TUGAS MATA KULIAH SISTEM INFORMASI MANAJEMEN

MENGAMANKAN SISTEM INFORMASI

Disusun oleh :

Kelompok 7

Arina Futihatir Rizqoh (F0320017)

Garry Ahmad Maulana (F0320046)

Muhammad Fauzan Adhima (F0320076)

 Program Studi S-1 Akuntansi

Fakultas Ekonomi dan Bisnis

Universitas Sebelas Maret

Surakarta

BAB 1

PENDAHULUAN

A. Latar Belakang
Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi
mereka aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga
keamanan dari para kriminal komputer dan sekarang pemerintah telah mempertinggi
tingkat keamanan sebagai salah satu cara untuk memerangi terorisme, isu-isu utama
mengenai keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi.
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan,
serta integritas pada semua sumber daya informasi perusahaan. Manajemen keamanan
informasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi
dan persiapan operasional setelah suatu bencana yang disebut dengan manajemen
keberlangsungan bisnis.
Keamanan sistem informasi pada saat ini telah banyak dibangun oleh para
kelompok analis dan programmer namun pada akhirnya ditinggalkan oleh para
pemakainya. Hal tersebut terjadi karena sistem yang dibangun lebih berorientasi pada
pembuatnya sehingga berakibat sistem yang dipakai sulit untuk digunakan atau kurang
user friendly bagi pemakai, sistem kurang interaktif dan kurang memberi rasa nyaman
bagi pemakai, sistem sulit dipahami interface dari sistem menu dan tata letak kurang
memperhatikan kebiasaan perilaku pemakai, sistem dirasa memaksa bagi pemakai dalam
mengikuti prosedur yang dibangun sehingga sistem terasa kaku dan kurang dinamis,
keamanan dari sistem informasi yang dibangun tidak terjamin.
 Hal-hal yang disebutkan diatas dapat disimpulkan bahwa dalam membangun
sebuah keamanan sistem informasi harus memiliki orientasi yang berbasis perspektif bagi
pemakai bukan menjadi penghalang atau bahkan mempersulit dalam proses transaksi dan
eksplorasi dalam pengambilan keputusan. Terdapat banyak cara untuk mengamankan
data maupun informasi pada sebuah sistem. Pengamanan data dapat dibagi menjadi dua
jenis yaitu: penecegahan dan pengobatan. Pencegahan dilakukan supaya data tidak rusak,
hilang dan dicuri, sementara pengobatan dilakukan apabila data sudah terkena virus,
sistem terkena worm, dan lubang keamanan sudah diexploitasi.
Keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan.
Masalah tersebut penting karena jika sebuah informasi dapat di akses oleh orang yang
tidak berhak atau tidak bertanggung jawab, maka keakuratan informasi tersebut akan
diragukan, bahkan akan menjadi sebuah informasi yang menyesatkan.
Dua pendekatan dapat dilakukan untuk menyusun strategi-strategi Information
Security management-ISM manajemen risiko dan kepatuhan tolak ukur. Perhatian akan
ancaman dan resiko berhubungan dengan pendekatan manajemen risiko. Ancaman dapat
bersifat internal atau eksternal, tidak disengaja atau disengaja. Risiko dapat mencakup
insiden pengungkapan, penggunaan, dan modifikasi yang tidak diotorisasi serta
pencurian, penghancuran dan penolakan layanan. Ancaman yang paling ditakuti adalah
virus komputer. Ada tiga jenis pengendalian yang tersedia yaitu: pengendalian teknis,
pengendalian formal, dan pengendalian informal.
Manajemen keberlangsungan bisnis terdiri atas seperangkat subrencana untuk
menjaga keamanan karyawan, memungkinkan keberlangsungan operasional dengan cara
menyediakan fasilitas mengembangkan rencana kontinjensi baru tidak harus dari awal;
beberapa model berbasis peranti lunak tersedia, seperti halnya garis besar dan panduan
dari pemerintah.

B. Rumusan Masalah
Berdasarkan latar belakang masalah di atas, maka rumusan masalah dari artikel
ini adalah :
1. Apa yang dimaksud dengan keamanan informasi?
2. Apa saja tujuan keamanan informasi?
 3. Bagaimana ancaman dan risiko keamanan informasi?
4. Bagaimana pengendalian terhadap ancaman dan risiko keamanan informasi?
5. Bagaimana kebutuhan organisasi akan keamanan dan pengendalian?
6. Bagaimana manajemen keamanan informasi?
7. Apa saja yang dimaksud dengan ancaman dan apa saja jenis ancaman?
8. Apa yang dimaksud dengan risiko dan kebijakan keamanan informasi?
9. Bagaimana manajemen risiko dan kebijakan keamanan informasi?
10. Bagaimana yang dimaksud dengan pengendalian dan jenis pengendalian?

C. Tujuan Penulisan
Adapun tujuan dari penulisan artikel ini adalah :
1. Untuk memahami tentang apa yang dimaksud keamanan informasi.
2. Untuk memahami tentang tujuan dari keamanan informasi.
3. Untuk memahami tentang ancaman dan risiko dari keamanan informasi.
4. Untuk memahami tentang pengendalian terhadap ancaman dan risiko keamanan
informasi.
5. Untuk memahami tentang kebutuhan organisasi akan keamanan dan pengendalian.
6. Untuk memahami tentang manajemen keamanan informasi.
7. Untuk memahami tentang ancaman dan apa saja jenis ancaman.
8. Untuk memahami tentang risiko dan bagaimana manajemen risiko.
9. Untuk memahami tentang manajemen risiko dan kebijakan keamanan informasi.
10. Untuk memahami tentang pengendalian dan jenis pengendalian.
 BAB II
PEMBAHASAN

A. Kerentanan dan Penyalahgunaan Sistem

Sekarang ini banyak perusahaan yang telah menggunakan computer dan
internet untuk menjalankan operasi perusahaan. Namun ketika perusahaan
mencoba menghubungkan komputer ke internet tanpa firewall maupun perangkat
lunak antivirus, komputer akan lumpuh dalam hitungan detik, dan akan memakan
waktu yang lama untuk bisa memulihkannya. Tanpa disadari bisa jadi ada orang
tidak bertanggungjawab menyusup ke dalam sistem komputer dan berniat untuk
mencuri atau menghancurkan data perusahaan. Hal ini akan menghambat operasi
perusahaan karena terjadi kebocoran data. Maka dari itu, keamanan (security) dan
pengendalian (control) harus menjadi prioritas utama.
 Keamanan (security) merujuk pada kebijakan, prosedur, dan pengukuran
teknis yang digunakan untuk mencegah akses yang tidak berwenang.
 Pengendalian (control) adalah metode, kebijakan, dan prosedur organisasi
yang memastikan keamanan asset organisasi, akurasi, dan reliabilitas
pencatatan, serta kepatuhan operasional pada standar manajemen.

1. Mengapa Sistem Bisa Sangat Rentan

a. Data dalam Jumlah yang Besar
Ketika data dalam jumlah besar disimpan dalam bentuk elektronik
dapat menjadi lebih rentan terhadap berbagai ancaman dibandingkan
saat dalam bentuk manual (kertas). Dalam jaringan komunikasi, semua
sistem informasi saling terhubung, potensi akses tidak berwenang,
penyalahgunaan, atau penipuan dapat terjadi di titik akses manapun
dalam jaringan.
 Ancaman dapat berasal dari faktor teknis, organisasi, dan
lingkungan yang digabungkan dengan keputusan manajemen yang buruk.

Pengguna pada lapisan klien/user dapat menyebabkan kerugian

ketika memasukkan error atau mengakses sistem tanpa izin. Mengakses
data, mengubah data tanpa izin, radiasi, peluncuran serangan penolakan
layanan atau perangkat lunak berbahaya, dan lainnya.

Selain itu, kesalahan sistem dapat terjadi saat perangkat keras

komputer tidak bekerja secara efektif, penggunaan yang tidak tepat, tidak
terkonfigurasi secara benar, ataupun karena tindak kriminal. Kesalahan
dalam perograman, instalasi yang tidak tepat, atau perubahan tanpa izin
dapat menyebabkan kegagalan perangkat lunak komputer. Gangguan
listrik, kebakaran, banjir, dan bencana alam lainnya juga dapat
mengganggu sistem komputer.

b. Kemitraan dengan perusahaan lain baik domestik maupun luar negeri

Kemitraan dengan perusahaan lain baik domestik maupun luar
negeri dapat menambah kerentanan sistem jika informasi berharga
 diletakkan pada jaringan dan komputer di luar kendali perusahaan
tanpa perlindungan yang kokoh.
c. Perangkat genggam mobile
Kepopuleran perangkat genggam mobile untuk komputasi bisnis
dapat menambah kerentanan karena kemudahan untuk dibawa ke mana
saja membuat perangkat mobile seperti smartphone, ponsel, dan
komputer tablet mudah untuk hilang atau dicuri. Selain itu,
smartphone mempunyai kelemahan keamanan yang rentan terhadap
perangkat lunak berbahaya dan penetrasi dari pihak luar, dimana
penyusup dapat mengakses informasi internal perusahaan dari
smartphone karyawan perusahaan tersebut.

2. Kerentanan Internet
Jaringan internet lebih rentan daripada jaringan internal karena terbuka
secara publik, siapa saja dapat mengakses, selain itu Ketika terjadi
penyalahgunaan maka akan memberi dampak yang meluas. Ketika internet
menjadi bagian dari jaringan perusahaan, sistem informasi organisasi akan
menjadi sangat rentan terhadap pihak luar.
Komputer yang selalu terhubung dengan internet melalui modem atau
jalur DSL (Digital Subscriber Line) lebih terbuka terhadap penetrasi dari luar
karena menggunakan alamat internet tetap yang mudah diidentifikasi.
Kerentanan juga meningkat melalui penggunaan surel, pesan instan, dan
program pembagian arsip peer-to-peer. Surel dapat berisi lampiran yang
berfungsi sebagai batu loncatan perangkat lunak berbahaya atau akses tidak
dikenali oleh sistem internal perusahaan. Aplikasi pesan instan pun tidak
menggunakan lapisan keamanan untuk pesan teks sehingga mereka dapat
ditahan dan dibaca oleh pihak luar selama transmisi menggunakan internet
publik. Pembagian arsip peer-to-peer contohnya seperti pembagian musik
secara illegal, memungkinkan transmisi perangkat lunak berbahaya atau
menyingkap informasi individu atau computer perusahaan kepada pihak luar.
3. Tantangan Keamanan Nirkabel
 Keamanan ketika login melalui jaringan nirkabel di lokasi publik
bergantung pada kewaspadaan pengguna. Bahkan sebenarnya jaringan
nirkabel di rumah seperti Bluetooth dan Wifi sangat rentan karena jangkauan
frekuensi radio sangat mudah dipindai. Peretas menggunakan laptop, kartu
nirkabel, antena eksternal, dan perangkat lunak peretasan untuk mendeteksi
jaringan yang tidak dilindungi, memantau lalu lintas jaringan, dan dalam
beberapa kasus dapat memperoleh akses ke internet atau ke jaringan
perusahaan.
SSID (Service Set Identifier) yang mengidentifikasi titik-titik akses dalam
jaringan Wifi kemudian disiarkan berulang-ulang dapat diambil cukup mudah
menggunakan program sniffer untuk memperoleh sebuah alamat akses
jaringan tanpa proses autentikasi yang dimiliki para penyusup. Para penyusup
dapat menggunakan sistem operasi Windows untuk mengenali pengguna
mana yang sedang terhubung dengan jaringan, mengakses hard drive
komputer mereka lalu membuka atau menggandakan arsip-arsip mereka.
4. Perangkat lunak berbahaya : Virus, Worms, Trojan Horses, dan
Spyware
Program perangkat lunak berbahaya disebut sebagai malware yang
mencakup berbagai ancaman seperti virus komputer, worms, dan trojan
horses.
 Virus komputer adalah sebuah program perangkat lunak berbahaya
yang mengikatkan dirinya pada program perangkat lunak lain atau
arsip data yang akan dijalankan tanpa sepengetahuan atau izin
pengguna. Virus biasanya membawa muatan yang dapat sangat jinak
(contohnya seperti instruksi untuk menampilkan gambar atau pesan)
hingga sangat merusak (menghancurkan program atau data,
menyumbat memori komputer, melakukan format ulang pada
perangkat keras komputer dan lainnya). Virus dapat menyebar dari
komputer ke komputer ketika mengirim surel atau menggandakan
arsip yang telah terinfeksi.
  Worm adalah program perangkat lunak independent yang
menggandakan dirinya sendiri dari satu komputer ke komputer lainnya
melalui sebuah jaringan. Worm dapat mengoperasikan dirinya sendiri
tanpa harus mengikatkan diri pada arsip program komputer, dan dapat
merusak atau bahkan mengacaukan data serta memberhentikan
operasional jaringan komputer.
Worm dan virus sering disebarluaskan melalui internet dari arsip
perangkat lunak yang diunduh, arsip yang terlampir dalam transmisi surel,
pesan surel yang diretas, iklan online, atau pesan instan. Virus juga
menyerang melalui cakram atau mesin yang “terinfeksi”.
Meski target malware pada perangkat mobile belum seluas komputer yang
lebih besar, tapi tetap saja dapat tersebar melalui surel, pesan teks, Bluetooth,
dan arsip yang diunduh dari web melalui jaringan seluler atau Wifi. McAfee
menemukan hampir 13.000 jenis malware menyasar perangkat mobile pada
tahun 2012 dimana hampir semua serangan menargetkan perangkat yang
menggunakan sistem operasi Android milik Google. Blog, wiki, dan situs
sosial media seperti Facebook muncul sebagai saluran baru bagi malware atau
spyware. Aplikasi ini memungkinkan pengguna untuk memosting kode
perangkat lunak sebagai bagian dari konten yang diperbolehkan dan kode
tersebut dapat diluncurkan secara otomatis selama web ditinjau.

 Trojan horse adalah program perangkat lunak yang awal kemunculannya

begitu jinak. Trojan horse bukan sebuah virus, tetapi biasanya merupakan
jalan bagi virus dan kode berbahaya lain untuk masuk ke dalam sistem
komputer. Nama trojan horse didasaran dari kuda kayu yang digunakan
orang Yunani ketika mengelabui bangsa Trojan agar membuka gerbang
menuju benteng kota saat Perang Trojan berlangsung. Setelah sampai di
dalam kota, pasukan Yunani yang bersembunyi di dalam kuda
menunjukkan diri dan merebut kota. Salah satu contoh dari Trojan horse
 saat ini adalah MMarketPayA yang ada untuk telepon Android. Trojan ini
bersembunyi di dalam beberapa aplikasi yang kelihatannya sah, seperti
aplikasi peta dan perjalanan. Trojan ini menempatkan perintah untuk
aplikasi dan film secara otomatis tanpa izin pengguna dan berpotensi
menyebabkan pengguna memliki tagihan telepon yang tiba-tiba tinggi.
MMarketPayA telah terdeteksi di beberapa aplikasi dan telah tersebar
lebih dari 100.000 perangkat.
 SQL injection attacks menjadi malware yang paling besar. SQL ini
mengambil keuntungan dari kerentanan aplikasi perangkat lunak web—
yang terjadi karena gagal memvalidasi dan menyaring data dengan baik—
dengan sistem pengkodean yang lemah, lalu memasukkan kode program
berbahaya ke dalam sistem dan jaringan perusahaan. Penyerang
menggunakan input validasi yang salah untuk mengirimkan permintaan
SQL yang buruk pada database untuk mengakses database, menanamkan
kode berbahaya, atau mengakses sistem lainnya dalam jaringan.

5. Peretas dan Kejahatan Komputer

Peretas (hacker) adalah individu yang berkeinginan memperoleh akses
tanpa izin dari sebuah sistem komputer. Dalam komunitas peretasan, istilah
cracker umum digunakan untuk menyebut peretas dengan niat kriminal. Hacker
dan cracker memperoleh akses tanpa izin dengan menemukan kelemahan dalam
perlindungan keamanan yang digunakan pada situs web dan sistem komputer, lalu
mengambil keuntungan dengan berbagai macam fitur yang terdapat di internet.
Kegiatan hacker telah meluas dari sekadar sistem penyusupan menjadi kegiatan
pencurian barang dan informasi, kerusakan sistem dan cybervandalism, gangguan
yang disengaja, bahkan destruksi situs web dan sistem informasi perusahaan.
a. Spoofing dan Sniffing
Peretas menutupi identitas asli mereka dan membuat tipuan
(spoofing) dengan alamat surel palsu atau menyamar menjadi orang
lain. Sniffer membantu mengenali posisi-posisi yang berpontensi
menjadi permasalahan dalam jaringan atau aktivitas kriminal dalam
 jaringan karena programnya sebagai penyadapan yang memang
diperuntukkan untuk memantau informasi melalui sebuah jaringan.
Namun bila digunakan untuk kejahatan, sniffer dapat menjadi sangat
merusak dan sulit dideteksi.
b. Serangan Denial-of-Service
Peretas membanjiri server jaringan dan server web dengan ribuan
layanan komunikasi atau permintaan palsu untuk mengacaukan
jaringan. Distributed denial-of-service (DDoS) menyerang banyak
penggunaan komputer untuk menenggelamkan dan membuat jaringan
terbebani melalui banyak titik peluncuran. DDoS tidak
menghancurkan informasi atau mengakses area terlarang dari sistem
informasi perusahaan. DDoS biasanya menyebabkan sebuah situs web
ditutup dan membuat para pengguna sah tidak dapat mengakses.
Pelaku serangan DDoS biasanya menggunakan ribuan PC yang
terinfeksi perangkat lunak berbahaya tanpa sepengetahuan pemiliknya,
lalu mengelola PC yang terinfeksi tersebut menjadi sebuah botnet
melalui bot malware yang membuka jalan alternatif dimana peretas
dapat memberi instruksi. Ketika peretas telah menginfeksi cukup
banyak komputer, mereka dapat menggunakan sumber daya botnet
untuk meluncurkan serangan DDoS, menyebarluaskan phising atau
surel “spam” yang tidak diminta.
c. Kejahatan Komputer
Sebagian besar kegiatan peretas adalah tindakan pidana dimana
target kejahatan komputer adalah kerentanan sistem. Tidak ada yang
tahu seberapa besar permasalahan kejahatan komputer, seperti
seberapa banyak sistem yang diserang, berapa banyak pihak yang
terlibat, ataupun total kerusakan dari sisi ekonomi. Banyak perusahaan
yang enggan melaporkan kejahatan komputer karena kejahatan
tersebut mungkin melibatkan karyawan atau kekhawatiran publisitas
kerentanan sistemnya akan merusak reputasi perusahaan. Kejahatan
kerusakan komputer yang memiliki daya rusak paling besar dari sisi
 ekonomi adalah serangan DDoS dengan memasukkan virus,
pencurian layanan, dan gangguan sistem komputer.
d. Pencurian Identitas
adalah tindakan kejahatan dimana penipu memperoleh informasi
personal penting seperti nomor identifikasi jaminan sosial, nomor
SIM, atau nomor kartu kredit untuk menipu orang lain. Pencurian
identitas ini telah berkembang di internet dimana kartu kredit menjadi
target utama dari para peretas. Situs perdagangan elektronik (e-
commerce) menjadi sumber informasi personal pelanggan yang sangat
bagus.
Salah satu taktik terkenal yang digunakan adalah bentuk dari
spoofing bernama phising. Phising meliputi perancangan situs web
palsu atau mengirim pesan surel yang menyerupai bisnis yang sah
untuk menanyakan pada pengguna tentang data personal rahasia
mereka. Pesan surel menginstruksikan penerima untuk memperbarui
atau mengonfirmasi dokumen dengan menyediakan nomor jaminan
sosial, informasi bank dan kartu kredit, dan data lainnya. Ketika
penerima merespon surel tersebut, pelaku memasukkan informasi
tersebut ke dalam situs web palsu atau dengan melakukan panggilan
telepon. Phising yang lebih ditargetkan dinamakan spear phising,
dimana pesan muncul dari sumber terpercaya, seperti individu dari
perusahaan penerima atau teman.
Teknik phising evil twins dan pharming lebih sulit untuk dideteksi.
 Evil twins adalah jaringan nirkabel yang berpura-pura
menawarkan koneksi Wifi terpercaya, seperti yang terdaoat di
ruang tunggu bandara, hotel, ataupun kedai kopi. Jaringan pasu
ini mencoba untuk memperoleh kata sandi atau nomor kredit
tanpa disadari pengguna yang masuk ke jaringan.
 Pharming biasanya mengarahkan pengguna ke laman web
palsu walau pengguna mengetikkan alamat laman situs dengan
benar ke dalam browsernya. Hal ini dapat terjadi jika penipu
 memeroleh akses ke informasi alamat informasi yang disimpan
di penyedia layanan internet untuk mempercepat jelajah
(browsing) internet dan perusahaan ISP (internet service
provider) memiliki perangkat lunak yang cacat pada server
mereka yang memungkinkan penipu membajak dan mengubah
alamat tersebut.
e. Click Fraud
Ketika pengguna mengeklik tampilan iklan melalui sistem pencari,
para pengiklan biasanya membayar sejumlah biaya untuk setiap klik
yang dilakukan, dimana seharusnya klik itu mengarahkan pembeli
potensial langsung pada produk mereka. Click fraud terjadi ketika
terdapat program individu atau perusahaan melakukan klik tanpa
niatan untuk mempelajari iklan dan membeli produk untuk menaikkan
biaya pemasaran perusahaan yang beriklan tersebut. Click fraud juga
dapat dilakukan melalui program perangkat lunak yang menjalankan
pengeklikan, dimana biasanya menggunakan botnet.
f. Ancaman global : cyberterrorism dan cyberwarfare
Cyberwarfare adalah kegiatan yang disponsori negara, yang
dirancang untuk melumpuhkan dan mengalahkan negara lain dengan
melakukan penetrasi pada komputer atau jaringan, bertujuan untuk
menyebabkan kerasukan dan gangguan. Contohnya, terdapat 250.000
penyelidikan yang mencoba untuk menemukan cara masuk ke dalam
jaringan Kementerian Hukum Amerika Serikat setiap jamnya, dan
serangan cyber pada kantor pemerintahan negara bagian Amerika
Serikat meningkat 150 persen sejak 2008.
6. Ancaman Internal : Para Karyawan
Pihak internal perusahaan dapat menjadi ancaman keamanan yang serius,
terkhusus para karyawan, karena para karyawan memiliki akses menuju
informasi rahasia, dan dengan lemahnya prosedu keamana internal, mereka
biasanya menjelajah keseluruhan sistem organisasi tanpa meninggalkan jejak.
Selain itu, pengguna yang tidak memiliki banyak pengetahuan juga menjadi
 penyebab tunggal terbesar dalam pelanggaran keamanan jaringan. Contohnya
karyawan yang lupa kata sandi mereka untuk mengakses sitem komputer lalu
mengizinkan rekan kerjanya untuk menggunakannya, dimana membahayakan
sistem. Ada pula penyusup mencurigakan yang mencari akses dengan
mengelabui karyawan agar memperlihatkan kata sandi dengan berpura-pura
menjadi anggota sah dari perusahaan yang ditargetkannya, dimana praktik ini
disebut dengan rekayasa sosial.
Pengguna akhir dan spesialis sistem informasi juga dapat menjadi sumber
utama dari kesalahan sistem informasi. Misalnya ketika pengguna akhir
memasukkan kesalahan (error) dengan mengajukan data yang salah atau tidak
mengikuti instruksi yang benar untuk memproses data, lalu ketika spesialis
sistem informasi melakukan kesalahan saat mendesain dan mengembangkan
perangkat lunak atau memelihara program yang ada.
7. Kerentanan Perangkat Lunak
Ketika perangkat lunak mengalami kesalahan, terdapat ancaman konstan
pada sistem informasi yang menyebabkan kerugian tak terhitung dalam sisi
produktivitas. Sebagai contoh, kesalahan perangkat lunak pada aplikasi iPad
dalam membayar tagihan menyebabkan Citibank meningkatkan tagihan
pembayaran pelanggan dua kali lipa tantara Juli dan Desember 2011. Maka
pengguna iPad yang menggunakannya untuk melunasi tagihan kabel atau
cicilan rumah mereka harus membayar dua kali lipat lebih banyak.
Bugs yang tersembunyi atau kode program yang cacat adalah
permasalahan terbesar dari perangkat lunak. Sumber utama bugs adalah
kompleksitas dari kode pengambilan keputusan. Program yang penting dalam
banyak perusahaan biasanya berukuran besar dan mengandung puluhan ribu
bahkan jutaan garis kode dimana tidak mungkin tercapai nol kecacatan.
Pengujian program secara menyeluruh mengandung ribuan pilihan dan
ratusan jalur yang membutuhkan waktu ribuan tahun. Bahkan dengan
pengujian teliti, perusahaan tidak dapat yakin bahwa perangkat lunak tersebut
dapat diandalkan hingga bisa membuktikan dirinya sendiri setelah pemakaian
yang cukup banyak.
 Kecatatan perangkat lunak tidak hanya dapat menghalangi kinerja, tapi
juga menciptakan kerentanan keamanan yang mebuka jaringan terhadap para
penyusup. Sebagai contoh, Symantec mengidentifikasi 351 kerentanan pada
mesin jelajah (browser); 70 pada Chrome, 50 pada Safari, Internet Explorer,
dan Firefox.
Untuk memperbaiki kecatatan perangkat lunak, vendor perangkat lunak
menciptakan bagian kecil dari perangkat lunak bernama patches untuk
memperbaiki kecatatan tanpa mengganggu pengoperasian perangkat lunak.
Contohnya seperti Windows 7 Service Pack 1 milik Microsoft yang
menampilkan fitur keamanan, kinerja, dan stabilitas pembaruan untuk
Windows 7. Hal ini memungkinkan pengguna untuk menelusuri kerentanan,
melakukan pengujian, dan menerapkan patch. Proses ini disebut dengan patch
management.

B. Nilai Bisnis dan Kerentanan Kontrol

Organisasi dapat dianggap bertanggung jawab atas risiko dan kerugian
yang tidak perlu yang dibuat jika organisasi tersebut gagal mengambil tindakan
protektif yang tepat untuk mencegah hilangnya informasi rahasia, korupsi data,
atau pelanggaran privasi.
Keamanan dan kontrol yang tidak memadahi menyebabkann
pertanggungjawaban hukum serius. Bisnis harus dilindungi tidak hanya informasi
aset mereka tapi juga kostumer, pekerja, dan patner bisnis mereka.
Suatu organisasi dapat bertanggung jawab atas resiko dan kerugian yang
perlu dibuat dan membuat bahaya jika organisasi gagal untuk mengambil aksi
protektif untuk menghindari kerugian dari nformasi rahasia, korupsi data, atau
pelanggaran privasi.
1. Prasyarat Hukum dan Regulasi untuk Manajemen Pencatatan
Eelektronik dan Forensik Komputer
Forensik komputer adalah pengumpulan, pemeriksaan, otentikasi,
pelestarian, dan analisis data yang tersimpan atau diambil dari media
 penyimpanan komputer sedemikian rupa sehingga informasi tersebut dapat
digunakan sebagai bukti di pengadilan. Ini berkaitan dengan masalah berikut:
 Mengembalikan data dari komputer ketika menjaga keutuhan
integritas.
 Mengamankan penyimpanan dan menangani data elektronik yang
dipulihkan.
 Menemukan informasi signifikan dalam jumlah besar data elektronik.
 Mempresentasikan informasi ke pengadilan.
Bukti elektronik mungkin berada pada media penyimpanan komputer
dalam bentuk file komputer dan data ambien, yang tidak terlihat oleh
pengguna biasa.

C. Membangun Kerangka Keamanan dan Pengendalian Kontrol Sistem

Informasi
Kontrol yang dilakukan pada suatu sistem informasi ditujukan agar sistem
yang telah dibuat dapat mencapai tujuan yang di tetapkan, dapat dilakukan
secara manual maupun otomatis yang terdiri dari Kontrol Umum (General
Control) dan Kontrol Aplikasi (Application Control). Kontrol Umum
mengatur kemanan dan penggunaan program maupun file yang terdapat dalam
suatu organisasi secara keseluruhan, contohnya kontrol terhadap software,
kontrol kemanaan data, kontrol hardware secara fisik dan yang lainnya.
Kontrol Aplikasi merupakan kontrol yang lebih spesifik terhadap suatu
aplikasi tertentu, sehingga suatu kontrol aplikasi yang satu berbeda dengan
yang lainnya. Kontrol aplikasi dapat diklasifikasikan menjadi:
a. Kontrol Input, dimana data yang akan masuk untuk di proses di lihat
ketepatan maupun kelengkapannya.
b. Kontrol Proses, memastikan bahwa semua data yang tadi di input
sudah di proses
c. Kontrol Output, memastikan ketepatan hasil pemrosesan data dan
pendistribusian hasil tersebut.
1. Perkiraan Risiko
 Perkiraan risiko membantu sebuah perusahaan untuk mengetahui aset
mana yang mereka milik yang memiliki risiko dan kerentanan tertinggi,
mendeteksi potensi masalah, aset mana yang membutuhkan perlindungan, agar
perusahaan tersebut dapat seefektif mungkin dalam menerapkan keamanan dan
kontrol sistem informasinya. Perkiraan risiko menentukan level risiko yang akan
dihadapi oleh perusahaan apabila suatu aktivitas atau proses tidak terkontrol
dengan baik, sehingga perusahaan dapat memahami risiko apa saja yang akan
mereka hadapi ketika melakukan suatu kegiatan. Setelah risiko telah diperkirakan
maka konsentrasi lebih akan ditujukan pada aset yang memiliki tingkat
kerentanan dan potensi kerugian yang terbesar, perusahaan harus
memformulasikan cara-cara untuk meminimalkan risiko.
2. Kebijakan Keamanan
Untuk melindungi aset yang rentan risiko maka perusahaan perlu
mengembangkan kebijakan keamanan (Security Policy) yang terdiri atas laporan
peringkat risiko informasi, mengidentifikasi tujuan kemanan yang dapat diterima,
dan mengidentifikasi mekanisme untuk mencapai tujuan tersebut. Kebijakan
penggunaan yang diterima (Acceptable Use Policy) berisi tentang kebijakan
penggunaan peralatan perusahaan, sumber infomasi, yang diizinkan perusahaan.
Didalam kebijakan perusahaan terdapan managemen identitas (Identitiy
Management) yang digunakan untuk mengenali siapa saja yang memiliki akses
terhadap suatu software dan bagian sistem mana saja yang bisa mereka akses,
terdapat pula tanggung jawab pengguna dan juga privasi.
3. Perencanan Pemulihan Bencana dan Perencanaan Bisnis Kontinuitas
Ketika suatu bisnis dimulai orang tersebut harus siap akan segala
kemungkinan baik itu meningkatnya suku bunga sampai bencana alam.
Perencanaan pemulihan bencana berisikan rencana untuk memastikan bahwa
sistem terus berjalan dengan memulihkan kembali komputerisasi dan komunikasi
yang terganggu.
Perencanaan bisnis kontinuitas atau perencanaan keberlangsungan bisnis
mengidentifikasi proses bisnis yang kritis dan menentukan langkah apa yang
harus diambil ketika sistem tidak berfungsi agar perusahaan dapat kembali
 mengoperasikan bisnisnya setelah bencana. Manajer perlu melakukan analisis
dampak bisnis untuk menentukan sistem mana yang paling krusial bagi bisnis
mereka, seberapa lama mereka dapat bertahan dengan sistem yang tidak
berfungsi, dampak dari tidak berfungsinya sistem, maupun sistem apa yang
pertama kali harus dipulihkan. Hal ini sangat penting bagi perusahaan karena
apabila perusahaan tidak menyiapkan perencanaan yang baik maka bisa saja satu
kejadian menghentikan seluruh bisnis mereka.
4. Peran Auditing
MIS Audit digunakan untuk mengetahui apakah pengendalian sistem
informasi yang diterapkan dalam suatu perusahaan sudah efektif atau belum,
dengan meneliti lingkungan kemananan perusahaan secara keseluruhan. Audit
dapat dilakukan dengan mencoba sistem yang ada, memeriksa kualitas data,
mesimulasikan serangan, dan yang lainnya. Setelah itu audit akan memeringkat
kelemahan dan dampaknya pada keuangan dan organisasi,

D. Teknologi dan Alat untuk Melindungi Sumber Informasi

1. Manajemen dan Otentikasi Identifitas
Perangkat lunak manajemen identitas mengotomatisasi proses melacak semua
pengguna dan hak istimewa sistem mereka, memberikan setiap identitas digital unik
bagi pengguna untuk mengakses setiap sistem. Ini juga mencakup alat untuk
mengotentikasi pengguna, melindungi identitas pengguna, dan mengendalikan akses
ke sumber daya sistem. Untuk mendapatkan akses ke sistem, pengguna harus diberi
otorisasi dan disahkan.
Otentikasi mengacu pada kemampuan untuk mengetahui bahwa seseorang adalah
siapa yang diklaimnya. Otentikasi sering dibuat dengan menggunakan kata kunci
yang hanya diketahui oleh pengguna yang berwenang. Pengguna akhir menggunakan
kata sandi untuk masuk ke sistem komputer dan mungkin juga menggunakan kata
sandi untuk mengakses sistem dan file tertentu. Namun, pengguna sering lupa
password, membaginya, atau memilih password yang buruk yang mudah ditebak,
yang membahayakan keamanan. Sistem password yang terlalu ketat menghambat
produktivitas karyawan. Bila karyawan sering sering mengganti password yang rumit,
 mereka sering mengambil jalan pintas, seperti memilih kata kunci yang mudah
ditebak atau disimpan di komputer mereka dengan mudah. Kata sandi juga bisa
“mengendus” jika ditransmisikan melalui jaringan atau dicuri melalui rekayasa sosial.
2. Firewall, Intrusian Detection Systems, dan Antivirus
a. Firewall
Firewall mencegah pengguna yang tidak sah mengakses jaringan pribadi.
Firewall adalah kombinasi perangkat keras dan perangkat lunak yang
mengendalikan arus lalu lintas jaringan masuk dan keluar. Biasanya
ditempatkan di antara jaringan internal pribadi organisasi dan jaringan
eksternal yang tidak dipercaya, seperti Internet, walaupun firewall juga dapat
digunakan untuk melindungi satu bagian jaringan perusahaan dari keseluruhan
jaringan. Firewall bertindak seperti gatekeeper yang memeriksa kredensial
setiap pengguna sebelum akses diberikan ke jaringan. Firewall
mengidentifikasi nama, alamat IP, aplikasi, dan karakteristik lalu lintas masuk
lainnya. Ini memeriksa informasi ini terhadap peraturan akses yang telah
diprogramkan sistem oleh administrator jaringan. Firewall mencegah
komunikasi yang tidak sah masuk dan keluar dari jaringan.
b. Sistem Deteksi Intrusi
Sistem deteksi intrusi menampilkan alat pemantauan penuh waktu yang
ditempatkan pada titik paling rentan atau “titik panas” jaringan perusahaan
untuk mendeteksi dan mencegah penyusup terus-menerus. Sistem ini
menghasilkan alarm jika menemukan kejadian yang mencurigakan atau
anomali. Perangkat lunak pemindaian mencari pola yang menunjukkan
metode serangan komputer yang diketahui, seperti kata sandi yang buruk,
memeriksa apakah file penting telah dihapus atau dimodifikasi, dan
mengirimkan peringatan tentang kesalahan pengarsipan atau kesalahan
administrasi sistem.
c. Perangkat Lunak Antivirus dan Antispyware
Rencana teknologi defensif untuk individu dan bisnis harus
mencakup perlindungan anti-malware untuk setiap komputer. Perangkat
lunak antivirus mencegah, mendeteksi, dan menghapus perangkat lunak
 perusak, termasuk virus komputer, worm komputer, trojan horse, spyware,
dan adware. Namun, kebanyakan perangkat lunak antivirus hanya efektif
melawan malware yang sudah diketahui saat perangkat lunak itu ditulis.
Agar tetap efektif, perangkat lunak antivirus harus terus diperbarui.
d. Sistem Manajemen Ancaman Terpadu
Untuk membantu bisnis mengurangi biaya dan meningkatkan
pengelolaan, vendor keamanan digabungkan menjadi alat pengaman
berbagai alat keamanan, termasuk firewall, jaringan pribadi virtual, sistem
deteksi intrusi, dan penyaringan konten Web dan perangkat lunak
antispam. Produk manajemen keamanan komprehensif ini disebut sistem
manajemen ancaman terpadu (UTM). Meskipun awalnya ditujukan untuk
usaha kecil dan menengah, produk UTM tersedia untuk semua ukuran
jaringan. Vendor UTM terkemuka mencakup Crossbeam, Fortinent, dan
Check Point, dan vendor jaringan seperti Cisco Systems dan Juniper
Networks menyediakan beberapa kemampuan UTM dalam peralatan
mereka.
3. Mengamankan Jaringan Nirkabel
Standar keamanan awal yang dikembangkan untuk Wi-Fi, yang disebut
Wired Equivalent Privacy (WEP), tidak begitu efektif karena kunci enkripsinya
relatif mudah retak. WEP menyediakan beberapa margin keamanan, namun, jika
pengguna ingat untuk mengaktifkannya. Korporasi selanjutnya dapat
meningkatkan keamanan Wi-Fi dengan menggunakannya bersamaan dengan
teknologi virtual private network (VPN) saat mengakses data perusahaan internal.
4. Enkripsi dan Infrastruktur Publik
Enkripsi adalah proses mengubah teks biasa atau data menjadi teks sandi yang
tidak dapat dibaca oleh orang lain selain pengirim dan penerima yang dituju. Data
dienkripsi dengan menggunakan kode numerik rahasia, yang disebut kunci enkripsi,
yang mengubah data biasa menjadi teks sandi. Infrastruktur kunci publik (public key
infrastructure / PKI), penggunaan kriptografi kunci publik yang bekerja dengan CA,
sekarang banyak digunakan dalam e-commerce.
5. Memastikan Ketersediaan Sistem
 Sistem komputer yang toleran terhadap kesalahan mengandung komponen
perangkat keras, perangkat lunak, dan power supply yang berlebihan yang
menciptakan lingkungan yang menyediakan layanan tanpa gangguan terus-
menerus. Komputer yang toleran terhadap kesalahan menggunakan rutinitas
perangkat lunak khusus atau logika pengecekan mandiri yang terpasang di sirkuit
mereka untuk mendeteksi kegagalan perangkat keras dan secara otomatis beralih
ke perangkat cadangan. Bagian dari komputer ini bisa dilepas dan diperbaiki
tanpa gangguan pada sistem komputer. Toleransi kesalahan harus dibedakan dari
komputasi dengan ketersediaan tinggi. Toleransi kesalahan dan komputasi dengan
ketersediaan tinggi mencoba meminimalkan downtime. Platform komputasi
perusahaan harus sangat kuat dengan kekuatan pemrosesan, penyimpanan, dan
bandwidth terukur.
6. Masalah Keamanan untuk Komputasi Awan dan Mobile Platform Digital
Meskipun komputasi awan dan platform mobile digital yang muncul memiliki
potensi untuk memberikan manfaat yang kuat, namun tantangan baru terhadap
keamanan dan keandalan sistem.
 Keamanan di Awan
Saat pemrosesan berlangsung di awan, akuntabilitas dan tanggung
jawab untuk perlindungan data sensitif masih berada pada perusahaan
yang memiliki data tersebut. Memahami bagaimana penyedia komputasi
awan mengatur layanannya dan mengelola data sangat penting Sesi
Interaktif di Teknologi menggambarkan bagaimana bahkan perusahaan
berbasis Web yang canggih dapat mengalami kerusakan keamanan.
Komputasi awan sangat terdistribusi. Aplikasi awan berada di pusat data
jarak jauh yang luas dan peternakan server yang memasok layanan bisnis
dan pengelolaan data untuk beberapa klien korporat. Untuk menghemat
uang dan menghemat biaya, penyedia komputasi awan sering
mendistribusikan pekerjaan ke pusat data di seluruh dunia tempat
pekerjaan dapat diselesaikan dengan sangat efisien. Sifat komputasi awan
yang tersebar membuat sulit untuk melacak aktivitas yang tidak sah.
Hampir semua penyedia awan menggunakan enkripsi, seperti Secure
 Sockets Layer, untuk mengamankan data yang mereka tangani saat data
dikirimkan. Tetapi jika data disimpan pada perangkat yang juga
menyimpan data perusahaan lain, penting untuk memastikan bahwa data
tersimpan ini juga dienkripsi.
 Mengamankan Platform Seluler
Perusahaan harus memastikan bahwa kebijakan keamanan
perusahaan mereka mencakup perangkat seluler, dengan rincian tambahan
tentang bagaimana perangkat seluler harus didukung, dilindungi, dan
digunakan. Mereka akan memerlukan alat pengelolaan perangkat mobile
untuk memberi otorisasi semua perangkat yang digunakan; untuk
menyimpan catatan inventaris yang akurat pada semua perangkat,
pengguna, dan aplikasi seluler; untuk mengontrol pembaruan aplikasi; dan
untuk mengunci atau menghapus perangkat yang hilang atau dicuri
sehingga tidak dapat dikompromikan. Perusahaan harus mengembangkan
panduan yang menetapkan platform mobile yang disetujui dan aplikasi
perangkat lunak serta perangkat lunak dan prosedur yang diperlukan untuk
akses jarak jauh sistem perusahaan. Perusahaan harus mengenkripsi
komunikasi bila memungkinkan. Semua pengguna perangkat mobile harus
diminta untuk menggunakan fitur kata kunci yang terdapat di setiap
smartphone.
7. Memastikan Kualitas Perangkat Lunak
Metrik perangkat lunak adalah penilaian yang obyektif terhadap sistem dalam
bentuk pengukuran kuantitatif. Penggunaan metrik yang terus berlanjut
memungkinkan departemen sistem informasi dan pengguna akhir untuk mengukur
kinerja sistem secara bersama dan mengidentifikasi masalah saat terjadi.

E. Kasus : K2 Network
1. Factual Summary
K2 Network mengoperasikan situs game online yang digunakan oleh sekitar 16
juta orang di lebih dari 100 negara. Pemain adalah diizinkan untuk memasuki
permainan secara gratis, tetapi harus membeli "aset" digital dari K2, seperti pedang
 untuk melawan naga, jika mereka ingin terlibat secara mendalam. Gim tersebut dapat
menampung jutaan pemain sekaligus dan dimainkan secara bersamaan oleh orang-
orang di seluruh dunia. Siapkan analisis keamanan untuk bisnis berbasis internet ini.
2. Problem Statement
 Ancaman yang harus diantisipasi.
 Implikasi bagi bisnis.
 Langkah yang dapat diambil guna mencegah kerusakan pada situs web
tersebut dan melanjutkan operasional bisnis.
3. Analysis of Problem
Situs game online K2 Network yang dapat dimasuki secara gratis, dapat
menampung jutaan pemain sekaligus, dan dimainkan secara bersamaan oleh orang-
orang di seluruh dunia membuka kerentanan terhadap kemungkinan penyusup dari
luar yang mempunyai niat buruk melakukan kejahatan komputer pada K2 Network
maupun pada para pemain. kemungkinan kejahatan yang dilakukan pelaku adalah
peretasan akun antar pemain melalui email akun game tersebut sehingga pelaku
mendapat data penting seperti alamat, nomor kartu kredit, dan nomor telepon.
kemudian dari situ pelaku dapat menyebarluaskan email palsu untuk mencuri data
pemain lain. Pelaku juga mempunyai kemungkinan menyerang server web K2
Network dengan SQL Injection. dimana ketika pelaku telah berhasil mengakses
database, maka dapat mengakses data pengguna dan menanam kode berbahaya ke
dalamnya. Hal ini perlu diantisipasi dan menjadi perhatian pengelola situs K2
Network.
4. Solution
K2 sebagai pemilik gim online perlu melindungi data2 pemain yang bermain pada
gimnya. pada kasus ini K2 harus mengenskripsi segala sandi, email, nomor pin, dll
yang menjadi milik pemain agar tidak ada yg mengetahui data tersebut selain K2
menggunakan sistem enkripsi ssl, s-http, ataupun sistem enkripsi kunci publik yang
lebih aman karena menggunakan dua kunci. selain itu untuk menjaga sistem agar gim
tetap aman adalah dengan mengaktifkan firewall agar apabila terdapat percobaan
peretasan dapat diketahui dan dicegah.
5. Recommended
 Dalam menjaga keamanan data pemain gim online, K2 dapat menggunakan enkripsi
ssl yang merupakan enkripsi antara komputer klien dan server dengan berkomunikasi
satu sama lain selama sesi web yang aman untuk mengelola enkripsi dan deskripsi.
selain itu, K2 juga dapat menggunakan enkripsi s-http yang dalam mengenkripsi
melalui internet. selain menggunakam enkripsi ssl dan s-http, K2 bisa juga
menggunakan sistem enkripsi kunci publik yang lebih aman karena menggunakan 2
kunci, yaitu enkripsi kunci asimetris dan enkripsi kunci pribadi.
6. Implementation
K2 dapat meminta tim IT nya untuk mengembangkan sistem enkripsi ssl, s-http,
ataupun kunci publik. selain itu, perusahaan dapat mempertimbangkan untuk
menggandeng vendor dan mengembangkan sistem keamanan diatas daripada memilih
menggunakan tim IT nya. hal ini dipengaruhi banyak faktor sehingga keputusan
tersebut pasti kembali ke tim manajerial K2, contohnya seperti pertimbangan dana,
kemampuan sumber daya, dan dampak jangka panjang terhadap sistem perusahaan
K2 Network

BAB III
PENUTUP
A. Kesimpulan
1. Dapat disimpulkan bahwa Keamanan informasi (information security)
digunakan untuk mendeskripsikan perlindungan baik peralatan komputer
dan non komputer dan non komputer, fasilitas, data, dan informasi dari
penyalahgunaan pihak-pihak yang tidak berwenang. Keamanan informasi
ditujukan untuk mencapai tiga tujuan utama yaitu: kerahasiaan,
ketersediaan, dan integritas.
2. Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya
menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun
fisik agar aman dari ancaman baik dari dalam atau dari luar. Istilah
keamanan sistem digunakan untuk mengambarkan perlindungna baik
peralatan komputer dan nonkomputer, fasilitas,data dan informasi dari
penyalahgunaan pihak-pihak yang tidak berwenang. Aktivitas untuk
 menjaga agar sumber daya informasi tetap aman disebut manajemen
keamanan informasi (information security management – ISM ),
sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya
informasinya tetap berfungsi setelah adanya bencana disebut manajemen
keberlangsungan bisnis (bussiness continuity management – BCM). Istilah
manajemen risiko (risk management) dibuat untuk menggambarkan
pendekatan ini dimana tingkat keamanan sumber daya informasi
perusahaan dibandingkan dengan risiko yang dihadapinya.
3. Ancaman keamanan sistem informasi adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan. Ancaman itu terdiri dari ancaman
internal dan eksternal. Resiko keamanan informasi dapat Didefinisikan
sebagai potensi output yang tidak Diharapkan dari pelanggaran keamanan
informasi oleh Ancaman keamanan informasi. Semua risiko mewakili
tindakan yang tidak terotorisasi. Untuk mengendalikan Ancaman serta
risiko keamanan informasi itu dapat dilakukan dengan berbagai
pengendalian yaitu: pengendalian teknis, kriptografis, fisik, formal dan
informal.
4. Risiko Keamanan Informasi (Information Security Risk) didefinisikan
sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan
informasi oleh ancaman keamanan informasi.