ATASI ANCAMAN TERHADAP INFORMASI DENGAN KONTROL

KEAMANAN INFORMASI

Ahmad Rafli, Albertus L. Wisastra, Amaganza Engwy, Fadly Ilmihadiyat, Samuel Xiao

Jurusan Sistem Informasi, Fakultas Sistem Informasi, Universitas Bina Nusantara, Jalan Jalur
Sutera Barat Kav. 21, Alam Sutera, Tangerang, Banten 15143

Abstrak

Sistem Informasi (SI) adalah sistem yang mengumpulkan, mengolah, menyimpan, dan mendistribusikan
informasi. Informasi merupakan aset yang berharga karena merupakan salah satu sumber daya strategis dalam
meningkatkan nilai usaha dan kepercayaan publik. Akan tetapi, karena sistem ini berisi data sensitif, sistem
informasi menjadi sasaran utama ancaman, baik yang disengaja maupun yang tidak disengaja. Kasus-kasus
kejahatan siber terjadi karena keamanan informasi masih sangat kurang. Oleh karena itu keamanan informasi
harus ditingkatkan agar tidak terjadi hal yang merugikan. Keamanan informasi merupakan perlindungan
informasi dari ancaman yang mungkin terjadi dalam upaya menjamin kelangsungan bisnis, untuk mengurangi
tingkat risiko dan mempercepat atau memaksimalkan pengambilan keputusan bisnis. Dalam artikel ini kami
menggunakan metode penelitian deskriptif dan teknik pengumpulan data yang digunakan adalah studi
pustaka/dokumen. Ancaman terhadap SI adalah setiap hal yang dapat menyebabkan sistem terpapar bahaya,
kerugian, atau kerusakan. Jenis utama dari ancaman  adalah ancaman yang tidak disengaja dan ancaman yang
disengaja. Kontrol keamanan informasi dibagi menjadi tiga jenis, yaitu pengendalian fisik, pengendalian akses,
dan pengendalian jaringan. Kami harap dengan adanya artikel ini,  perusahaan dapat mengerti betapa pentingnya
keamanan informasi mereka.

OVERCOME THREATS TO INFORMATION WITH INFORMATION SECURITY

CONTROL

Abstract
Information System (SI) is a system that collects, processes, stores, and distributes information. Information is a
valuable asset because it is a strategic resource in increasing business value and public trust. However, because
these systems contain sensitive data, information systems are the main target of threats, both intentional and
unintentional. Cyber crime cases occur because information security is still lacking. Therefore, information
security must be improved so that there is no harm. Information security is the protection of information from
threats that may occur in an effort to ensure business continuity, to reduce risk levels and accelerate or maximize
business decision making. In this article we use descriptive research methods and the data collection technique
used is literature / document studies. A threat to IS is anything that can expose the system to harm, loss or
damage. The main types of threats are accidental threats and intentional threats. Information security controls
are divided into three types, namely physical control, access control and network control. We hope that with this
article, companies can understand how important the security of their information is.

Keywords : control, information, security, threat

Pendahuluan

Teknologi pada zaman sekarang sudah semakin maju dan salah satunya adalah sistem
informasi(SI) yang mempermudah dan membantu baik untuk perorangan maupun perusahaan
dalam bekerja dan beraktivitas sehari-hari. Sistem informasi adalah serangkaian prosedur
dalam mengambil, mengolah, menyimpan, dan mendistribusikan informasi. SI dapat
menghasilkan real-time data akurat yang berguna bagi perusahaan saat mengambil keputusan
demi keberlangsungan kegiatan bisnis perusahaan. SI juga dapat membantu perusahaan
memangkas biaya, meningkatkan komunikasi, membangun reputasi, dan membuat produk
yang lebih inovatif dan menarik. Akan tetapi, semakin banyak yang memakai dan
mengandalkan teknologi ini, semakin besar pula bahaya dan ancaman terhadap teknologi ini.
Banyak perusahaan menggunakan sistem informasi yang rentan terhadap berbagai macam
ancaman.

Ancaman terhadap SI adalah setiap hal yang dapat menyebabkan sistem terpapar bahaya,
kerugian, atau kerusakan. Sementara itu, kerentanan SI adalah kemungkinan bahwa suatu
ancaman akan merusak sistem itu. Pada pertengahan Mei 2017, terjadi penyerangan pada
sistem Equifax. Equifax (www.equifax.com) adalah biro kredit yang mengumpulkan data
lebih dari 820 juta individu di seluruh dunia. Para penyerang menyerang perangkat lunak web
Equifax yang terdapat kerentanan. Penyerang tersebut memperoleh nama, nomor KTP,
tanggal lahir, alamat, dan nomor SIM dari hampir 146 juta orang. Hal ini dapat terjadi karena
keamanan informasi yang lemah yang disebabkan oleh banyak perusahaan tidak tahu betapa
pentingnya keamanan informasi mereka. Keamanan Informasi bertujuan untuk menjaga
kerahasiaan data, memastikan ketersediaan informasi, dan menciptakan integritas karyawan.
Oleh karena itu, diperlukan tindakan yang tepat untuk meningkatkan keamanan informasi
mereka dan melawan kejahatan-kejahatan siber terhadap informasi perusahaan.

Tinjuan Teoretis

Ancaman informasi pada dasarnya dibagi menjadi dua, ancaman yang disengaja dan ancaman
yang tak disengaja. Ancaman yang disengaja adalah tindakan yang dilakukan oleh orang tak
berwenang untuk mengakses informasi yang dapat merugikan perusahaan. Sementara itu,
ancaman yang tidak disengaja adalah tindakan yang dilakukan tanpa niat jahat yang dapat
menjadi ancaman serius bagi keamanan informasi jika dibiarkan. Untuk melindungi sistem
informasi mereka, diperlukan perlindungan terhadap sistem informasi itu. Keamanan
merupakan perlindungan terhadap aktivitas kriminal, bahaya, kerusakan, atau kerugian.
Dengan demikian, keamanan informasi adalah kebijakan yang dirancang untuk melindungi SI
dan data perusahaan dari akses, penggunaan, modifikasi, atau penghancuran yang tidak sah.

Metode Penelitian

Semakin maju dan modern teknologi, semakin marak kejahatan siber yang mengancam
keamanan informasi perusahaan. Keamanan informasi sangat perlu ditingkatkan untuk
melindungi informasi perusahaan. Karya Ilmiah ini menggunakan metode deskriptif, yang
berarti memberikan uraian tentang ancaman informasi dan kontrol keamanan sejelas
mungkin. Kemudian, teknik pengumpulan data yang digunakan penelitian ini adalah studi
pustaka/dokumen, yaitu mengumpulkan data dari buku, artikel ilmiah, berita, maupun sumber
kredibel lainnya yang terkait dengan topik penelitian. Sementara itu, data yang dikumpulkan
berupa data sekunder, yang berarti data tersebut telah didapatkan oleh peneliti lain
sebelumnya.

Hasil Penelitian

Ancaman terhadap informasi terdapat berbagai macam, seperti spionase, kesalahan manusia,
sabotase, serangan perangkat lunak, dll. Keamanan informasi perlu ditingkatkan untuk
melindungi aset informasi perusahaan dari berbagai macam ancaman ini. Dalam serangan
perangkat lunak, jenis yang paling umum adalah malware. Malware banyak terpasang di
berbagai perangkat karena banyak orang yang kurang tahu dan kurang sadar atas kredibilistas
aplikasi yang mereka pasang.
Oleh karena itu, perusahaan menerapkan kontrol, atau mekanisme pertahanan. Kontrol
keamanan informasi adalah kebijakan yang dirancang untuk melindungi semua komponen
sistem informasi, seperti data, perangkat lunak, perangkat keras, dan jaringan. Kontrol
berfungsi untuk mencegah ancaman baik yang tidak disengaja maupun yang disengaja,
mendeteksi masalah sedini mungkin, dan memperbaiki masalah. Terdapat tiga jenis
pengendalian utama: kontrol fisik, kontrol akses, dan kontrol jaringan. Salah satu jenis
kontrol jaringan adalah VPN (virtual private network) yang banyak orang gunakan karena
dapat mengamankan perpindahan data karena data tersebut di-enkripsi sehingga data tersebut
aman.
Pembahasan

A. Ancaman yang tidak disengaja

Jenis utama dari ancaman yang tidak disengaja adalah rekayasa sosial dan kesalahan
manusia.

1. Social engineering (rekayasa sosial) adalah serangan di mana pelaku menggunakan

keterampilan sosial untuk mengelabui atau memanipulasi karyawan yang berwenang
agar memberikan informasi rahasia perusahaan. Contoh paling umum dari manipulasi
psikologis terjadi ketika penyerang menyamar sebagai karyawan yang sah di telepon
dan mengaku ia lupa kata sandi untuk meminta kata sandi yang asli. Tipuan umum
lainnya termasuk menyamar sebagai pembasmi hama, teknisi AC, atau petugas
pemadam kebakaran. Banyak contoh kejadian manipulasi psikologis di dunia ini. Dua
teknik utama rekayasa sosial adalah mengekor dan memata-matai.
a. Tailgating (mengekor) adalah teknik yang memungkinkan pelaku memasuki
area terbatas. Pelaku mengikuti dari belakang karyawan yang berwenang dan
ketika karyawan tersebut masuk, penyerang meminta dia untuk "menahan
pintu" agar pelaku dapat masuk ke area yang terbatas itu.
b. Shoulder surfing (memata-matai) adalah kegiatan di mana pelaku mengintip
karyawan membuka informasi-informasi penting. Teknik ini sangat berhasil di
tempat umum, seperti di kereta dan pesawat terbang.

2. Human error (Kesalahan manusia) menimbulkan masalah serius bagi perusahaan.

Kesalahan ini biasanya disebabkan oleh kemalasan, kecerobohan, atau kurangnya
kesadaran tentang keamanan informasi. Tambahan pula, semakin tinggi level
karyawan, semakin besar akses mereka ke data perusahaan, dan semakin besar pula
ancaman yang ditimbulkannya terhadap keamanan informasi. Kemudian, karyawan
yang bekerja di bagian sumber daya manusia dan sistem informasi merupakan
ancaman yang sangat signifikan terhadap keamanan informasi. Karyawan SDM
pastinya memiliki akses ke informasi pribadi semua karyawan. Sedangkan, karyawan
IS tidak hanya memiliki akses ke data sensitif, tetapi juga membuat, menyimpan,
mengirimkan, dan memodifikasi data tersebut.

B. Ancaman yang disengaja

Ada banyak jenis ancaman yang disengaja terhadap sistem informasi. Tetapi, jenis ancaman
yang paling umum adalah spionase, pemerasan informasi, sabotase atau vandalisme,
pencurian peralatan atau informasi, pencurian identitas, serangan perangkat lunak, perangkat
lunak asing, cyberterrorism dan cyberwarfare.

1. Spionase dapat terjadi ketika individu yang tidak berwenang mencoba untuk
mendapatkan akses ilegal ke informasi organisasi. Tapi jangan menyamakan intelijen
kompetitif dengan spionase bisnis. Intelijen kompetitif terdiri dari teknik pengumpulan
informasi secara hukum, seperti mempelajari situs web perusahaan dan siaran pers,
menghadiri pameran dagang, dan tindakan serupa. Sebaliknya, spionase industri
melintasi batas hukum.

2. Pemerasan informasi dapat terjadi ketika penyerang mengancam untuk mencuri atau
benar-benar mencuri informasi dari perusahaan. Pelaku menuntut pembayaran untuk
tidak mencuri informasi atau untuk mengembalikan informasi yang dicuri, atau juga
untuk setuju untuk tidak mengungkapkan informasi tersebut.

3. Sabotase atau Vandalisme adalah tindakan sengaja yang melibatkan perusakan

perangkat perusahaan yang berpotensi merusak citra perusahaan dan menyebabkan
hilangnya kepercayaan pelanggan. Misalnya, akun Twitter-nya berita Arab, Al Jazeera,
yang berbahasa Inggris menjadi sasaran peretasan. Associated Press melaporkan bahwa
pendukung Presiden Suriah, Bashar Al Assad, menggunakan akun tersebut untuk men-
tweet tautan dan pesan pro-Assad.

4. Pencurian Peralatan atau Informasi terjadi karena perangkat penyimpanan zaman

sekarang menjadi lebih kecil namun penyimpanannya sangat meningkat. Contoh
umumnya adalah laptop, iPad, ponsel pintar, kamera digital, dll. Akibatnya, perangkat
ini menjadi lebih mudah untuk dicuri dan digunakan oleh penyerang untuk mengakses
informasi. Sesungguhnya, tidak semua serangan terhadap organisasi melibatkan
perangkat yang canggih. Salah satu jenis kesalahan manusia adalah kecerobohan
dengan laptop dan komputer kecil lainnya, seperti tablet yang dicuri karena
kecerobohan tersebut. Salah satu bentuk pencurian yang umum adalah Menyelam Bak
Sampah (dumpster diving).
Dumpster diving adalah kegiatan menggeledah sampah rumah atau kantor untuk
menemukan informasi yang dibuang. Berkas kertas, surat, memo, foto, ID, kata sandi,
kartu kredit, dan bentuk informasi lainnya dapat ditemukan di tempat sampah.
 Sayangnya, banyak orang yang tidak pernah menganggap bahwa barang sensitif yang
mereka buang ke tempat sampah dapat ditemukan kembali. Ketika informasi ini
dipulihkan, itu dapat digunakan untuk tujuan penipuan.

5. Pencurian identitas adalah pengakuan yang disengaja atas identitas orang lain agar
mendapatkan akses ke informasi pribadinya atau untuk menjebaknya atas suatu
kejahatan. Teknik untuk mendapatkan informasi pribadi secara ilegal adalah mencuri
surat, mencuri informasi pribadi di komputer, menyusup ke organisasi yang
menyimpan informasi pribadi dalam jumlah besar, meniru organisasi tepercaya dalam
komunikasi elektronik (phishing)
Phising(pengelabuan) adalah suatu metode kejahatan dunia maya di mana korban
dihubungi melalui alat komunikasi, seperti e-mail, oleh pelaku yang menyamar sebagai
lembaga yang sah untuk meminta data sensitif korban. Di dalam e-mail tersebut
biasanya akan terdapat sebuah tautan ke halaman palsu yang tampilannya dibuat persis
dengan situs web yang asli untuk menjebak korban tersebut. Informasi tersebut
kemudian digunakan untuk mengakses akun-akun penting dan dapat mengakibatkan
pencurian identitas dan kerugian finansial.

6. Serangan perangkat lunak terjadi ketika penyerang menggunakan perangkat lunak

berbahaya — disebut malware — untuk menginfeksi sebanyak mungkin komputer di
seluruh dunia, hingga serangan berbasis web yang digerakkan oleh keuntungan saat ini.
Penjahat dunia maya modern menggunakan malware yang canggih, biasanya melalui
web, untuk menghasilkan uang. Serangan ini sederhananya dikelompokkan ke dalam
tiga kategori: serangan yang memerlukan tindakan pengguna, serangan yang tidak
memerlukan tindakan pengguna, dan serangan oleh programmer yang mengembangkan
sistem

a. Serangan yang memerlukan tindakan langsung pengguna adalah virus, worm, dan
ransomware. Virus komputer merupakan program komputer yang dapat
bersembunyi dengan menyisipkan dirinya ke dalam program atau dokumen lain..
Virus komputer dapat merusak data pada komputer yang tersisipi. Cacing
komputer (worm) adalah sebuah program komputer yang dapat menggandakan
dirinya sendiri dalam sistem komputer. worm memanfaatkan celah keamanaan
yang memang terbuka atau lebih dikenal dengan sebutan vulnerability. Hanya ada
 satu cara untuk mengatasi worm yaitu dengan menutup celah keamanan yang
terbuka tersebut. Ransomware, atau pemerasan digital, memblokir akses pengguna
yang sah ke sistem komputer kecuali perusahaan membayar sejumlah uang.
b. Serangan yang tidak memerlukan tindakan langsung pengguna adalah denial-of-
service(DoS) dan distributed denial-of-service(DdoS). Serangan DoS terjadi saat
penyerang mengirimkan banyak permintaan akses ke sistem komputer target
sehingga target tidak dapat menanganinya dengan sukses dan biasanya crash
(berhenti berfungsi). Kemudian, serangan DdoS terjadi saat penyerang mengambil
alih banyak komputer, biasanya dengan menggunakan malware. Kemudian,
penyerang menggunakan komputer ini untuk mengirimkan aliran permintaan akses
yang terkoordinasi ke komputer target, yang menyebabkannya crash.
c. Serangan oleh programmer yang mengembangkan sistem adalah trojan horse,
logic bomb, dan back door. Trojan adalah perangkat lunak yang bersembunyi di
program komputer lain dan muncul hanya jika diaktifkan. Virus Logic bomb adalah
kode komputer yang tertanam dalam program komputer yang sudah ada dan akan
aktif dan melakukan tindakan destruktif pada waktu yang ditentukan. Back door
adalah kode komputer yang memungkinkan penyerang untuk mengakses sistem
komputer tanpa harus melalui sistem keamanan apa pun

7. Perangkat lunak asing, atau pestware adalah perangkat lunak rahasia yang diapasang
pada komputer Anda melalui metode duplikat. Perangkat lunak ini menggunakan
sumber daya sistem yang berharga. Perangkat ini juga dapat memungkinkan pihak lain
untuk melacak kebiasaan berselancar Web Anda dan perilaku pribadi lainnya. Sebagian
besar pestware adalah adware — perangkat lunak yang menyebabkan iklan pop-up
muncul di layar Anda. Ada pula spyware, perangkat lunak yang mengumpulkan
informasi pribadi tentang pengguna tanpa persetujuan pengguna.

8. Cyberterrorism dan cyberwarfare merujuk pada tindakan berbahaya yang di mana

penyerang menggunakan sistem komputer target, terutama melalui Internet, untuk
menyebabkan kerusakan fisik, dunia nyata, atau gangguan parah, seringkali untuk
melaksanakan agenda politik. Serangan ke Arab Saudi adalah contoh perang dunia
maya.
C. Kontrol Fisik

Mencegah individu yang tidak berwenang memasuki dan menggunakan fasilitas perusahaan.
Seperti pintu, pagar, gerbang, gembok, penjaga, dan alarm. Tambahan pula, sensor tekanan,
sensor suhu, dan pendeteksi gerakan, dll.

Organisasi juga dapat menerapkan pengendalian yang membatasi jumlah upaya masuk ke
komputer yang tidak berhasil, atau mengatur komputer untuk mati secara otomatis jika
komputer tidak digunakan setelah waktu yang lama.

Namun salah satu kekurangan dari pengendalian fisik adalah dapat membuat karyawan
merasa tidak nyaman. Penjaga merupakan pekerjaan yang sulit karena merupakan pekerjaan
yang membosankan, repetitif dan dapat memperlambat kinerjanya jika diganggu oleh
karyawan lain.

D. Kontrol Akses

Membatasi orang yang tidak berwenang mengakses data perusahaan. Pengendalian ini terdiri
dari otentikasi dan otorisasi. Otentikasi mengkonfirmasi identitas orang yang mengakses
informasi, sedangkan otorisasi menentukan hak istimewa yang dimiliki orang tersebut.

a. Autentikasi

Mengidentifikasi apakah seseorang adalah karyawan yang berwenang atau tidak.

Organisasi biasanya menggunakan biometrik, kartu ID dan/atau kata sandi. Biometrik
adalah metode otentikasi yang dapat memeriksa karakteristik fisik bawaan seseorang.
Teknologi biometrik dapat dibagi menjadi dua kategori: aktif dan pasif.

Metode aktif biometrik mengharuskan pengguna aktif secara fisik dalam mengikuti
proses verifikasi, seperti meletakkan jari, mata, atau wajah di dekat pemindai.
Sedangkan metode biometrik pasif mampu mengidentifikasi seseorang tanpa
partisipasi aktif. Misalnya pengenalan suara dan identifikasi perilaku. Aplikasi dapat
pula mengidentifikasi perilaku pengguna, seperti ritme pengetikan dan pola gesek
yang dapat menjadi autentikasi tambahan.
 Kartu ID dan token juga digunakan untuk otentikasi. Kartu ID biasanya memiliki foto,
tanda tangan pemiliknya, dan biasanya memiliki chip yang menyimpan informasi
lengkap pemilik. Kemudian, token menampilkan nomor login untuk mengakses
jaringan organisasi. nomor login berubah setiap nomor login sebelumnya sudah
dipakai.

Dan otentikasi yang paling umum adalah kata sandi. Kata sandi harus diingat dan
memiliki rangkaian karakter yang kompleks agar lebih sulit ditebak. Tapi masih
mudah untuk baik diretas maupun dilupakan. Jadi, sangat disarankan untuk
menggunakan frasa sandi alih-alih kata sandi. Frasa sandi lebih panjang dari kata
sandi tetapi lebih mudah diingat dan lebih sulit dipecahkan daripada kata sandi biasa
karena lebih panjang. Misalnya, "selamatdatang", "iwillmaketwoburgers", dll

b. Otorisasi

Setelah pengguna diautentikasi, hak istimewa yang mereka miliki di sistem organisasi
akan ditentukan dalam tahap yang disebut otorisasi. Hak istimewa adalah operasi
sistem yang diizinkan untuk digunakan oleh pengguna. Pengguna biasanya diberikan
hak istimewa hanya untuk hal-hal yang diperlukan untuk melakukan aktivitas penting
dan menurut tingkatan pergawai dalam perusahaan.

E. Kontrol Komunikasi

Kontrol komunikasi juga disebut kontrol jaringan. Pengendalian ini mengamankan data yang
terdapat di jaringan. Contoh kontrol komunikasi dapat berupa firewall, anti-malware,
enkripsi, jaringan pribadi virtual (VPN), Transport Layer Security (TLS), Whitelisting &
Blacklisting, dll.

a. Firewall

Adalah sistem yang mencegah informasi tertentu memasuki jaringan tidak tepercaya
dan mencegah pengguna internet yang tidak sah memasuki jaringan pribadi. Semua
informasi yang masuk dan keluar dari jaringan perusahaan melewati firewall.
Firewall memeriksa setiap hal dan memblokir yang tidak memenuhi aturan
keamanan.

b. Anti-malware
Disebut juga antivirus, adalah perangkat lunak yang mengidentifikasi dan menghapus
virus dan malware. Jika firewall memfilter lalu lintas jaringan menurut aktivitas yang
menyebabkan masalah, maka anti-malware memfilter lalu lintas sesuai dengan data
ancaman. Anti-malware akan membuat tanda untuk setiap malware yang berbeda dan
memperbarui tanda pada produk mereka, kemudian memeriksa perangkat lunak yang
mencurigakan untuk menemukan tanda-tanda yang dikenal. Jika cocok, perangkat
lunak akan dihapus.

c. Enkripsi

Adalah mengonversi pesan asli ke dalam bentuk yang tidak dapat dibaca oleh siapa
pun kecuali penerima yang dituju. Perusahaan dengan saluran yang tidak aman
menggunakan enkripsi untuk menghentikan penyadap. Semua sistem enkripsi
menggunakan kunci(key), yaitu kode yang mengacak dan kemudian menerjemahkan
pesan tersebut. Mayoritas sistem enkripsi menggunakan kunci publik (kunci untuk
mengunci pesan) dan kunci privat (kunci untuk membuka pesan). Kunci publik dan
kunci privat dihasilkan secara bersamaan menggunakan algoritma yang sama
sehingga data yang di-enkripsi dengan satu kunci dapat di-dekripsi menggunakan
kunci lain.

d. Jaringan pribadi virtual (VPN)

Adalah jaringan pribadi yang menggunakan jaringan publik untuk menghubungkan

pengguna. VPN disebut virtual karena tidak memiliki keberadaan fisik yang terpisah.
Mereka menggunakan internet publik sebagai infrastruktur mereka. Untuk
menyediakan transmisi yang aman, VPN menggunakan proses yang disebut
tunneling.

Tunneling meng-enkripsi setiap paket data yang akan dikirim dan menempatkan
setiap paket yang di-enkripsi di paket lain. Dengan cara ini, paket dapat melakukan
perjalanan di internet dengan rahasia, ter-autentikasi, dan secara utuh

e. Transport Layer Security (TLS)

Sebelumnya disebut Secure Sockets Layer (SSL), adalah standar enkripsi yang
digunakan untuk transaksi aman seperti pembelian kartu kredit dan perbankan daring.
TLS meng-enkripsi dan men-dekripsi data antara server web dan peramban dari ujung
ke ujung. TLS ditunjukkan dengan URL yang diawali dengan "https" dan
 menampilkan simbol gembok di samping bilah URL peramban untuk menunjukkan
koneksi yang aman. TLS dapat memiliki simbol berbeda di browser lain, seperti kunci
utuh, dll.

f. Whitelisting & Blacklisting.

Sebuah laporan oleh Yankee Group (www.yankeegroup.com), menyatakan bahwa

99% organisasi telah memasang sistem anti-malware tetapi 62% dari organisasi
tersebut masih mengalami serangan malware . Salah satu solusi untuk masalah ini
adalah whitelisting & blacklisting.

Whitelisting adalah proses di mana perusahaan memperbolehkan perangkat lunak

berjalan di komputernya. Whitelisting dapat pula mencegah perangkat lunak lain
untuk berjalan atau mengizinkan perangkat lunak lain hanya berjalan di lingkungan
yang dikarantina sehingga perusahaan dapat memverifikasi validitasnya.

Jika whitelisting tidak memungkinkan perangkat apa pun untuk berjalan kecuali ada
di whitelist, maka blacklisting memungkinkan semuanya berjalan kecuali ada di
blacklist. Blacklisting mencakup perangkat lunak yang tidak diperbolehkan berjalan di
lingkungan perusahaan. Selain perangkat lunak, orang, perangkat, dan situs web juga
dapat dimasukkan ke dalam daftar putih dan daftar hitam.

Kesimpulan

1. Sistem informasi sangat berguna karena dapat menghasilkan real-time data akurat yang
berguna bagi perusahaan saat mengambil keputusan demi keberlangsungan kegiatan bisnis
perusahaan
2. Ancaman terhadap SI adalah setiap hal yang dapat menyebabkan sistem terpapar bahaya,
kerugian, atau kerusakan. Sementara itu, kerentanan SI adalah kemungkinan bahwa suatu
ancaman akan merusak sistem itu
3. Keamanan sebuah sistem informasi harus diutamakan karena keamanan sistem informasi
akan memberi rasa aman terhadap pengguna.
4. Aktivitas yang dapat menjadi ancaman terhadap informasi dicegah, paling tidak dikurangi,
dengan kontrol keamanan informasi
5. Kontrol keamanan terdiri dari kontrol fisik, kontrol akses, dan kontrol jaringan yang
masing-masing memiliki bidang tersendiri.

Saran

Berdasarkan kesimpulan di atas, sistem informasi dan kontrol keamanan harus saling bekerja
sama untuk meningkatkan keamanan informasi demi keselamatan informasi baik data pribadi
kayawan maupun data rahasia perusahaan agar tidak bisa diakses oleh pihak-pihak yang tidak
bertanggung jawab. Perusahaan perlu mengetahui bertapa pentingnya informasi dan
keamannya demi keberlangsungan hidup perusahaan dan bagian-bagian di dalamnya.
Perusahaan juga harus melakukan penilaian resiko dan melaksanakan operasional keamanan
informasi sesuai dengan kebijakan yang telah dibuat agar mendapatkan sistem informasi dan
keamanan informasi yang optimal.

Daftar Referensi

 Rainer, R. K., Prince, B. 2019. Introduction to Information Systems. 8th Edition. New
Jersey: Wiley
 Reymond, MC Leod. 2009. Sistem Informasi Manajemen. Salemba Empat.
http://megyanggraini.blogspot.com/2013/07/sistem-informasi-manajemen-
keamanan.html. (Diakses tanggal 15 Januari 2021)
 Puwanto, Eko. 2014. Keamanan Informasi.
https://bpptik.kominfo.go.id/2014/03/24/404/keamanan-informasi/. (Diakses tanggal 17
Januari 2021)
 Dyade, Antosh. 2019. Understand and apply concepts of confidentiality, integrity and
availability. https://cissp.antosh.in/2019/04/11-understand-and-apply-concepts-of.html.
(Diakses tanggal 16 Januari 2021)
 Romney, Marshall B, Paul J. Steinbart. 2018. Accounting Information Systems. 14th
Edition. London: Pearson
 Anthony, James. 2021. VPN Statistics: 2021/2022 Analysis of Trends, Data and Market
Share. https://financesonline.com/30-key-vpn-statistics-2019-analysis-of-trends-data-
and-market-share/. (Diakses tanggal 14 Januari 2021)