KEAMANAN_SISTEM

MODUL PERKULIAHAN
SISTEM INFORMASI MANAJEMEN
PERTEMUAN KE- 8
PERLINDUNGAN SISTEM INFORMASI
Fakultas Program Studi Tatap Muka Kode MK Disusun oleh

Ekonomi Manajemen
08 84031 Siti Choiriah, SE, MM
Abstract Kompetensi
1. Kerentanan dan penyalahgunaan Mahasiswa memahami
sistem 2. Nilai bisnis keamanan dan ,menjelaskan tentang perlindungan
pengendalian 3. Membangun sistem informasi. Menjelaskan : 1.
kerangka kerja untuk pengamanan Kerentanan dan penyalahgunaan
sistem 2. Nilai bisnis keamanan dan
dan pengendalian 4. Teknologi dan pengendalian 3. Membangun
sarana untuk melindungi sumber- kerangka kerja untuk pengamanan
sumber informasi dan pengendalian 4. Teknologi dan
sarana untuk melindungi sumber-
sumber informasi
2021 Sistem Informasi Manajemen / Modul 8/ Pusat Bahan Ajar dan e-Learning
1 Siti Choiriah, SE, MM http://www.mercubuana.ac.id
~1~
KEAMANAN SISTEM INFORMASI
Keamanan informasi menggambarkan upaya untuk melindungi komputer dan non

peralatan komputer, fasilitas, data, dan informasi dari penyalahgunaan oleh pihak yang
tidak berhak
Definisi ini mencakup mesin fotokopi, mesin fax, dan semua jenis media, termasuk
dokumen kertas
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama:
1. Kerahasiaan: melindungi data dan informasi perusahaan dari pengungkapan

kepada orang-orang yang tidak sah
2. Ketersediaan: memastikan bahwa data dan informasi perusahaan hanya tersedia
bagi mereka yang berwenang untuk menggunakannya
3. Integritas: sistem informasi harus memberikan representasi akurat dari sistem fisik
yang mereka wakili.
Corporate information systems security officer (CISSO) telah digunakan untuk orang
dalam organisasi yang bertanggung jawab untuk sistem keamanan informasi perusahaan.
Sekarang ada langkah untuk menunjuk corporate information assurance officer (CIAO)
yang melapor kepada CEO dan mengelola unit jaminan informasi
ISM ( Information Security Management )terdiri dari empat langkah:
1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi

perusahaan
2. mengidentifikasi risiko yang mungkin ditimbulkan oleh ancaman tersebut
3. Menetapkan kebijakan keamanan informasi
4. melaksanakan pengawasan terhadap hal-hal berhubungan dengan risiko
keamanan
~2~
Gambar 9.1 ISM mengilustrasikan pendekatan manajemen risiko
ANCAMAN (threats)
Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme,

atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-
sumber informasi perusahaan.Ancaman dapat juga secara sengaja atau tidak sengaja.
Gambar 9.2 menunjukkan tujuan keamanan informasi dan bagaimana mereka mengalami
empat jenis risiko:
1. Ancaman Internal
2. Ancamann Eksternal
3. Ancaman Kecelakaan
4. Ancaman disengaja
~3~
Ketika database dan perpustakaan perangkat lunak dapat diakses oleh orang yang
tidak berhak, maka dapat mengakibatkan hilangnya informasi dan uang. Contoh, mata-
mata industri dapat memperoleh informasi kompetitif yang berharga dan penjahat
komputer dapat menggelapkan dana perusanahaan.
1. Penggunaan Secara Tidak Sah

Penggunaan secara tidak sah terjadi ketika sumber daya perusahaan dapat
digunakan oleh orang yang tidak menggunakannya.Ciri-ciri penjahat komputer yang
memiliki kemampuan mengakses informasi secara tidak sah termasuk diantaranya
hacher.Hacher biasanya menganggap informasi keamanan suatu instansi
perusahaan sebagai suatu tantangan.Contoh, seorang hacker dapat menerobos
jaringan komputer suatu perusahaan, memperoleh akses terhadap sistem telepon
kemudian menggunakannya untuk melakukan hubungan telepon interlokal secara
tidak sah.
~4~
2. Pengrusakan Secara Tidak Sah dan Penolakan Pelayanan
Individu dapat merusak atau menghancurkan perangkat keras atau perangkat
lunak, yang menyebabkan berhentinya operasi komputer perusahaan.Hal tersebut
dapat dilakukan oleh penjahat komputer tanpa mereka harus berada di lokasi
perusahaan.Mereka dapat masuk dalam jaringan komputer dari terminal komputer
yang berada jauh dari lokasi pusat dan menyebabkan kerusakan fisik, seperti
kerusakan pada layar monitor, kerusakan pada disket, kemacetan pada printer, dan
tidak berfungsinya keyboard.
3. Modifikasi Secara Tidak Sah

Beberapa perubahan tidak dapat dikenali sehingga menyebabkan pengguna yang
ada di output sistem menerima informasi yang salah.
RISIKO (Risks)
Tindakan yang tidak sah bahwa risiko ini dapat dikategorikan menjadi empat jenis:
1. Pengungkapan tidak sah

2. Pencurian
3. Penolakan pelayanan
4. Modifikasi secara tidak sah dan Denial of Service
~5~
ANCAMAN VIRUS
ANCAMAN-yang paling terkenal "VIRUS"
Virus adalah program komputer yang dapat mereplikasi sendiri tanpa sepengetahuan
pengguna.
Sebuah worm tidak dapat mereplikasi dirinya sendiri dalam sebuah sistem, tetapi dapat
mengirimkan salinan dirinya melalui e-mail.
Sebuah Trojan horse tidak dapat mereplikasi atau mendistribusikan sendiri. Distribusi ini
dilakukan oleh pengguna yang mendistribusikannya sebagai utilitas yang bila digunakan
menghasilkan perubahan yang tidak diinginkan dalam fungsi sistem
PERTIMBANGAN E-COMMERCE
E-commerce telah memperkenalkan resiko keamanan baru penipuan kartu kredit.

Kedua Perusahaan American Express dan Visa telah menerapkan program khusus yang
ditujukan e-commerce :
American Express telah mengumumkan "sekali pakai" nomor kartu kredit. Angka-angka
ini, bukan nomor kartu kredit pelanggan, disediakan untuk pengecer e-commerce, yang
menyerahkan ke American Express untuk pembayaran
Visa telah mengumumkan sepuluh yang berhubungan dengan keamanan praktek yang
mereka harapkan pengecer mereka untuk mengikuti ditambah tiga praktik umum bahwa
pengecer harus mengikuti :
Kewaspadaan Pengaman Visa
Pengecer harus :
1. Menginstal dan memelihara firewall
2. Jauhkan patch keamanan up to date
~6~
3. Mengenkripsi data yang tersimpan dan data yang dikirimkan
4. Gunakan dan memperbarui perangkat lunak antivirus
5. Membatasi akses data bagi mereka dengan kebutuhan untuk mengetahui
6. Menetapkan ID yang unik untuk orang-orang dengan hak akses data
7. Akses data track dengan ID unik
8. Tidak menggunakan default password yang dari vendor
9. Secara teratur menguji sistem keamanan
Visa mengidentifikasi tiga praktik umum yang harus diikuti oleh pengecer untuk
mendapatkan keamanan informasi dalam semua aktivitas, 3 hal tersebut adalah :
1. Menyaring karyawan yang memiliki akses ke data

2. Tidak meninggalkan data (disket, kertas, dan sebagainya) atau komputer yang
tidak aman
3. Menghancurkan data ketika tidak lagi diperlukan
MANAJEMEN RISIKO
Empat sub langkah untuk mendefinisikan risiko informasi adalah:
1. Mengidentifikasi aset bisnis yang harus dilindungi dari risiko

2. Kenali risiko
3. Menentukan tingkat dampak pada perusahaan jika risiko terwujud
4. Menganalisis kerentanan perusahaan
Pendekatan sistematis dapat diambil untuk sub langkah 3 dan 4 dengan menentukan
dampak dan menganalisis kerentanan
~7~
Tabel 9.1 menggambarkan pilihan.
Laporan Analisis Risiko
Temuan analisis risiko harus didokumentasikan dalam sebuah laporan yang berisi
informasi rinci seperti berikut untuk setiap resiko:
- Penjelasan risiko
- Sumber risiko
- Keparahan dari risiko
- Kontrol yang sedang diterapkan untuk risiko
- Pemilik (s) dari risiko
- Tindakan yang direkomendasikan untuk mengatasi risiko
- Kerangka waktu yang direkomendasikan untuk mengatasi risiko
- Apa yang dilakukan untuk mengurangi risiko
~8~
KEBIJAKAN KEAMANAN INFORMASI
Sebuah kebijakan keamanan dapat diimplementasikan dengan menggunakan berikut lima

pendekatan fase (Gambar 9.3.):
1. Tahap 1: Proyek Inisiasi

2. Tahap 2: Pengembangan Kebijakan
3. Tahap 3: Konsultasi dan Persetujuan
4. Tahap 4: Kesadaran dan Pendidikan
5. Tahap 5: Diseminasi Kebijakan
Gambar 9.3 Development of Security Policy
~9~
Kebijakan terpisah dikembangkan untuk:
 Sistem informasi keamanan

 Sistem kontrol akses
 Personil keamanan
 Keamanan fisik dan lingkungan
 Keamanan telekomunikasi
 Klasifikasi informasi
 Perencanaan kelangsungan bisnis
 Akuntabilitas manajemen
Kebijakan ini didistribusikan kepada karyawan, sebaiknya secara tertulis dan dalam
program pendidikan dan pelatihan. Dengan kebijakan yang ditetapkan, kontrol dapat
diimplementasikan
KONTROL
Kontrol adalah mekanisme yang diterapkan untuk melindungi perusahaan dari risiko atau
meminimalkan dampak dari risiko pada perusahaan harus mereka terjadi:
1. Kontrol teknis yang dibangun ke dalam sistem oleh pengembang sistem selama
siklus hidup pengembangan system
2. Kontrol akses merupakan dasar untuk keamanan terhadap ancaman oleh orang
yang tidak berhak
3. Sistem deteksi intrusi mencoba untuk mengenali upaya pelanggaran keamanan
sebelum memiliki kesempatan untuk menimbulkan kerusakan
~10~
Gambar 9.4 Access Control Function
Access Control
1. User identification. Pengguna pertama mengidentifikasi diri mereka dengan
memberikan sesuatu yang mereka tahu, seperti password
2. User authentication. Setelah identifikasi awal telah dicapai, pengguna memverifikasi
hak mereka untuk mengakses dengan memberikan sesuatu yang mereka miliki,
seperti kartu pintar atau token, atau chip identifikasi
3. User authorization . Dengan identifikasi dan otentikasi cek berlalu, seseorang
kemudian dapat disahkan tingkat atau derajat penggunaan tertentu. Misalnya, salah
satu pengguna mungkin berwenang hanya untuk membaca dari sebuah file,
sedangkan yang lain mungkin diberi wewenang untuk melakukan perubahan
Firewalls
Firewall bertindak sebagai filter dan penghalang yang membatasi mengalir di antara
jaringan perusahaan dan internet data
~11~
Ada tiga jenis firewall:
1. Packet-Filter - router dilengkapi dengan tabel data alamat IP yang mencerminkan
kebijakan penyaringan diposisikan antara internet dan jaringan internal, dapat
berfungsi sebagai firewall
2. Circuit-Level Firewall - terpasang antara internet dan jaringan perusahaan tapi
lebih dekat ke media komunikasi
3. Aplikasi-Level Firewall - terletak antara router dan komputer yang menjalankan
aplikasi tersebut
KONTROL FORMAL DAN INFORMAL
Kontrol Formal
Kontrol formal meliputi pembentukan :

1. Kode etik
2. Dokumentasi prosedur dan praktik yang diharapkan
3. Pemantauan dan mencegah perilaku yang berbeda dari panduan yang ditetapkan
Kontrol yang formal dalam manajemen :

1. Mencurahkan waktu untuk menyusunnya
2. Mereka didokumentasikan secara tertulis
3. Mereka diharapkan akan berlaku untuk jangka panjang
Informal Kontrol
Kontrol informal mencakup kegiatan seperti:
- Menanamkan keyakinan etis perusahaan dalam karyawannya

- Memastikan pemahaman tentang misi dan tujuan perusahaan
- Program pendidikan dan pelatihan dan
- Program pengembangan manajemen
Kontrol ini dimaksudkan untuk memastikan bahwa karyawan perusahaan baik memahami
dan mendukung program keamanan
~12~
Bantuan Pemerintah dan Industri
 Beberapa pemerintah dan organisasi internasional telah menetapkan standar

(slide berikutnya) dimaksudkan untuk menjadi pedoman bagi organisasi yang ingin
mencapai keamanan informasi
 Beberapa berupa benchmark, kadang-kadang disebut sebagai baseline
 Standar BS7799 Inggris Britania Raya menetapkan satu set kontrol dasar.
Australia dan Selandia Baru telah menerapkan kontrol berdasarkan BS 7799
 BSI IT Baseline Protection Manual Pendekatan dasar juga diikuti oleh Jerman
Bundesamt bulu Sicherheit in der Informationstechnik (BSI). Baseline
dimaksudkan untuk memberikan keamanan yang wajar ketika persyaratan
perlindungan normal dimaksudkan. Baseline juga dapat berfungsi sebagai dasar
untuk tingkat perlindungan yang lebih tinggi ketika mereka yang diinginkan
 COBIT COBIT, dari Sistem Informasi Audit dan Kontrol Asosiasi & Foundation
(ISACA), berfokus pada proses yang perusahaan dapat mengikuti
mengembangkan standar, memberikan perhatian khusus pada penulisan dan
memelihara dokumen
 GASSP Umumnya Diterima Prinsip Keamanan Sistem (GASSP) adalah produk
dari US National Research Council. Penekanan pada pemikiran untuk
membangun kebijakan keamanan
 GMITS Pedoman Pengelolaan IT Security (GMITS) adalah produk dari Organisasi
Standar Internasional (ISO) Joint Technical Committee dan menyediakan daftar
topik kebijakan keamanan informasi yang harus disertakan dalam standar
organisasi
 ISF Standar Praktek yang Baik Informasi Keamanan Forum Standar Praktek yang
baik mengambil pendekatan awal, mencurahkan perhatian pada perilaku
pengguna yang diharapkan jika program ini adalah untuk menjadi sukses
Ketetapan Pemerintah
Pemerintah di Amerika Serikat dan Inggris telah menetapkan standar dan mengeluarkan
undang-undang yang bertujuan mengatasi semakin pentingnya keamanan informasi:
 Standar Keamanan Komputer Pemerintah AS
 Inggris Anti-terorisme, Kejahatan dan Security Act (ATCSA) 2001
 AS Pemerintah Internet Crime Legislasi
~13~
Standar Industri
 Pusat Internet Security (CIS) adalah sebuah organisasi non profit yang
didedikasikan untuk membantu pengguna komputer untuk membuat sistem
mereka lebih aman
 CIS Benchmarks telah dibentuk dan terintegrasi dalam paket perangkat lunak
yang menghitung "keamanan" skor pada skala 10-point
Sertifikasi Profesional
Dimulai pada tahun 1960-an profesi TI mulai menawarkan program sertifikasi:
 Sistem Informasi Audit dan Control Association (ISACA)
 Sistem Informasi Keamanan Internasional Sertifikasi Consortium (ISC)
 SANS (sysadmin, Audit, Network, Security) Institute
MENEMPATKAN MANAJEMEN KEAMANAN INFORMASI DALAM

PERSPEKTIF
Perusahaan harus menempatkan kebijakan manajemen keamanan informasi sebelum

meletakkan kontrol di tempat
Kebijakan tersebut dapat didasarkan pada identifikasi ancaman dan risiko atau pedoman
yang diberikan oleh pemerintah dan asosiasi industry
Perusahaan menerapkan kombinasi kontrol teknis, formal, dan informal diharapkan untuk
menawarkan tingkat yang diinginkan keamanan dalam parameter biaya dan sesuai
dengan pertimbangan lain yang memungkinkan perusahaan dan sistem untuk berfungsi
secara efektif
Business Continuity Management (BCM)
Elemen kunci dalam BCM adalah rencana kontingensi, secara resmi merinci tindakan
yang akan diambil dalam hal ada gangguan, atau ancaman gangguan, dalam setiap
bagian dari operasi komputasi perusahaan.
~14~
Sebaliknya menggunakan, rencana kontingensi tunggal yang besar, pendekatan yang
terbaik perusahaan adalah untuk mengembangkan beberapa sub-rencana yang
membahas kontinjensi tertentu. Seperti :
1. Rencana darurat
2. Sebuah rencana cadangan
3. Sebuah catatan rencana penting
Menempatkan manajemen Keberlangsungan Bisnis Dalam Persfektifnya
Menempatkan Manajemen Kontinuitas Usaha Dalam Perspektif

Banyak upaya telah dilakukan untuk perencanaan kontingensi dan banyak informasi dan
bantuan tersedia.
Beberapa perusahaan menggunakan rencana dikemas mereka dapat beradaptasi dengan
kebutuhan mereka.
Sistem Komputer memadatkan memasarkan Sistem Disaster Recovery (DRS) yang
mencakup sistem manajemen database, petunjuk dan alat-alat yang dapat digunakan
dalam menyusun rencana pemulihan.
Ada juga pedoman dan menguraikan bahwa perusahaan dapat menggunakan sebagai
titik awal atau tolok ukur untuk mencapai
~15~
DAFTAR PUSTAKA
1. Kenneth C.Laudon, Jane P Laudon, Sistim informasi Manajemen, mengelola

perusahaan global, Jakarta Salemba Empat, Edisi 12, 2008.
2. Mc Leod, Jr.,Raymond & Geoge P. Schell. Management Information System.

(terjemahan). Jakarta : PT INDEKS, 2007. Edisi 10, 2008
3. HM Yogianto, Analisis dan desain Sisitim Informasi : Pendekatan terstruktur, Teori

dan praktek Aplikasi Bisnis, Yogyakarta , Penerbit ANDI ,2002
4. O’Brien, James A. Intoduction To Information Systems. (terjemahan). Jakarta

Salemba Empat, 2006.Edisi keduabelas.
~16~

KEAMANAN_SISTEM

Diunggah oleh

Informasi Dokumen

Deskripsi Asli:

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

KEAMANAN_SISTEM

Diunggah oleh

Hak Cipta:

Format Tersedia

MODUL PERKULIAHAN

SISTEM INFORMASI MANAJEMEN

Fakultas Program Studi Tatap Muka Kode MK Disusun oleh

Keamanan informasi menggambarkan upaya untuk melindungi komputer dan non

1. Kerahasiaan: melindungi data dan informasi perusahaan dari pengungkapan

ISM ( Information Security Management )terdiri dari empat langkah:

1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi

Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme,

1. Penggunaan Secara Tidak Sah

3. Modifikasi Secara Tidak Sah

1. Pengungkapan tidak sah

ANCAMAN-yang paling terkenal "VIRUS"

E-commerce telah memperkenalkan resiko keamanan baru penipuan kartu kredit.

Kewaspadaan Pengaman Visa

1. Menyaring karyawan yang memiliki akses ke data

Empat sub langkah untuk mendefinisikan risiko informasi adalah:

1. Mengidentifikasi aset bisnis yang harus dilindungi dari risiko

Laporan Analisis Risiko

Sebuah kebijakan keamanan dapat diimplementasikan dengan menggunakan berikut lima

1. Tahap 1: Proyek Inisiasi

Gambar 9.3 Development of Security Policy

 Sistem informasi keamanan

KONTROL FORMAL DAN INFORMAL

Kontrol formal meliputi pembentukan :

Kontrol yang formal dalam manajemen :

Kontrol informal mencakup kegiatan seperti:

- Menanamkan keyakinan etis perusahaan dalam karyawannya

 Beberapa pemerintah dan organisasi internasional telah menetapkan standar

MENEMPATKAN MANAJEMEN KEAMANAN INFORMASI DALAM

Perusahaan harus menempatkan kebijakan manajemen keamanan informasi sebelum

Business Continuity Management (BCM)

Menempatkan manajemen Keberlangsungan Bisnis Dalam Persfektifnya

Menempatkan Manajemen Kontinuitas Usaha Dalam Perspektif

1. Kenneth C.Laudon, Jane P Laudon, Sistim informasi Manajemen, mengelola

2. Mc Leod, Jr.,Raymond & Geoge P. Schell. Management Information System.

3. HM Yogianto, Analisis dan desain Sisitim Informasi : Pendekatan terstruktur, Teori

4. O’Brien, James A. Intoduction To Information Systems. (terjemahan). Jakarta

Anda mungkin juga menyukai