Disusun oleh :
Kelompok 7
Surakarta
BAB 1
PENDAHULUAN
A. Latar Belakang
Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi
mereka aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga
keamanan dari para kriminal komputer dan sekarang pemerintah telah mempertinggi
tingkat keamanan sebagai salah satu cara untuk memerangi terorisme, isu-isu utama
mengenai keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi.
Keamanan informasi ditujukan untuk mendapatkan kerahasiaan, ketersediaan,
serta integritas pada semua sumber daya informasi perusahaan. Manajemen keamanan
informasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi
dan persiapan operasional setelah suatu bencana yang disebut dengan manajemen
keberlangsungan bisnis.
Keamanan sistem informasi pada saat ini telah banyak dibangun oleh para
kelompok analis dan programmer namun pada akhirnya ditinggalkan oleh para
pemakainya. Hal tersebut terjadi karena sistem yang dibangun lebih berorientasi pada
pembuatnya sehingga berakibat sistem yang dipakai sulit untuk digunakan atau kurang
user friendly bagi pemakai, sistem kurang interaktif dan kurang memberi rasa nyaman
bagi pemakai, sistem sulit dipahami interface dari sistem menu dan tata letak kurang
memperhatikan kebiasaan perilaku pemakai, sistem dirasa memaksa bagi pemakai dalam
mengikuti prosedur yang dibangun sehingga sistem terasa kaku dan kurang dinamis,
keamanan dari sistem informasi yang dibangun tidak terjamin.
Hal-hal yang disebutkan diatas dapat disimpulkan bahwa dalam membangun
sebuah keamanan sistem informasi harus memiliki orientasi yang berbasis perspektif bagi
pemakai bukan menjadi penghalang atau bahkan mempersulit dalam proses transaksi dan
eksplorasi dalam pengambilan keputusan. Terdapat banyak cara untuk mengamankan
data maupun informasi pada sebuah sistem. Pengamanan data dapat dibagi menjadi dua
jenis yaitu: penecegahan dan pengobatan. Pencegahan dilakukan supaya data tidak rusak,
hilang dan dicuri, sementara pengobatan dilakukan apabila data sudah terkena virus,
sistem terkena worm, dan lubang keamanan sudah diexploitasi.
Keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan.
Masalah tersebut penting karena jika sebuah informasi dapat di akses oleh orang yang
tidak berhak atau tidak bertanggung jawab, maka keakuratan informasi tersebut akan
diragukan, bahkan akan menjadi sebuah informasi yang menyesatkan.
Dua pendekatan dapat dilakukan untuk menyusun strategi-strategi Information
Security management-ISM manajemen risiko dan kepatuhan tolak ukur. Perhatian akan
ancaman dan resiko berhubungan dengan pendekatan manajemen risiko. Ancaman dapat
bersifat internal atau eksternal, tidak disengaja atau disengaja. Risiko dapat mencakup
insiden pengungkapan, penggunaan, dan modifikasi yang tidak diotorisasi serta
pencurian, penghancuran dan penolakan layanan. Ancaman yang paling ditakuti adalah
virus komputer. Ada tiga jenis pengendalian yang tersedia yaitu: pengendalian teknis,
pengendalian formal, dan pengendalian informal.
Manajemen keberlangsungan bisnis terdiri atas seperangkat subrencana untuk
menjaga keamanan karyawan, memungkinkan keberlangsungan operasional dengan cara
menyediakan fasilitas mengembangkan rencana kontinjensi baru tidak harus dari awal;
beberapa model berbasis peranti lunak tersedia, seperti halnya garis besar dan panduan
dari pemerintah.
B. Rumusan Masalah
Berdasarkan latar belakang masalah di atas, maka rumusan masalah dari artikel
ini adalah :
1. Apa yang dimaksud dengan keamanan informasi?
2. Apa saja tujuan keamanan informasi?
3. Bagaimana ancaman dan risiko keamanan informasi?
4. Bagaimana pengendalian terhadap ancaman dan risiko keamanan informasi?
5. Bagaimana kebutuhan organisasi akan keamanan dan pengendalian?
6. Bagaimana manajemen keamanan informasi?
7. Apa saja yang dimaksud dengan ancaman dan apa saja jenis ancaman?
8. Apa yang dimaksud dengan risiko dan kebijakan keamanan informasi?
9. Bagaimana manajemen risiko dan kebijakan keamanan informasi?
10. Bagaimana yang dimaksud dengan pengendalian dan jenis pengendalian?
C. Tujuan Penulisan
Adapun tujuan dari penulisan artikel ini adalah :
1. Untuk memahami tentang apa yang dimaksud keamanan informasi.
2. Untuk memahami tentang tujuan dari keamanan informasi.
3. Untuk memahami tentang ancaman dan risiko dari keamanan informasi.
4. Untuk memahami tentang pengendalian terhadap ancaman dan risiko keamanan
informasi.
5. Untuk memahami tentang kebutuhan organisasi akan keamanan dan pengendalian.
6. Untuk memahami tentang manajemen keamanan informasi.
7. Untuk memahami tentang ancaman dan apa saja jenis ancaman.
8. Untuk memahami tentang risiko dan bagaimana manajemen risiko.
9. Untuk memahami tentang manajemen risiko dan kebijakan keamanan informasi.
10. Untuk memahami tentang pengendalian dan jenis pengendalian.
BAB II
PEMBAHASAN
2. Kerentanan Internet
Jaringan internet lebih rentan daripada jaringan internal karena terbuka
secara publik, siapa saja dapat mengakses, selain itu Ketika terjadi
penyalahgunaan maka akan memberi dampak yang meluas. Ketika internet
menjadi bagian dari jaringan perusahaan, sistem informasi organisasi akan
menjadi sangat rentan terhadap pihak luar.
Komputer yang selalu terhubung dengan internet melalui modem atau
jalur DSL (Digital Subscriber Line) lebih terbuka terhadap penetrasi dari luar
karena menggunakan alamat internet tetap yang mudah diidentifikasi.
Kerentanan juga meningkat melalui penggunaan surel, pesan instan, dan
program pembagian arsip peer-to-peer. Surel dapat berisi lampiran yang
berfungsi sebagai batu loncatan perangkat lunak berbahaya atau akses tidak
dikenali oleh sistem internal perusahaan. Aplikasi pesan instan pun tidak
menggunakan lapisan keamanan untuk pesan teks sehingga mereka dapat
ditahan dan dibaca oleh pihak luar selama transmisi menggunakan internet
publik. Pembagian arsip peer-to-peer contohnya seperti pembagian musik
secara illegal, memungkinkan transmisi perangkat lunak berbahaya atau
menyingkap informasi individu atau computer perusahaan kepada pihak luar.
3. Tantangan Keamanan Nirkabel
Keamanan ketika login melalui jaringan nirkabel di lokasi publik
bergantung pada kewaspadaan pengguna. Bahkan sebenarnya jaringan
nirkabel di rumah seperti Bluetooth dan Wifi sangat rentan karena jangkauan
frekuensi radio sangat mudah dipindai. Peretas menggunakan laptop, kartu
nirkabel, antena eksternal, dan perangkat lunak peretasan untuk mendeteksi
jaringan yang tidak dilindungi, memantau lalu lintas jaringan, dan dalam
beberapa kasus dapat memperoleh akses ke internet atau ke jaringan
perusahaan.
SSID (Service Set Identifier) yang mengidentifikasi titik-titik akses dalam
jaringan Wifi kemudian disiarkan berulang-ulang dapat diambil cukup mudah
menggunakan program sniffer untuk memperoleh sebuah alamat akses
jaringan tanpa proses autentikasi yang dimiliki para penyusup. Para penyusup
dapat menggunakan sistem operasi Windows untuk mengenali pengguna
mana yang sedang terhubung dengan jaringan, mengakses hard drive
komputer mereka lalu membuka atau menggandakan arsip-arsip mereka.
4. Perangkat lunak berbahaya : Virus, Worms, Trojan Horses, dan
Spyware
Program perangkat lunak berbahaya disebut sebagai malware yang
mencakup berbagai ancaman seperti virus komputer, worms, dan trojan
horses.
Virus komputer adalah sebuah program perangkat lunak berbahaya
yang mengikatkan dirinya pada program perangkat lunak lain atau
arsip data yang akan dijalankan tanpa sepengetahuan atau izin
pengguna. Virus biasanya membawa muatan yang dapat sangat jinak
(contohnya seperti instruksi untuk menampilkan gambar atau pesan)
hingga sangat merusak (menghancurkan program atau data,
menyumbat memori komputer, melakukan format ulang pada
perangkat keras komputer dan lainnya). Virus dapat menyebar dari
komputer ke komputer ketika mengirim surel atau menggandakan
arsip yang telah terinfeksi.
Worm adalah program perangkat lunak independent yang
menggandakan dirinya sendiri dari satu komputer ke komputer lainnya
melalui sebuah jaringan. Worm dapat mengoperasikan dirinya sendiri
tanpa harus mengikatkan diri pada arsip program komputer, dan dapat
merusak atau bahkan mengacaukan data serta memberhentikan
operasional jaringan komputer.
Worm dan virus sering disebarluaskan melalui internet dari arsip
perangkat lunak yang diunduh, arsip yang terlampir dalam transmisi surel,
pesan surel yang diretas, iklan online, atau pesan instan. Virus juga
menyerang melalui cakram atau mesin yang “terinfeksi”.
Meski target malware pada perangkat mobile belum seluas komputer yang
lebih besar, tapi tetap saja dapat tersebar melalui surel, pesan teks, Bluetooth,
dan arsip yang diunduh dari web melalui jaringan seluler atau Wifi. McAfee
menemukan hampir 13.000 jenis malware menyasar perangkat mobile pada
tahun 2012 dimana hampir semua serangan menargetkan perangkat yang
menggunakan sistem operasi Android milik Google. Blog, wiki, dan situs
sosial media seperti Facebook muncul sebagai saluran baru bagi malware atau
spyware. Aplikasi ini memungkinkan pengguna untuk memosting kode
perangkat lunak sebagai bagian dari konten yang diperbolehkan dan kode
tersebut dapat diluncurkan secara otomatis selama web ditinjau.
E. Kasus : K2 Network
1. Factual Summary
K2 Network mengoperasikan situs game online yang digunakan oleh sekitar 16
juta orang di lebih dari 100 negara. Pemain adalah diizinkan untuk memasuki
permainan secara gratis, tetapi harus membeli "aset" digital dari K2, seperti pedang
untuk melawan naga, jika mereka ingin terlibat secara mendalam. Gim tersebut dapat
menampung jutaan pemain sekaligus dan dimainkan secara bersamaan oleh orang-
orang di seluruh dunia. Siapkan analisis keamanan untuk bisnis berbasis internet ini.
2. Problem Statement
Ancaman yang harus diantisipasi.
Implikasi bagi bisnis.
Langkah yang dapat diambil guna mencegah kerusakan pada situs web
tersebut dan melanjutkan operasional bisnis.
3. Analysis of Problem
Situs game online K2 Network yang dapat dimasuki secara gratis, dapat
menampung jutaan pemain sekaligus, dan dimainkan secara bersamaan oleh orang-
orang di seluruh dunia membuka kerentanan terhadap kemungkinan penyusup dari
luar yang mempunyai niat buruk melakukan kejahatan komputer pada K2 Network
maupun pada para pemain. kemungkinan kejahatan yang dilakukan pelaku adalah
peretasan akun antar pemain melalui email akun game tersebut sehingga pelaku
mendapat data penting seperti alamat, nomor kartu kredit, dan nomor telepon.
kemudian dari situ pelaku dapat menyebarluaskan email palsu untuk mencuri data
pemain lain. Pelaku juga mempunyai kemungkinan menyerang server web K2
Network dengan SQL Injection. dimana ketika pelaku telah berhasil mengakses
database, maka dapat mengakses data pengguna dan menanam kode berbahaya ke
dalamnya. Hal ini perlu diantisipasi dan menjadi perhatian pengelola situs K2
Network.
4. Solution
K2 sebagai pemilik gim online perlu melindungi data2 pemain yang bermain pada
gimnya. pada kasus ini K2 harus mengenskripsi segala sandi, email, nomor pin, dll
yang menjadi milik pemain agar tidak ada yg mengetahui data tersebut selain K2
menggunakan sistem enkripsi ssl, s-http, ataupun sistem enkripsi kunci publik yang
lebih aman karena menggunakan dua kunci. selain itu untuk menjaga sistem agar gim
tetap aman adalah dengan mengaktifkan firewall agar apabila terdapat percobaan
peretasan dapat diketahui dan dicegah.
5. Recommended
Dalam menjaga keamanan data pemain gim online, K2 dapat menggunakan enkripsi
ssl yang merupakan enkripsi antara komputer klien dan server dengan berkomunikasi
satu sama lain selama sesi web yang aman untuk mengelola enkripsi dan deskripsi.
selain itu, K2 juga dapat menggunakan enkripsi s-http yang dalam mengenkripsi
melalui internet. selain menggunakam enkripsi ssl dan s-http, K2 bisa juga
menggunakan sistem enkripsi kunci publik yang lebih aman karena menggunakan 2
kunci, yaitu enkripsi kunci asimetris dan enkripsi kunci pribadi.
6. Implementation
K2 dapat meminta tim IT nya untuk mengembangkan sistem enkripsi ssl, s-http,
ataupun kunci publik. selain itu, perusahaan dapat mempertimbangkan untuk
menggandeng vendor dan mengembangkan sistem keamanan diatas daripada memilih
menggunakan tim IT nya. hal ini dipengaruhi banyak faktor sehingga keputusan
tersebut pasti kembali ke tim manajerial K2, contohnya seperti pertimbangan dana,
kemampuan sumber daya, dan dampak jangka panjang terhadap sistem perusahaan
K2 Network
BAB III
PENUTUP
A. Kesimpulan
1. Dapat disimpulkan bahwa Keamanan informasi (information security)
digunakan untuk mendeskripsikan perlindungan baik peralatan komputer
dan non komputer dan non komputer, fasilitas, data, dan informasi dari
penyalahgunaan pihak-pihak yang tidak berwenang. Keamanan informasi
ditujukan untuk mencapai tiga tujuan utama yaitu: kerahasiaan,
ketersediaan, dan integritas.
2. Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya
menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun
fisik agar aman dari ancaman baik dari dalam atau dari luar. Istilah
keamanan sistem digunakan untuk mengambarkan perlindungna baik
peralatan komputer dan nonkomputer, fasilitas,data dan informasi dari
penyalahgunaan pihak-pihak yang tidak berwenang. Aktivitas untuk
menjaga agar sumber daya informasi tetap aman disebut manajemen
keamanan informasi (information security management – ISM ),
sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya
informasinya tetap berfungsi setelah adanya bencana disebut manajemen
keberlangsungan bisnis (bussiness continuity management – BCM). Istilah
manajemen risiko (risk management) dibuat untuk menggambarkan
pendekatan ini dimana tingkat keamanan sumber daya informasi
perusahaan dibandingkan dengan risiko yang dihadapinya.
3. Ancaman keamanan sistem informasi adalah orang, organisasi,
mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan. Ancaman itu terdiri dari ancaman
internal dan eksternal. Resiko keamanan informasi dapat Didefinisikan
sebagai potensi output yang tidak Diharapkan dari pelanggaran keamanan
informasi oleh Ancaman keamanan informasi. Semua risiko mewakili
tindakan yang tidak terotorisasi. Untuk mengendalikan Ancaman serta
risiko keamanan informasi itu dapat dilakukan dengan berbagai
pengendalian yaitu: pengendalian teknis, kriptografis, fisik, formal dan
informal.
4. Risiko Keamanan Informasi (Information Security Risk) didefinisikan
sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan
informasi oleh ancaman keamanan informasi.