INFORMASI
DENPASAR
2020
i
KATA PENGANTAR
Puji syukur kami panjatkan kehadirat Tuhan Yang Maha Esa yang telah melimpahkan
rahmat, taufik serta hidayah-Nya, sehingga kami dapat menyelesaikan makalah “Pengendalian
Untuk Keamanan Informasi” dengan baik dan tepat pada waktu.
Makalah ini kami susun untuk memenuhi tugas “Sistem Informasi Akuntansi dan
Pengendalian Internal”. Kami menyadari bahwa dalam pembuatan makalah ini terdapat
kekurangan, maka saran dan kritik yang membangun sangat kami butuhkan dari semua pihak
untuk penyempurnaan makalah ini.
Akhir kata, kami mengucapkan banyak terima kasih, semoga makalah ini bermanfaat dan
dapat dijadikan sebagai acuan pembuatan makalah yang sama dikemudian hari.
Penulis
i
DAFTAR ISI
KATA PENGANTAR................................................................................................................................i
DAFTAR ISI..............................................................................................................................................ii
BAB I..........................................................................................................................................................1
PENDAHULUAN......................................................................................................................................1
1.1 Latar Belakang................................................................................................................................1
1.2 Rumusan Masalah...........................................................................................................................2
1.3 Tujuan Penulisan.............................................................................................................................2
BAB II........................................................................................................................................................3
PEMBAHASAN.........................................................................................................................................3
2.1 Konsep keamanan informasi fundamental....................................................................................3
2.2 Pengendalian Preventif...................................................................................................................5
2.3 Pengendalian Korektif...................................................................................................................12
2.4 Pengendalian Detektif...................................................................................................................12
2.5 Implikasi Keamanan Virtualisasi Dan Cloud..............................................................................13
BAB III PENUTUP.................................................................................................................................14
3.1 Kesimpulan....................................................................................................................................14
3.2 Saran...............................................................................................................................................15
DAFTAR PUSTAKA..............................................................................................................................16
ii
BAB I
PENDAHULUAN
Keamanan sistem informasi pada saat ini telah banyak dibangun oleh para kelompok analis dan
programmer namun pada akhirnya ditinggalkan oleh para pemakainya. Hal tersebut terjadi
karena sistem yang dibangun lebih berorientasi pada pembuatnya sehingga berakibat sistem yang
dipakai sulit untuk digunakan atau kurang user friendly bagi pemakai, sistem kurang interaktif
dan kurang memberi rasa nyaman bagi pemakai, sistem sulit dipahami interface dari sistem
menu dan tata letak kurang memperhatikan kebiasaan perilaku pemakai, sistem dirasa memaksa
bagi pemakai dalam mengikuti prosedur yang dibangun sehingga sistem terasa kaku dan kurang
dinamis, keamanan dari sistem informasi yang dibangun tidak terjamin.
Hal-hal yang disebutkan diatas dapat disimpulkan bahwa dalam membangun sebuah keamanan
sistem informasi harus memiliki orientasi yang berbasis perspektif bagi pemakai bukan menjadi
penghalang atau bahkan mempersulit dalam proses transaksi dan eksplorasi dalam pengambilan
keputusan. Terdapat banyak cara untuk mengamankan data maupun informasi pada sebuah
sistem. Pengamanan data dapat dibagi menjadi dua jenis yaitu: penecegahan dan pengobatan.
Pencegahan dilakukan supaya data tidak rusak, hilang dan dicuri, sementara pengobatan
dilakukan apabila data sudah terkena virus, sistem terkena worm, dan lubang keamanan sudah
diexploitasi.
1
Keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan. Masalah tersebut
penting karena jika sebuah informasi dapat di akses oleh orang yang tidak berhak atau tidak
bertanggung jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi
sebuah informasi yang menyesatkan.
2
BAB II
PEMBAHASAN
1. Keamanan (security) adalah akses (baik fisik maupun logis) terhadap sistem dan data di
dalamnnya dikendalikan serta terbatas untuk pengguna yang sah.
2. Kerahasiaan (confidentiaity) adalah informasi keorganisasian yang sensitif (seperti rencana
pemasaran, rahasia dagang) terlindungi dari pengungkapan yang tanpa izin.
3. Privasi (privacy) adalah informasi pribadi tentang pelanggan, pegawai, pemasok, atau rekan
kerja hanya dikumpulkan, digunakan, diungkapkan, dan dikelola sesuai dengan kepatuhan
terhadap kebijakan internal dan persyaratan peraturan eksternal serta terlindungi dari
pengungkapan yang tanpa izin.
4. Integritas Pemrosesan (processing integrity) adalah data diproses secara akurat, lengkap,
tepat waktu, dan hanya dengan otorisasi yang sesuai.
5. Ketersediaan (avaibility) adalah sistem dan informasinya tersedia untuk memenuhi
kewajiban operasional dan kontraktual.
- Dua Konsep Keamanan Informasi Fundamental
1. Keamanan Merupakan Masalah Manajemen, Bukan Hanya Masalah Teknologi
3
Defense-in-depth adalah menggunakan berbagai lapisan pengendalian untuk menghindari
sebuah poin kegagalan. Sebagai contoh, banyak organisasi yang tidak hanya menggunakan
firewall, tetapi juga berbagai metode autentifikasi (kata sandi, token, dan biometrika). Untuk
membatasi akses terhadap sistem informasi mereka. Tujuan model keamanan berbasis
waktu (time-based model of security) adalah menggunakan kombinasi perlindungan preventif,
detektif, korektif yang melindungi aset informasi cukup lama agar memungkinkan organisasi
untuk mengenali bahwa sebuah serangan tengah terjadi dan mengambil langkah-langkah untuk
menggagalkannya sebelum informasi hilang atau dirusak.
Meskipun banyak ancaman keamanan informasi, seperti virus, worm, bencana alam, kegagalan
perangkat keras, dan kesalahan manusia yang sering merupakan kejadian acak (tidak diduga),
organisasi juga sering kali menjadi sasaran dari serangan yang disengaja. Untuk mengurangi
resiko gangguan sistem berikut langkah-langkah dasar yang dilakukan para penjahat untuk
menyerang sistem informasi suatu perusahaan adalah:
4
f. Menutupi jejak (cover tracks). Sebagian besar penyerang berupaya untuk menutupi jejak
mereka dan menciptakan “pintu belakang” yang dapat mereka gunakan untuk mendapatkan
akses jika serangan awal mereka diketahui dan pengendalian diimplementasikan untuk
memblok metode masuk tersebut.
COBIT 5 secara spesifik mengidentifikasi budaya dan etika organisasi sebagai salah satu dari
fasilitator kritis untuk keamanan informasi yang efektif. Untuk menciptakan sebuah budaya sadar
keamanan agar para pegawai mematuhi kebijakan keorganisasian, manajemen puncak tidak
hanya harus mengomunikasikan kebijakan keamanan organisasi, tetapi juga harus memandu
dengan mencontohkannya.
2. Orang-orang : Pelatihan
COBIT 5 mengidentifikasi kemampuan dan kompetensi pegawai sebagai sebuah fasilitator kritis
lainnya untuk keamanan informasi yang efektif. Para pegawai harus memahami cara untuk
mengikuti kebijakan keamanan organisasi. Oleh karena itu, pelatihan adalah sebuah
pengendalian preventif yang kritis.
Penting untuk memahami bahwa "orang luar" bukan satu-satunya sumber ancaman. Seorang
pegawai mungkin tidak puas karena berbagai alasan (contoh: tidak dipromosikan) dan mencoba
balas dendam, atas mungkin melakukan korupsi karena kesulitan keuangan, atau mungkin juga
memaksa untuk diberi informasi sensitif. Oleh karena itu, organisasi perlu menerapkan satu set
pengendalian yang dirancang untuk melindungi aset informasi mereka dari penggunaan dan
akses tanpa izin yang dilakukan oleh pegawai.
A. Pengendalian Auntentikasi
5
Autentikasi (authentication) adalah proses verifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem. Tujuannya untuk memastikan bahwa anya pengguna yang sah
yang dapat mengakses sistem. Tiga tanda bukti yang dapat digunakan untuk memverifikasi
identitas seseorang :
Kata sandi memungkinkan metode autentifikasi yang paling umum digunakan, dan juga
paling kontroversial. Secara individu, masing-masing metode autentifikasi memiliki
keterbatasan. Teknik-teknik identifikasi fisik (kartu, badge, USB device, dsb) bisa hilang, dicuri,
atau digandakan. Bahkan, teknik-teknik biometri belum 100% akurat, terkadang menolak
pengguna yang sah dan terkadang mengizinkan akses untuk orang-orang yang tidak sah.
Beberapa teknik biometri, seperti sidik jari membawa konotasi negatif yang mungkin
menghalangi penerimaannya.
Meskipun tidak satupun dari ketiga tanda bukti autentifikasi dengan sendirinya. Namun,
terdapat tanda bukti yang sangat mudah digunakan yaitu penggunaan dua atau tiga jenis secara
bersamaan yang disebut autentifikasi multifactor (multifactor authentication). Dalam beberapa
situasi menggunakan berbagai tanda bukti dari jenis yang sama atau yang disebut juga
autentifikasi multimodal (multimodal authentication) juga dapat meningkatkan keamanan.
B. Pengendalian Otorisasi
6
yang digunakan untuk mengimplementasikan pengendalian otorisasi. Berikut contoh matriks
pengendalian akses:
Kemudian, ketika seorang pegawai berusaha mengakses sumber daya sistem informasi tertentu,
sistem akan melakukan sebuah uji kompatibilitas. Uji kompabilitas (compability test) adalah
mencocokkan tanda bukti autentikasi pengguna terhadap matriks pengendalian akses untuk
menentukan sebaiknya pegawai diizinkan atau tidak untuk mengakses sumber daya dan
melakukan tindakan yang diminta.
7
SOLUSI TI: PENGENDALIAN AKSES JARINGAN
Sebagian besar organisasi menyediakan para pegawai, pelanggan, dan pemasok dengan akses
jarak jauh terhadap sistem informasi mereka. Biasanya, akses ini dilakukan melalui internet,
tetapi beberapa organisasi masih mengelola jaringan hak milik mereka sendiri atau menyediakan
akses dial-up langsung melalui modem.
Border router adalah sebuah perangkat yang menghubungkan sistem informasi organisasi ke
internet. Dibalik border router terdapay firewall utama. Firewall adalah sebuah perangkat keras
yang bertujuan khusus atau perangkat lunak yang bekerja pada sebuah komputer bertujuan
umum yang mengendalikan baik komunikasi masuk maupun keluar antara sistem di
balik firewall dan jaringan lainnya. Demilitarized zone (DMZ) adalah sebuah jaringan terpisah
yang berada di luar sistem informasi internal organisasi serta mengizinkan akses yang
dikendalikan dari internet. Secara bersamaan, border router, firewall bertindak sebagai
penyaring untuk mengendalikan informasi apa yang diizinkan untuk masuk dan keluar dari
sistem informasi organisasi.
- Bagaimana Arus Informasi Pada Jaringan: Tinjauan Menyeluruh TCP/IP dan Ethernet
8
Router adalah perangkat bertujuan khusus yang didesain untuk membaca bagian alamat sumber
dan tujuan pada header paket IP untuk memutuskan selanjutnya akan mengirim (rute) paket ke
mana.
Organisasi memiliki satu border router atau lebih yang menghubungkan jaringan internal
mereka ke penyedia layanan internet. Border router dan firewall utama organisasi menggunakan
seperangkat aturan IF-THEN, disebut access control list (ACL). Access Control
List (ACL): seperangkat aturan IF-THEN yang digunakan untuk menentukan tindakan untuk
paket yang tiba.
Selanjutnya dilakukan deep packer inspection. Deep packer inspection adalah sebuah proses
yang memeriksa data fisik sebuah paket TCP untuk mengendalikan lalu lintas, bukan hanya
melihat informasi pada header IP dan TCP.
Pada saat router dan firewall memeriksa paket individu, sistem pencegah gangguan yang
digunakan. Sistem pencegah gangguan (instrusion prevention- IPS) adalah perangkat lunak atau
9
perangkat keras yang mengawasi pola-pola dalam arus lalu-lintas untuk mengidentifikasi dan
mengeblok serangan secara otomatis.
- Mengamankan Koneksi DIAL-UP
Remote Authentication Dial-in User Servise (RADIUS) adalah sebuah metode standar untuk
memverifikasi identitas pengguna yang berupaya untuk terhubung melalui akses dial-in. Para
pengguna dial-in terhubung ke sebuah server akses jarak jauh dan memasukkan tanda bukti log-
in mereka.
War dialing adalah mencari sebuah modem menganggur dengan memprogram sebuah
kompuer untuk memanggil ribuan lini telepon.
Prosedur-prosedur yang perlu diikuti untuk mengamankan akses nirkabel secara memadai
adalah sebagai berikut :
10
Menggunakan nama yang noninformatif sebagai alamat titik akases yang disebut
dengan service set identifier (SSID).
Mengurangi kekuatan publikasi dari titik akses nirkabel, menempatkannya pada interior
gedung, dan menggunakan antena pengarahan untuk membuat penerimaan lokal tana izin
menjadi lebih sulit.
Mengenkripsi seluruh lalu lintas nirkabel.
Endpoint adalah istilah kolektif untuk stasiun kerja, server, printer, dan perangkat lain yang
meliputi jaringan organisasi. Tiga area yang berhak mendapatkan perhatian lebih :
- Konfigurasi Endpoint
Kerentanan (vulnerabilities) adalah cacat pada program yang dapat dimanfaatkan baik untuk
merusak sistem maupun mengambil kendalinya.
11
Enkripsi memberikan sebuah lapisan pertahanan terakhir untuk mencegah akses tanpa izin
terhadap informasi sensitif.
Sudah menjadi hal mendasar untuk mengendalikan akses fisik terhadap sumber daya informasi
karena seorang penyerang yang ahli hanya membutuhkan beberapa menit untuk akses fisik
langsung tanpa pengawasan untuk menembus pengendalian keamanan informasi yang ada.
12
2.3 Pengendalian Korektif
COMPUTER INCIDENT RESPONSE TEAM (CIRT)
Intrusion detection system (IDS): sebuah sistem yang menghasilkan sejumlah log dari seluruh
lalu lintas jaringan yang diizinkan untuk melewati firewall kemudian menganalisis log-log
tersebut sebgai tanda atas gangguan yang diupayakan atau berhasil dilakukan.
- Pengujian Penetrasi
PENGAWASAN BERKELANJUTAN
- Manajemen Patch
13
Exploit: sebuah program yang didesain untuk memanfaatkan dari kerentanan yang diketahui.
Patch: kode yang dirilis oleh pengembang perangkat lunak untuk memperbaiki kerentanan
tertentu.
Manajemen patch (patch management): proses untuk secara teratur menerapkan patch dan
memperbarui perangkat lunak.
2.5 Implikasi Keamanan Virtualisasi Dan Cloud
Virtualisasi (virtualization): menjalankan berbagai sistem secara bersamaan pada satu komputer
fisik.
Komputasi Cloud (cloud computing): menggunakan sebuah browser untuk mengakses perangkat
lunak, penyimpanan data, perangkat keras, dan aplikasi dari jarak jauh.
14
BAB III
PENUTUP
3.1 Kesimpulan
Berdasarkan paparan yang terdapat dalam pembahasan, maka penulis dapat
menyimpulkan isi dari makalah ini adalah sebagai berikut:
1. Sistem informasi merupakan data yang dikumpulkan, dikelompokkan dan diolah
sedemikian rupa sehingga menjadi sebuah satu kesatuan informasi yang berharga yang
dalam menampilkannya menggunakan berbagai media, informasi tersebut digunakan
dalam kegiatan strategi dari suatu organisasi atau perusahaan untuk dapat menyediakan
kepada pihak luar tertentu dalam bentuk informasi berupa laporan – laporan yang
diperlukan. Keamanan informasi (information security) digunakan untuk
mendeskripsikan perlindungan baik peralatan komputer dan non komputer dan non
komputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak
berwenang .
2. Pengendalian sistem merupakan pengendalian yang secara khusus dipasangkan pada
aplikasi tertentu atau suatu subsistem tertentu. Bertujuan untuk mencegah akses oleh
pengguna atau aplikasi yang dapat mengakibatkan penggunaan tak terkendali ataupun
merugikan sistem operasi atau arsip data, mengendalikan pengguna yang satu dari
pengguna lainnya agar seorang pengguna tidak dapat menghancurkan atau mengkorupsi
program atau data pengguna lainnya, mencegah arsip-arsip atau program seorang
pengguna dirusak oleh program lainnya yang digunakan oleh pengguna yang sama,
mencegah sistem operasi dari bencana yang disebabkan oleh kejadian eksternal, seperti
kerusakan pada pembangkit listrik.
3. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen
keamanan informasi (information security management – ISM ), sedangkan aktivitas
untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah
adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity
management – BCM). Istilah manajemen risiko (risk management) dibuat untuk
15
menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi
perusahaan dibandingkan dengan risiko yang dihadapinya.
Ancaman keamanan sistem informasi adalah orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi
perusahaan.Ancaman itu terdiri dari ancaman internal dan eksternal . Untuk mengendalikan
Ancaman serta risiko keamanan informasi itu dapat dilakukan dengan berbagai pengendalian
yaitu: pengendalian teknis, kriptografis, fisik, formal dan informal.
3.2 Saran
Sebaiknya para pengguna menggunakan strategi - strategi dari keamanan informasi untuk
mengamankan informasinya yang penting supaya dapat mencegah akses oleh pengguna atau
aplikasi yang dapat mengakibatkan penggunaan tak terkendali ataupun merugikan sistem operasi
atau arsip data, mencegah arsip-arsip atau program seorang pengguna dirusak oleh program
lainnya yang digunakan oleh pengguna yang sama, dll. Serta diharapkan menggunakan metode -
metode keamanan Informasi seperti keamanan password, dll.
16
DAFTAR PUSTAKA
Romney, Marshall B. dan Paul John Steinbart. 2015. Sistem Informasi Akuntansi Edisi 13.
Jakarta: Salemba Empat
http://betajati.blogspot.com/2018/10/pengendalian-untuk-keamanan-informasi.html
http://43217110334.blog.mercubuana.ac.id/2018/11/26/keamanan-informasi/
17