TUGAS SISTEM INFORMASI MANAJEMEN

KEAMANAN INFORMASI (STUDI KASUS BANK BCA)

DOSEN

Yananto Mihadi Putra, SE, M.Si

DISUSUN OLEH

Rani Arizah Rabbani ( 43218010081 )

UNIVERSITAS MERCU BUANA

FAKULTAS EKONOMI DAN BISNIS

AKUNTANSI

2018/2019
 ABSTRAK

Sangat pentingnya nilai sebuah informasi menyebabkan sering kali informasi

diinginkan hanyaboleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak
lain (misalnya pihaklawanbisnis)dapatmenimbulkankerugian bagi
pemilikinformasi.Sebagaicontoh, banyakinformasi dalam sebuah perusahaan yang
diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaantersebut, seperti
misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan
teknik-teknik yang digunakan untuk menghasilkan produktersebut.Untuk itu keamanan dari
sistem informasi yang digunakan harus terjamin dalam batasyang dapat
diterima.Keamananinformasi menggambarkan usahauntukmelindungikomputer
dannonperalatankomputer, fasilitas,data,daninformasidaripenyalahgunaan oleh orang yang
tidakbertanggungjawab.Keamanan informasi dimaksudkan untuk mencapai kerahasiaan,
ketersediaan,danintegritas didalamsumber daya informasidalam suatuperusahaan.
 PENDAHULUAN

LATAR BELAKANG
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi.
Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik
dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau
bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu
performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan. Makalah ini
diharapkan dapat memberikan gambaran dan informasi tentang keamanan sistem informasi.
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting.Bahkan ada
yangmengatakan bahwa kita sudah berada di sebuah “information-based
society”.Kemampuanuntuk mengakses dan menyediakan informasi secara cepat dan akurat
menjadi sangat esensialbagi sebuah organisasi, baik yang berupa organisasi komersial
(perusahaan), perguruantinggi, lembaga pemerintahan, maupun individual (pribadi).Hal ini
dimungkinkan denganperkembangan pesat di bidang teknologi komputer dan
telekomunikasi.Dahulu, jumlahkomputer sangat terbatas dan belum digunakan untuk
menyimpan hal-hal yang sifatnyasensitif.Sangat pentingnya nilai sebuah informasi
menyebabkanseringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu.
Jatuhnyainformasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan
kerugianbagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan
yanghanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut,
seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-
algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu
keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang
dapatditerima.
Jaringan komputer, seperti LAN dan Internet, memungkinkan untuk menyediakan
informasi secara cepat. Ini salah satu alasan perusahaan atau organisasi mulai berbondong-
bondong membuat LAN untuk sistem informasinya dan menghubungkan LAN tersebut ke
Internet. Terhubungnya LAN atau komputer ke Internet membuka potensi adanya lubang
keamanan (security hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara
fisik. Ini sesuai dengan pendapat bahwa kemudahan (kenyamanan) mengakses informasi
berbanding terbalik dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi
tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses informasi.
 PEMBAHASAN

A. Keamanan Informasi
Keamanan informasi (information security) digunakan untuk mendeskripsikan
perlindungan baik peralatan computer dan non komputer dan non kompter, fasilitas, data,
dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
Saat pemerintah dan kalangan industri menyadari kebutuhan untuk mengamankan
sumber daya informasi mereka, perhatian nyaris terfokus secara eksklusif pada
perlindungan peranti keras dan data, maka istilah keamanan sistem (system security) pun
digunakan.Fokus sempit ini kemudian diperluas sehingga mencakup bukan hanya peranti
keras dan data, namun juga peranti lunak, fasilitas computer, dan personel.
B. Tujuan Keamanan Informasi
Ada perusahaan yang memiliki sumberdaya yang besar berupa bahan baku,
sumberdaya
manusia, maupun barang jadi sudah saatnya menggunakan sistem komputerisasi yang
terintegrasi agar lebih effisien dan effektif dalam memproses data yang dibutuhkan.
Keamanan informasi ditujukan untuk mencapai tiga tujuan utama yaitu:
1. Kerahasiaan
Perusahaan berusaha untuk melindungi data informasinya dari pengungkapan
kepada orang-orang yang tidak berwenang.
2. Ketersediaan
Tujuan infrastruktur informasi perusahaan  adalah  menyediakan data dan informasi
sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
3. Integritas
Semua sistem informasi harus memberikan representasi akurat atas sistem fisik
yang dipresentasikan.

C. Manajemen Keamanan Informasi

Manajemen tidak hanya diharapkan untuk menjaga sumber daya informasi aman,
namun juga diharapkan untuk menjaga persahaan tersebut agar tetap berfungsi setelah
suatu bencana atau jebolnya sistem keamanan.  Aktifitas untuk menjaga agar perusahaan
dan sumber daya informasi tetap aman disebut Manajemen keamanan informasi.
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat
tahap yaitu:
 1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi
perusahaan
2. Mengidentifikasi risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
3. Menentukan kebijakan keamanan informasi
4. Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.

D. Strategi dalam ISM

1. Manajemen Risiko (Risk Management)
Untuk menggambarkan pendekatan dimana tingkat keamanan sumber daya
informasi  perusahaan dibandingkan dengan risiko yang dihadapinya.
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko
atau mengurangi dampaknya.
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
a. dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau sangat
membatasi kemampuan perusahaan tersebut untuk berfungsi
b. dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya yang
signifikan, tetapi perusahaan tersebut tetap selamat
c. dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan yang
terjadi dalam operasional sehari-hari.
2. Tolok Ukur
Tolok ukur Adalah tingkat keamanan yang disarankan dalam keadaan normal harus
memberikan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.

E. Ancaman
Ancaman keamanan sistem informasi adalah orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi
perusahaan.
1. Ancaman Internal
Ancaman internal bukan hanya mencakup karyawan perusahaan, tetapi juga
pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis perusahaan tersebut.
2. Ancaman Eksternal
Misalnya perusahaan lain yang memiliki produk yang sama dengan produk
perusahaan kita atau disebut juga pesaing usaha.
Jenis- Jenis Ancaman:
Malicious software, atau malware terdiri atas program-program lengkapatau segmen-
segmen kode yang dapat menyerang suatu system danmelakukan fungsi-fungsi yang tidak
diharapkan oleh pemilik system.Adapun perangkat lunak yang berbahaya adalah :
 Virus
Adalah program komputer yang dapat mereplikasi dirinya sendiritanpa dapat diamati
oleh si pengguna dan menempelkan salinan
dirinya pada program-program dan boot sector lain
 Worm
Program yang tidak dapat mereplikasikan dirinya sendiri di dalamsistem, tetapi dapat
menyebarkan salinannya melalui e-mail
 Trojan Horse
Program yang tidak dapat mereplikasi atau mendistribusikan dirinyasendiri, namun
disebarkan sebagai perangkat
 Adware
Program yang memunculkan pesan-pesan yang mengganggu
 Spyware
Program yang mengumpulkan data dari mesin pengguna

F. Risiko Keamanan Informasi (Information Security Risk)

Didefinisikan sebagai potensi output yang tidak Diharapkan dari pelanggaran
keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan
yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
a. Interuption
Ancaman terhadap availability, yaitu data dan informasi yang berada dalam
system computer yang dirusak dan dibuang sehingga menjadi tidak ada atau menjadi
tidak berguna.
b. Interception
Merupakan ancaman terhadap secrey, yaitu orang yang tidak berhak
mendapatkan akses informasi dari dalam system computer.
c. Modification
 Merupakan ancaman terhadap integritas, yaitu orang yang tidak berhak, tidak
hanya berhasil mendapatkan akses, melainkan juga dapat melakukan pengubahan
terhadap informasi.
d. Fabrication
Adanya orang yang tidak berwenang, meniru atau memalsukan suatu objek ke
dalam sistem.

G. Macam-macam Pengendalian
1. Pengendalian Teknis
Adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para
penyususn system selama masa siklus penyusunan system. Dilakukan melalui tiga
tahap:
a. Identifikasi Pengguna.
Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor
telepon.nomor telepon.
b. Otentikasi Pengguna.
memverivikasi hak akses dengan cara memberikan sesuatu yang mereka
miliki, seperti chip identifikasi atau tanda tertentu.
c. Otorisasi Pengguna.
Pengguna dapat mendapatkan wewenang untuk memasuki tingkat penggunaan
tertentu.

Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat menggunakan

sumber daya informasi yang terdapat di dalam batasan file akses.

Sistem Deteksi Gangguan

Logika dasar dari sistem deteksi gangguan adalah mengenali upaya

pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan  perusakan.

Firewall

Suatu Filter yang membatasi aliran data antara titik-titik pada suatu jaringan-
biasanya antara jaringan internal perusahaan dan Internet.Berfungsi sebagai:      

a. Penyaring aliran data

 b. Penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan
internet.
2. Pengendalian Fisik

Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah

mengunci pintu ruangan computer.Perkembangan seterusnya menghasilkan kunci-
kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan
suara, serta kamera pengintai dan alat penjaga keamanan.

3. Pengendalian Formal

Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi

prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku
yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam
jangka panjang.

4. Pengendalian Informal

Pengendalian informal mencakup program-program pelatihan dan edukasi

serta program pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga
agar para karyawan perusahaan memahami serta mendukung program keamanan
tersebut

H. Pentingnya Keamanan sistem

Sistem Informasi diperlukan karena:

1. Teknologi Komunikasi Modern yang membawa beragam dinamika dari dunia nyata
ke dunia virtual
2. Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai
3. Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai ekonomis.
 STUDI KASUS

Pada tahun 2001, internet banking diributkan oleh kasus pembobolan internet banking
milik bank BCA, Kasus tersebut dilakukan oleh seorang mantan mahasiswa ITB Bandungdan
juga merupakan salah satu karyawan media online (satunet.com) yang
bernamaStevenHaryanto. Anehnya Steven ini bukan Insinyur Elektro ataupun Informatika,
melainkan Insinyur Kimia.Ide ini timbul ketika Steven juga pernah salah mengetikkanalamat
website.
Kemudian dia membeli domain-domain internet dengan harga sekitar US$20
yangmenggunakan nama dengan kemungkinan orang-orang salah mengetikkan dan
tampilanyang sama persis dengan situs internet banking BCA, http://www.klikbca.com ,
seperti:
 wwwklikbca.com
 kilkbca.com
 clikbca.com
 klickbca.com
 klikbac.com
Orang tidak akan sadar bahwa dirinya telah menggunakan situs palsu tersebut
karenatampilan yang disajikan serupa dengan situs aslinya. Hacker tersebut
mampumendapatkan User ID dan password dari pengguna yang memasuki situs palsu
tersebut,namun hackertersebut tidak bermaksud melakukan tindakan kriminal seperti
mencuridana nasabah, hal ini murni dilakukan atas keingintahuannya mengenai seberapa
banyakorang yang tidak sadar menggunakan situs klikbca.com, Sekaligus menguji
tingkatkeamanan dari situs milik BCA tersebut.
Steven Haryanto dapat disebut sebagai hacker, karena dia telah mengganggu suatusistem
milik orang lain, yang dilindungi privasinya. Sehingga tindakan Steven ini disebutsebagai
hacking. Steven dapat digolongkan dalam tipe hacker sebagai gabungan white-hat hacker dan
black-hat hacker, dimana Steven hanya mencoba mengetahui seberapabesar tingkat
keamanan yang dimiliki oleh situs internet banking Bank BCA. Disebutwhite-hat hacker
karena dia tidak mencuri dana nasabah, tetapi hanya mendapatkan UserID dan password
milik nasabah yang masuk dalam situs internet banking palsu. Namuntindakan yang
dilakukan oleh Steven, juga termasuk black-hat hacker karena membuatsitus palsu dengan
diam-diam mengambil data milik pihak lain. Hal-hal yang dilakukanSteven antara lain scans,
sniffer, dan password crackers.Karena perkara ini kasus pembobolan internet banking milik
bank BCA, sebab diatelah mengganggu suatu sistem milik orang lain, yang dilindungi
privasinya danpemalsuan situs internet banking palsu. Maka perkara ini bisa dikategorikan
sebagaiperkara perdata. Melakukan kasus pembobolan bank serta telah mengganggu
suatusistem milik orang lain, dan mengambil data pihak orang lain yang dilindungi
privasinyaartinya mengganggu privasi orang lain dan dengan diam-diam mendapatkan User
ID danpassword milik nasabah yang masuk dalam situs internet banking palsu.
 KESIMPULAN

Jadi dapat dikatakan apa yang dilakukan Steven secara etik tidak benar
karenatindakan yang dilakukan Steven mengganggu privasi pihak lain dengan
hanyabermodalkan keingintahuan dan uang sejumlah kira-kira US$ 20 guna membeli
domaininternet yang digunakan untukmembuat situs internet banking BCA palsu
sertapemalsuan situs internet banking BCA dan dengan diam-diam mendapatkan User ID
danpassword milik nasabah yang masuk dalam situs internet banking palsu. Namun
jugamenimbulkan sisi positif dimana pihak perbankan dapat belajar dari kasus tersebut.
BCAmenggunakan internet banking yang dapat dipakai pengambilan keputusan atau
yangdisebut decision support system, dimana data para nasabah yang bertransakasi
sertaaktivitas lainnya melalui internet banking merupakan database milik BCA secara
privasiyang tidak boleh disebarluaskan ataupun disalahgunakan karena internet banking
tersebutmerupakan salah satu layanan yang menguntungkan baik bagi nasabah maupun
pihakBCA. Database para nasabah internet banking dapat digunakan oleh pihak BCA
untukmembuat keputusan dalam berbagai bidang perbankan.

Solusi Dan Saran

Solusi
1. Perlu adanya Cyberlaw: dikarenakan Cybercrime belum sepenuhnya terakomodasidalam
peraturan/Undang-undang yang ada, penting adanya perangkat hukum khususmengingat
karakter dari cybercrime ini berbeda dari kejahatan konvensional.
2. Perlunya Dukungan Lembaga Khusus: Lembaga ini diperlukan untuk
memberikaninformasi tentang cybercrime, melakukan sosialisasi secara intensif
kepadamasyarakat, serta melakukan riset-riset khusus dalam penanggulangan cybercrime.
3. Penggunaan enkripsi untuk meningkatkan keamanan. Penggunaan enkripsi yaitudengan
mengubah data-data yang dikirimkan sehingga tidak mudah disadap (plaintextdiubah
menjadi chipertext). Untuk meningkatkan keamanan authentication(pengunaan user_id
dan password), penggunaan enkripsi dilakukan pada tingkatsocket.

Saran
 Berkaitan dengan cybercrime tersebut maka perlu adanya upaya untukpencegahannya,
untuk itu yang perlu diperhatikan adalah :
1. Segera membuat regulasi yang berkaitan dengan cyberlaw pada umumnya dancybercrime
pada khususnya.
2. Kejahatan ini merupakan global crime maka perlu mempertimbangkan draftinternasional
yang berkaitan dengan cybercrime.
3. Melakukan perjanjian ekstradisi dengan Negara lain.
4. Mempertimbangkan penerapan alat bukti elektronik dalam hukum
 DAFTAR PUSTAKA

Putra, Y. M., (2018). Penggunaan Teknologi Informasi  Pada E-Business. Modul Kuliah

Sistem Informasi Manajemen. FEB-Universitas Mercu Buana: Jakarta.
Putra, Y. M., (2019). Analysis of Factors Affecting the Interests of SMEs Using
Accounting Applications.Journal of Economics and Business, 2(3).
Keamanan Sistem. Informasihttp://anakmulus.blogspot.com/2011/01/keamanan-sistem-
informasi.htmlDiakses pada 15 November 2019
Rais, Dahlan. (2015). Keamanan Informasi pada Sistem Infomasi
Manajemen.http://dahlanrais.blogspot.com/2015/05/keamanan-informasi-pada-
sistem.html.Diakses pada 15 November 2019
Nasruddin.(2011). Ancaman Keamanan pada Sistem Informasi.
http://nasruddin-ibrahim.blogspot.com/2011/01/ancaman-keamanan-pada-sistem-
informasi.html. Diakses pada 15 November 2019
Pratama, Dirga. (2012). Keamanan Sistem Informasi.
https://dirpratama.wordpress.com/2012/05/25/keamanan-sistem-informasi/. Diakses
pada 15 November 2019