain itu, kegiatan pengawasan dan evaluasi tersebut juga diperlukan
dalam upaya pengembangan yang berkelanjutan agar TI bisa berkontribusi dengan
maksimal di lingkungan kerja organisasi.
 K. Tujuan Keamanan Sistem Informasi
Adapun tujuan keamanan Informasi menurut Garfinkel, antara lain:
1) Kerahasiaan/privacy
Inti utama aspek privacy atau confidentiality adalah usaha untuk menjaga informasi dari
orang yang tidak berhak mengakses. Privacy lebih kearah datadata yang sifatnya privat
sedangkan confidentiality biasanya berhubungan dengan data yang diberikan ke pihak
lain untuk keperluan tertentu (misalnya
sebagai bagian dari pendaftaran sebuah servis) dan hanya diperbolehkan untuk
keperluan tertentu tersebut.

2) Ketersediaan/ availability
Agar data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas
untuk menggunakannya.

3) Integritas/ integrity.
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik
informasi. Adanya virus, trojan horse, atau pemakai lain yang mengubah informasi
tanpa ijin merupakan contoh masalah yang harus dihadapi. Sebuah e-maildapat saja
“ditangkap” di tengah jalan, diubah isinya kemudian diteruskan ke alamat yang dituju.
Dengan kata lain, integritas dari informasi sudah tidak terjaga.
Penggunaan enkripsi dan digital signature, misalnya, dapat mengatasi masalah ini.

4) Autentikasi/ Authentication .
Berhubungan dengan metoda untuk menyatakan bahwa informasi betul-betul asli,
orang yang mengakses atau memberikan informasi adalah betul-betul orang yang
dimaksud, atau server yang dihubungi adalah betul-betul serveryang
asli. Authentication biasanya diarahkan kepada orang (pengguna), namun tidak pernah
ditujukan kepada serveratau mesin.
5) Access Control
Berhubungan dengan cara pengaturan akses kepada informasi. Hal ini biasanya
berhubungan dengan klasifikasi data (public, private, confidential, top secret) dan user
(guest, admin, top manager) mekanisme authentication dan jugaprivacy.

6) Non-repudiation
Menjaga agar seseorang tidak dapat menyangkal telah melakukan sebuah transaksi.
Jumlah kejahatan komputer (computer crime), terutama yang berhubungan dengan
sistem informasi akan terus meningkat dikarenakan beberapa hal:
a. Aplikasi bisnis berbasis teknologi informasi dan jaringan komputer semakin
meningkat.
b. Desentralisasi server sehingga lebih banyak sistem yang harus ditangani dan
membutuhkan lebih banyak operator dan administrator yang handal.
c. Semakin kompleksnya sistem yang digunakan, seperti semakin besarnya
program (source code) yang digunakan sehingga semakin besar probabilitas terjadinya
lubang keamanan.
d. Semakin banyak perusahaan yang menghubungkan sistem informasinya dengan
jaringan komputer yang global seperti internet..
e. Transisi dari single vendor ke multi-vendor sehingga lebih banyak yang harus
dimengerti dan masalah interoperabilityantar vendor yang lebih sulit ditangani.
f. Meningkatnya kemampuan pemakai di bidang komputer sehingga mulai banyak
pemakai yang mencoba-coba bermain atau membongkar sistem yang digunakannya.
g. Kesulitan dari penegak hukum untuk mengejar kemajuan dunia komputer dan
telekomunikasi yang sangat cepat. Begitu pentingnya nilai sebuah informasi
menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang
tertentu, karena jatuhnya informasi ke tangan pihak lain dapat menimbulkan kerugian
bagi pemilik informasi itu sendiri.

L. Kelemahan atau Ancaman

Cacat atau kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain,
menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem kontrol
yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang mencoba
menyusup terhadap sistem tersebut. Kelemahan tersebut dimanfaatkan oleh orang-
orang yang tidak bertanggung jawab seperti gangguan /serangan:

a. Untuk mendapatkan akses (access attacks)

Berusaha mendapatkan akses ke berbagai sumber daya komputer atau data/informasi

b. Untuk melakukan modifikasi (modification attacks)

Didahului oleh usaha untuk mendapatkan akses, kemudian mengubah data/informasi
secara tidak sah

c. Untuk menghambat penyediaan layanan (denial of service attacks)

Berusaha mencegah pemakai yang sah untuk mengakses sebuah sumber daya atau
informasi Menghambat penyediaan layanan dengan cara mengganggu jaringan
computer

M. Cara dalam Melakukan Serangan

Beberapa cara dalam melakukan serangan, antara lain:

1 Sniffing
Memanfaatkan metode broadcasting dalam LAN, membengkokkan
aturan Ethernet, membuat network interface bekerja dalam mode promiscuousn. Cara
pencegahan dengan pendeteksian sniffer (local & remote) dan penggunaan kriptografi

2. Spoofing
Memperoleh akses dengan acara berpura-pura menjadi seseorang atau sesuatu yang
memiliki hak akses yang valid, Spoofer mencoba mencari data dari user yang sah agar
bisa masuk ke dalam sistem. Pada saat ini, penyerang sudah mendapatkan username
& password yang sah untuk bisa masuk ke serve.
3. Man-in-the-middle
Membuat client dan server sama-sama mengira bahwa mereka berkomunikasi dengan
pihak yang semestinya (clientmengira sedang berhubungan dengan server, demikian
pula sebaliknya)

4. Menebak password
- Dilakukan secara sistematis dengan teknik brute-force atau dictionary ( mencoba
semua kemungkinan password )
- Teknik dictionary: mencoba dengan koleksi kata-kata yang umum dipakai, atau yang
memiliki relasi dengan user yang ditebak (tanggal lahir, nama anak, dan sebagainya)

N. 3 hal Utama yang menyebabkan Acaman Sistem Informasi

1) Ancaman Alam
- Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi,badai,
pencairan salju
- Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
- Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut

2) Ancaman Manusia

3) Ancaman Lingkungan
Menurut sifatnya ancaman terhadap sistem informasi terdiri dari ancaman aktif.
Ancaman aktif dapat berupa penyelewengan aktivitas, penyalahgunaan kartu kredit,
kecurangan dan kejahatan komputer, pengaksesan oleh orang yang tidak
berhak, sabotase maupun perogram yang jahil, contoh virus,torjan,cacing,bom waktu
dan lain-lain. Sedangkan ancaman pasif berupa kesalahan manusia, kegagalan sistem
maupun bencana alam dan politik. Besar kecilnya suatu ancaman dari sumber
ancaman yang teridentifikasi atau belum teridentifikasi dengan jelas tersebut, perlu di
klasifikasikan secara matriks ancaman sehingga kemungkinan yang timbul dari
ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman tersebut
memiliki probabilitas serangan yang beragam baik
dapat terprediksi maupun tidak dapat terprediksikan seperti terjadinya gempa bumi
yang mengakibatkan sistem informasi mengalami mall function.

O. Aspek ancaman keamanan komputer atau keamanan sistem

informasi
1. Interruption -> informasi dan data yang ada dalam sistem komputer dirusak dan
dihapus sehingga jika dibutuhkan, data atau informasi tersebut tidak ada lagi.
2. Interception -> informasi yang ada disadap atau orang yang tidak berhak
mendapatkan akses ke komputer dimana informasi tersebut disimpan.
3. Modifikasi -> orang yang tidak berhak berhasil menyadap lalu lintas informasi yang
sedang dikirim dan diubah sesuai keinginan orang tersebut.
4. Fabrication -> orang yang tidak berhak berhasil meniru suatu informasi yang ada
sehingga orang yang menerima informasi tersebut menyangka informasi tersebut
berasal dari orang yang dikehendaki oleh si penerima informasi tersebut.

P. Macam-macam resiko Penggunaan

a. Pengungkapan dan pencurian
Ketika database dan perpustakaan perangkat lunak dapat diakses oleh orang yang
tidak berhak.

b. Penggunaan secara tidak sah

Terjadi ketika sumber daya perusahaan dapat digunakan oleh orang yang tidak berhak
menggunakannya, biasa disebut hacker.

c. Pengrusakan secara tidak sah dan penolakan pelayanan

Penjahat komputer dapat masuk ke dalam jaringan komputer dari komputer yang
berada jauh dari lokasi dan menyebabkan kerusakan fisik, seperti kerusakan pada layar
monitor, kerusakan pada disket, kemacetan pada printer, dan tidak
berfungsinya keyboard.
d. Modifikasi secara tidak sah
Perubahan dapat dibuat pada data-data perusahaan, informasi, dan perangkat lunak.
Beberapa perubahan tidak dapat dikenali sehingga menyebabkan pengguna yang ada
di output system menerima informasi yang salah dan membuat keputusan yang salah.
Tipe modifikasi yang paling dikhawatirkan adalah modifikasi disebabkan oleh perangkat
lunak yang menyebabkan kerusakan, biasanya dikelompokkan sebagai virus.

Dengan mengetahui ancaman dan kelemahan pada sistem informasi terdapat

beberapa kriteria yang perlu diperhatikan dalam masalah keamanan sistem
informasi yang dikenal dengan 10 domain, yaitu :
1) Akses kontrol sistem yang digunakan
2) Telekomunikasi dan jaringan yang dipakai
3) Manajemen praktis yang di pakai
4) Pengembangan sistem aplikasi yang digunakan
5) Cryptographs yang diterapkan
6) Arsitektur dari sistem informasi yang diterapkan
7) Pengoperasian yang ada
8) Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9) Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10) Tata letak fisik dari sistem yang ada
 Daftar Pustaka

Putra, Y. M. (2018). Keamanan Informasi. Modul Kuliah Sistem Informasi Manajemen. Jakarta: FEB-
Universitas Mercu Buana

https://jigokushoujoblog.wordpress.com/2010/11/20/pentingnya-manajemen-kontrol-keamanan-pada-
sistem/

https://blogs.itb.ac.id/23215139gilangramadhanel5216mrkisem1t15d16mr/2015/11/30/manajemen-risiko-
dalam-perspektif-positif-dan-negatif/

https://dosenit.com/kuliah-it/teknologi-informasi/dampak-positif-dan-negatif-penggunaan-teknologi-
informasi-dan-komunikasi

https://sis.binus.ac.id/2015/07/01/resiko-dalam-penerapan-sistem-informasi-di-perusahaan/