3.

1 Pendahuluan
Dalam sistem informasi yang terkomputerisasi, sebagian besar proses bisnis terotomatisasi. Organisasi
semakin mengandalkan Teknologi Informasi (TI) untuk informasi dan pemrosesan transaksi.
3.2 Kebutuhan akan Perlindungan Sistem Informasi
Organisasi bergantung pada informasi yang tepat waktu, akurat, lengkap, valid, konsisten,
relevan, dan dapat diandalkan. Penggunaan sistem informasi tidak hanya mendapatkan manfaat saja,
namun ada juga banyak risiko yang berkaitan dengan sistem informasi. Risiko-risiko ini telah
menyebabkan kesenjangan antara kebutuhan untuk melindungi sistem dan tingkat perlindungan yang
diterapkan. Kesenjangan ini disebabkan oleh : (1) Penggunaan teknologi secara luas; (2)
Interkonektivitas sistem; (3) Penghapusan jarak, waktu, dan ruang sebagai kendala; (4) Ketidakmerataan
perubahan teknologi; (5) Devolusi manajemen dan kontrol; (6) Daya tarik melakukan serangan
elektronik tidak konvensional lebih konvensional serangan fisik terhadap organisasi; (7) Faktor eksternal
seperti persyaratan legislatif, hukum, dan peraturan atau teknologi perkembangan. Kegagalan
keamanan informasi dapat mengakibatkan kerugian finansial dan / atau kerugian tidak berwujud,
seperti pengungkapan informasi kompetitif atau sensitif yang tidak sah.
Ancaman terhadap sistem informasi dapat muncul dari tindakan yang disengaja atau tidak
disengaja dan mungkin datang dari sumber internal atau eksternal. Ancaman dapat berasal dari : (1)
kondisi teknis (bug program, crash disk); (2) bencana alam (kebakaran, banjir); (3) kondisi lingkungan
(lonjakan listrik); (4) faktor manusia (kurangnya pelatihan, kesalahan, dan kelalaian); (5) akses tidak sah
(peretasan), atau virus. Selain itu, ancaman lain, seperti ketergantungan bisnis (ketergantungan pada
penyedia komunikasi pihak ketiga, operasi di-outsourcing-kan , dll.) berpotensi menyebabkan hilangnya
kendali dan pengawasan manajemen. Tindakan yang memadai untuk keamanan informasi membantu
memastikan kelancaran fungsi sistem informasi dan melindungi organisasi dari kehilangan atau rasa
malu yang disebabkan oleh kegagalan keamanan.
3.3 Keamanan Sistem Informasi
Tujuan Keamanan Informasi: Tujuan keamanan sistem informasi adalah "perlindungan terhadap
kepentingan organisasi yang mengandalkan informasi, dan melindungi sistem informasi dan komunikasi
yang menghantarkan informasi dari bahaya yang diakibatkan oleh kegagalan kerahasiaan, integritas, dan
ketersediaan ”. Dalam organisasi, tujuan keamanan terdiri dari tiga atribut yang diterima secara
universal: (1) Kerahasiaan; (2) Integritas; dan (3) Ketersediaan. Faktor yang diperlukan oleh suatu
organisasi agar bias menjadi berhasil: (1) Rencana yang Strategis; (2) Operasi Bisnis ; (3) Keuangan yang
dokumennya tidak dipublikasikan.
3.4 Kebijakan Keamanan Informasi
Kebijakan Keamanan Informasi adalah pernyataan oleh manajemen tentang cara melindungi aset
informasi perusahaan. Kebijakan Keamanan Informasi selalu mencakup aturan yang dimaksudkan untuk
: Mempertahankan dan melindungi informasi dari modifikasi , akses atau penyingkapan yang tidak sah;
Membatasi atau menghilangkan potensi tanggung jawab hukum dari karyawan atau pihak ketiga; dan
Mencegah pemborosan atau penggunaan sumber daya organisasi yang tidak tepat.

3.4.1 Alat untuk Menerapkan Kebijakan: Standar, Pedoman, dan Prosedur

Standar menentukan teknologi dan metodologi yang akan digunakan untuk mengamankan sistem.
Panduan membantu dalam kelancaran implementasi kebijakan keamanan informasi. Prosedur adalah
langkah-langkah yang lebih rinci diikuti untuk menyelesaikan tugas terkait keamanan tertentu. Standar,
pedoman, dan prosedur harus diumumkan secara resmi di seluruh organisasi melalui buku pegangan
atau manual. Pedoman membantu pengguna, personel sistem, dan lainnya dalam mengamankan sistem
mereka secara efektif.
3.4.2 Masalah untuk diatasi
Masalah yang seharusnya diatasi oleh Kebijakan adalah sebagai berikut, (a) definisi keamanan informasi;
(b) alasan mengapa keamanan informasi penting bagi organisasi, dan tujuan serta prinsip; (c) penjelasan
singkat tentang kebijakan, prinsip, standar, dan kepatuhan keamanan persyaratan; (d) definisi semua
tanggung jawab keamanan informasi yang relevan; dan (e) referensi untuk mendukung dokumentasi.
3.4.3 Anggota Kebijakan Keamanan
Kebijakan keamanan secara luas terdiri dari tiga kelompok manajemen berikut: (1) Anggota manajemen
yang memiliki wewenang atas anggaran dan kebijakan, (2)Kelompok teknis yang tahu apa saja yang bisa
dan tidak bisa didukung, dan (3) Ahli hukum yang mengetahui konsekuensi hukum dari berbagai
tuduhan kebijakan.
3.4.4 Kebijakan Keamanan Informasi dan Hierarki mereka
Berbagai jenis kebijakan keamanan informasi adalah:
 Kebijakan Keamanan Pengguna : Kebijakan Keamanan Pengguna dan Kebijakan Penggunaan yang
Dapat Diterima.

 Kebijakan Keamanan Organisasi : Kebijakan Keamanan Informasi Organisasi, Kebijakan Keamanan

Jaringan & Sistem dan Kebijakan Klasifikasi Informasi.
 Ketentuan Koneksi - Kebijakan ini menetapkan kebijakan Grup untuk menghubungkan ke jaringan. Ini

berlaku untuk semua organisasi yang terhubung ke Grup, dan terkait dengan kondisi yang berlaku
untuk sistem pemasok yang berbeda.

3.4.5 Komponen Kebijakan Keamanan

Kebijakan keamanan yang baik harus dengan jelas menyatakan sebagai berikut : (a) Tujuan dan Ruang
Lingkup Dokumen dan audiens yang dituju; (b) Infrastruktur Keamanan; (c) Persyaratan pemeliharaan
dan kepatuhan dokumen kebijakan keamanan; (d) Mekanisme respons insiden dan pelaporan insiden;
(e) Struktur organisasi keamanan; (f) Inventarisasi dan Klasifikasi aset; (g) Deskripsi teknologi dan
struktur komputasi; (h) Keamanan Fisik dan Lingkungan; (i) Manajemen Identitas dan kontrol akses; (j)
Manajemen Operasi TI; (k) Komunikasi TI; (l) Pengembangan Sistem dan Kontrol Pemeliharaan; (m)
Perencanaan Kesinambungan Bisnis; (n) Kesesuaian Hukum; dan (o) Persyaratan Pemantauan dan Audit.
3.5 Kontrol Sistem Informasi
Tujuan dasar dari pengendalian sistem informasi dalam suatu organisasi adalah untuk memastikan
bahwa tujuan bisnis tercapai dan kejadian risiko yang tidak diinginkan dicegah, terdeteksi, dan
diperbaiki. Ini dicapai dengan merancang dan kerangka kerja kontrol informasi yang efektif, yang terdiri
dari kebijakan, prosedur, praktik, dan struktur organisasi yang memberikan jaminan yang masuk akal
bahwa tujuan bisnis akan tercapai.
3.5.1 Kebutuhan akan Kontrol dalam Sistem Informasi
Prosedur kontrol IS dapat meliputi:
• Strategi dan arahan,
• Organisasi dan Manajemen Umum,
• Akses ke sumber daya TI, termasuk data dan program,
• Metodologi pengembangan sistem dan kontrol perubahan,
• Prosedur operasi,
• Pemrograman Sistem dan fungsi dukungan teknis,
• Prosedur Jaminan Kualifikasi,
• Kontrol Akses Fisik,
• BCP dan DRP,
• Jaringan dan Komunikasi,
• Administrasi Database, dan
• Mekanisme perlindungan dan detektif terhadap serangan internal dan eksternal.
3.5.2 Tujuan Kontrol
Tujuan dari kontrol adalah untuk mengurangi atau jika mungkin menghilangkan penyebab paparan
potensi kerugian. Eksposur adalah potensi kerugian karena ancaman yang terjadi. Semua paparan
memiliki penyebab. Beberapa kategori eksposur adalah:
• Kesalahan atau kelalaian dalam data, prosedur, pemrosesan, penilaian dan perbandingan;
• Otorisasi yang tidak tepat dan akuntabilitas yang tidak tepat berkaitan dengan prosedur,
pemrosesan, penilaian dan perbandingan; dan
• Aktivitas yang tidak efisien dalam prosedur, pemrosesan dan perbandingan. Beberapa kontrol kritis
yang kurang dalam lingkungan yang terkomputerisasi adalah:
• Kurangnya pemahaman manajemen tentang risiko IS dan kontrol terkait;
• Kerangka kontrol SI yang tidak ada atau tidak memadai;
• Tidak adanya kontrol umum yang lemah dan kontrol IS;
• Kurangnya kesadaran dan pengetahuan tentang risiko IS dan kontrol di antara pengguna bisnis dan
bahkan staf TI;
• Kompleksitas implementasi kontrol dalam lingkungan komputasi terdistribusi dan perusahaan
besar;
• Kurangnya fitur kontrol atau implementasinya di lingkungan yang didorong oleh teknologi tinggi;
dan
• Implementasi teknologi yang tidak tepat atau fungsi keamanan yang tidak memadai dalam
teknologi yang diterapkan.
Tujuan kontrol melayani dua tujuan utama:
• Menjabarkan kebijakan organisasi sebagaimana ditetapkan oleh manajemen; dan
• Sebuah tolok ukur untuk mengevaluasi apakah tujuan kontrol terpenuhi.

3.5.3 Komponen Kontrol Internal

Dalam lingkungan yang terkomputerisasi, tujuan pengamanan aset, integritas data, efisiensi sistem, dan
efektivitas sistem hanya dapat dicapai jika manajemen organisasi menetapkan sistem kontrol internal.
Kontrol internal terdiri dari lima komponen yang saling terkait berikut ini:
• Lingkungan Kontrol
• Penilaian Risiko
• Aktivitas Pengendalian
• Informasi dan Komunikasi
• Pemantauan
3.5.4 Dampak Teknologi pada Kontrol Internal
Ini dibahas sebagai berikut:
• Personel yang Kompeten dan Dapat Dipercaya
• Pemisahan Tugas
• Prosedur Otorisasi
• Dokumen dan Catatan yang Memadai
• Kontrol Fisik atas Aset dan Catatan
• Pengawasan Manajemen yang Memadai
• Pemeriksaan Independen atas Kinerja
• Membandingkan Pertanggungjawaban Terekam dengan Aset
• Delegasi Wewenang dan Tanggung Jawab
3.6.1 Klasifikasi berdasarkan “Objective of Controls”
Kontrol dapat diklasifikasikan sebagai berikut:
A. Kontrol Pencegahan