PERTEMUAN KE- 8
PERLINDUNGAN SISTEM INFORMASI
Abstract Kompetensi
1. Kerentanan dan penyalahgunaan Mahasiswa memahami
sistem 2. Nilai bisnis keamanan dan ,menjelaskan tentang perlindungan
pengendalian 3. Membangun sistem informasi. Menjelaskan : 1.
kerangka kerja untuk pengamanan Kerentanan dan penyalahgunaan
sistem 2. Nilai bisnis keamanan dan
dan pengendalian 4. Teknologi dan pengendalian 3. Membangun
sarana untuk melindungi sumber- kerangka kerja untuk pengamanan
sumber informasi dan pengendalian 4. Teknologi dan
sarana untuk melindungi sumber-
sumber informasi
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
1 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~1~
KEAMANAN SISTEM INFORMASI
Definisi ini mencakup mesin fotokopi, mesin fax, dan semua jenis media, termasuk
dokumen kertas
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama:
Corporate information systems security officer (CISSO) telah digunakan untuk orang
dalam organisasi yang bertanggung jawab untuk sistem keamanan informasi perusahaan.
Sekarang ada langkah untuk menunjuk corporate information assurance officer (CIAO)
yang melapor kepada CEO dan mengelola unit jaminan informasi
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
2 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~2~
Gambar 9.1 ISM mengilustrasikan pendekatan manajemen risiko
ANCAMAN (threats)
Gambar 9.2 menunjukkan tujuan keamanan informasi dan bagaimana mereka mengalami
empat jenis risiko:
1. Ancaman Internal
2. Ancamann Eksternal
3. Ancaman Kecelakaan
4. Ancaman disengaja
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
3 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~3~
Ketika database dan perpustakaan perangkat lunak dapat diakses oleh orang yang
tidak berhak, maka dapat mengakibatkan hilangnya informasi dan uang. Contoh, mata-
mata industri dapat memperoleh informasi kompetitif yang berharga dan penjahat
komputer dapat menggelapkan dana perusanahaan.
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
4 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~4~
2. Pengrusakan Secara Tidak Sah dan Penolakan Pelayanan
Individu dapat merusak atau menghancurkan perangkat keras atau perangkat
lunak, yang menyebabkan berhentinya operasi komputer perusahaan.Hal tersebut
dapat dilakukan oleh penjahat komputer tanpa mereka harus berada di lokasi
perusahaan.Mereka dapat masuk dalam jaringan komputer dari terminal komputer
yang berada jauh dari lokasi pusat dan menyebabkan kerusakan fisik, seperti
kerusakan pada layar monitor, kerusakan pada disket, kemacetan pada printer, dan
tidak berfungsinya keyboard.
RISIKO (Risks)
Tindakan yang tidak sah bahwa risiko ini dapat dikategorikan menjadi empat jenis:
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
5 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~5~
ANCAMAN VIRUS
Virus adalah program komputer yang dapat mereplikasi sendiri tanpa sepengetahuan
pengguna.
Sebuah worm tidak dapat mereplikasi dirinya sendiri dalam sebuah sistem, tetapi dapat
mengirimkan salinan dirinya melalui e-mail.
Sebuah Trojan horse tidak dapat mereplikasi atau mendistribusikan sendiri. Distribusi ini
dilakukan oleh pengguna yang mendistribusikannya sebagai utilitas yang bila digunakan
menghasilkan perubahan yang tidak diinginkan dalam fungsi sistem
PERTIMBANGAN E-COMMERCE
American Express telah mengumumkan "sekali pakai" nomor kartu kredit. Angka-angka
ini, bukan nomor kartu kredit pelanggan, disediakan untuk pengecer e-commerce, yang
menyerahkan ke American Express untuk pembayaran
Visa telah mengumumkan sepuluh yang berhubungan dengan keamanan praktek yang
mereka harapkan pengecer mereka untuk mengikuti ditambah tiga praktik umum bahwa
pengecer harus mengikuti :
Pengecer harus :
1. Menginstal dan memelihara firewall
2. Jauhkan patch keamanan up to date
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
6 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~6~
3. Mengenkripsi data yang tersimpan dan data yang dikirimkan
4. Gunakan dan memperbarui perangkat lunak antivirus
5. Membatasi akses data bagi mereka dengan kebutuhan untuk mengetahui
6. Menetapkan ID yang unik untuk orang-orang dengan hak akses data
7. Akses data track dengan ID unik
8. Tidak menggunakan default password yang dari vendor
9. Secara teratur menguji sistem keamanan
Visa mengidentifikasi tiga praktik umum yang harus diikuti oleh pengecer untuk
mendapatkan keamanan informasi dalam semua aktivitas, 3 hal tersebut adalah :
MANAJEMEN RISIKO
Pendekatan sistematis dapat diambil untuk sub langkah 3 dan 4 dengan menentukan
dampak dan menganalisis kerentanan
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
7 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~7~
Tabel 9.1 menggambarkan pilihan.
Temuan analisis risiko harus didokumentasikan dalam sebuah laporan yang berisi
informasi rinci seperti berikut untuk setiap resiko:
- Penjelasan risiko
- Sumber risiko
- Keparahan dari risiko
- Kontrol yang sedang diterapkan untuk risiko
- Pemilik (s) dari risiko
- Tindakan yang direkomendasikan untuk mengatasi risiko
- Kerangka waktu yang direkomendasikan untuk mengatasi risiko
- Apa yang dilakukan untuk mengurangi risiko
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
8 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~8~
KEBIJAKAN KEAMANAN INFORMASI
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
9 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~9~
Kebijakan terpisah dikembangkan untuk:
Kebijakan ini didistribusikan kepada karyawan, sebaiknya secara tertulis dan dalam
program pendidikan dan pelatihan. Dengan kebijakan yang ditetapkan, kontrol dapat
diimplementasikan
KONTROL
Kontrol adalah mekanisme yang diterapkan untuk melindungi perusahaan dari risiko atau
meminimalkan dampak dari risiko pada perusahaan harus mereka terjadi:
1. Kontrol teknis yang dibangun ke dalam sistem oleh pengembang sistem selama
siklus hidup pengembangan system
2. Kontrol akses merupakan dasar untuk keamanan terhadap ancaman oleh orang
yang tidak berhak
3. Sistem deteksi intrusi mencoba untuk mengenali upaya pelanggaran keamanan
sebelum memiliki kesempatan untuk menimbulkan kerusakan
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
10 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~10~
Gambar 9.4 Access Control Function
Access Control
1. User identification. Pengguna pertama mengidentifikasi diri mereka dengan
memberikan sesuatu yang mereka tahu, seperti password
2. User authentication. Setelah identifikasi awal telah dicapai, pengguna memverifikasi
hak mereka untuk mengakses dengan memberikan sesuatu yang mereka miliki,
seperti kartu pintar atau token, atau chip identifikasi
3. User authorization . Dengan identifikasi dan otentikasi cek berlalu, seseorang
kemudian dapat disahkan tingkat atau derajat penggunaan tertentu. Misalnya, salah
satu pengguna mungkin berwenang hanya untuk membaca dari sebuah file,
sedangkan yang lain mungkin diberi wewenang untuk melakukan perubahan
Firewalls
Firewall bertindak sebagai filter dan penghalang yang membatasi mengalir di antara
jaringan perusahaan dan internet data
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
11 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~11~
Ada tiga jenis firewall:
1. Packet-Filter - router dilengkapi dengan tabel data alamat IP yang mencerminkan
kebijakan penyaringan diposisikan antara internet dan jaringan internal, dapat
berfungsi sebagai firewall
2. Circuit-Level Firewall - terpasang antara internet dan jaringan perusahaan tapi
lebih dekat ke media komunikasi
3. Aplikasi-Level Firewall - terletak antara router dan komputer yang menjalankan
aplikasi tersebut
Kontrol Formal
Informal Kontrol
Kontrol ini dimaksudkan untuk memastikan bahwa karyawan perusahaan baik memahami
dan mendukung program keamanan
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
12 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~12~
Bantuan Pemerintah dan Industri
Ketetapan Pemerintah
Pemerintah di Amerika Serikat dan Inggris telah menetapkan standar dan mengeluarkan
undang-undang yang bertujuan mengatasi semakin pentingnya keamanan informasi:
Standar Keamanan Komputer Pemerintah AS
Inggris Anti-terorisme, Kejahatan dan Security Act (ATCSA) 2001
AS Pemerintah Internet Crime Legislasi
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
13 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~13~
Standar Industri
Pusat Internet Security (CIS) adalah sebuah organisasi non profit yang
didedikasikan untuk membantu pengguna komputer untuk membuat sistem
mereka lebih aman
CIS Benchmarks telah dibentuk dan terintegrasi dalam paket perangkat lunak
yang menghitung "keamanan" skor pada skala 10-point
Sertifikasi Profesional
Dimulai pada tahun 1960-an profesi TI mulai menawarkan program sertifikasi:
Sistem Informasi Audit dan Control Association (ISACA)
Sistem Informasi Keamanan Internasional Sertifikasi Consortium (ISC)
SANS (sysadmin, Audit, Network, Security) Institute
Elemen kunci dalam BCM adalah rencana kontingensi, secara resmi merinci tindakan
yang akan diambil dalam hal ada gangguan, atau ancaman gangguan, dalam setiap
bagian dari operasi komputasi perusahaan.
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
14 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~14~
Sebaliknya menggunakan, rencana kontingensi tunggal yang besar, pendekatan yang
terbaik perusahaan adalah untuk mengembangkan beberapa sub-rencana yang
membahas kontinjensi tertentu. Seperti :
1. Rencana darurat
2. Sebuah rencana cadangan
3. Sebuah catatan rencana penting
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
15 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~15~
DAFTAR PUSTAKA
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
16 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~16~