2.

1 Keamanan Sistem Informasi

Sistem keamanan informasi merupakan suatu suatu subsistem dalam suatu
organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-
komputer. Sistem keamanan informasi memiliki elemen utama dalam sistem informasi,
seperti perangkat keras, database, prosedur dan pelaporan.
2.
2.1.1. Siklus Hidup Sistem Keamanan Informasi

Sistem keamanan elektronik merupakan sebuah sistem informasi. Oleh

karena itu, pengembangan sistem keamanan perlu mengacu pada pendekatan
siklus hidup sistem. Tujuan tahap siklus hidup sistem keamanan informasi
adalah sebagai berikut:

Tabel 1. Fase siklus hidup sistem keamanan informasi

Fase Siklus Hidup Tujuan

Analisis sistem Analisis kerentanan sistem dalam
arti ancaman yang relevan dan
eksposur kerugian yang terkait
dengan ancaman
tersebut.
Desain sistem Desain ukuran keamanan dan
rencana kontingensi untuk
mengendalikan eksposur
kerugian yang terindentifikasi.

Implementasi sistem Menerapkan ukuran keamanan

seperti yang telah didesain.

Operasi, evaluasi, dan Mengoperasikan sistem dan

pengendalian sistem. menaksir efektivitas dan
efisiensi; Membuat perubahan
sebagaimana diperlukan sesuai
dengan kondisi yang ada.
Tujuan fase pertama siklus hidup sistem keamanan adalah untuk
menghasilkan laporan analisis kerentanan dan ancaman. Tujuan fase kedua
adalah untuk mendesain serangkaian aturan pengendalian risiko yang
komprehensif, termasuk ukuran mencegah kerugian dan rencana kontingensi
 mengenai kerugian. Secara kolektif, keempat fase tersebut disebut manajemen
risiko sistem informasi. Manajemen risiko sistem informasi merupakan proses
mengendalikan risiko sistem komputer.

2.1.2. Sistem Keamanan Informasi dalam Organisasi

Agar sistem keamanan informasi bisa efektif, harus dikelola oleh chief
security officer (CSO). Tugas CSO adalah memberikan laporan kepada dewan
direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup
setiap fase dari siklus hidup.

Tabel 2. Sistem keamanan informasi dalam organisasi

Fase Siklus Hidup Laporan Kepada Dewan Direksi

Analisis sistem Sebuah ringkasan terkait dengan
semua
eksposur kerugian yang relevan.
Desain sistem Rencana detail mengenai
pengendalian dan pengelolaan
kerugian, termasuk anggaran sistem
keamanan secara
lengkap.
Implementasi sistem, operasi, Mengungkapkan secara spesifik
evaluasi, dan pengendalian kinerja sistem keamanan, termasuk
sistem kerugian dan pelanggaran keamanan
yang terjadi, analisis kepatuhan,
serta biaya operasi sistem keamanan.

2.1.3. Menganalisis Kerentanan dan Ancaman

Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman

sistem. Pendekatan kuantitatif untuk menafsirkan risiko menghitung setiap
eksposur kerugian sebagai hasil kali biaya kerugian setiap item eksposur
dengan kemungkinan terjadi eksposur tersebut.
 Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna
menafsir eksposur kerugian. Pertama, mengidentifikasi biaya yang relevan
untuk setiap item kerugian dan menafsir probabilitas terjadinya eksposur
tersebut merupakan hal yang sulit. Kedua, mengestimasi kemungkinan
terjadinya suatu kerugian melibatkan peramalan masa yang akan datang, yang
sangat sulit khususnya dalam lingkungan teknologi yang mengalami
perubahan yang sangat cepat.

Metode kedua yang dapat digunakan untuk menafsir risiko keamanan

komputer adalah pendekatan kualitatif. Pendekatan ini secara sederhana
merinci daftar kerentanan dan ancaman terhadap sistem. Secara subjektif
meranking item-item berdasarkan kontribusi setiap item terhadap total
eksposur kerugian perusahaan. Pendekatan kualitatif dan pendekatan
kuantitatif sering digunakan dalam praktik.

Agar sistem keamanan informasi bisa efektif, harus dikelola oleh chief
security officer (CSO). Tugas CSO adalah memberikan laporan kepada dewan
direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup
setiap fase dari siklus hidup. Banyak perusahaan mengkombinasikan kedua
pendekatan tersebut. Adapun metode yang dipakai, analisis eksposur kerugian
tersebut mencakup area berikut ini:

a. Interupsi bisnis
b. Kerugian perangkat lunak
c. Kerugian data
d. Kerugian perangkat keras
e. Kerugian fasilitas
f. Kerugian jasa dan personel

Jika pendekatan kuantitatif digunakan, biaya dapat diestimasi

menggunakan satu dari banyak metode, termasuk replacement cost, service
denial. Kewajiban kepada pihak ketiga, dan interupsi bisnis.
2.2. Kerentanan dan Ancaman

Kerentanan merupakan suatu kelemahan dalam suatu sistem. Ancaman merupakan

suatu eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman yaitu
aktif dan pasif. Aktif mencangkup kecurangan sistem informasi dan sabotase. Pasif
menyangkut kegagalan sistem seperti kegagalan sistem, termasuk bencana alam seperti
gempa bumi, kebakaran, banjir, dll.

2.1.4. Tingkat Keseriusan Kecurangan Sistem Informasi

Kejahatan berbasis komputer merupakan bagian dari masalah umum

kejahatan kerah putih. Statistik menunjukan bahwa kerugian perusahaan
terkait kecurangan lebih besar dari total kerugian akibat suap perampokan, dan
pencurian. Keamanan sistem informasi merupakan masalah internasional.
Banyak Negara memiliki undang- undang terkait masalah keamanan
komputer. Computer Fraud and Abuse Act tahun 1986 menyatakan akses tidak
legal yang dilakukan dengan sengaja terhadap data yang disimpan dalam
komputer lembaga keuangan, komputer yang dimiliki atau digunakan oleh
pemerintah federal, atau komputer yang beroperasi dalam perdagangan
terbatas merupakan sebuah kejahatan federal. Pelaku utama dapat dikenai
hukuman penjara 1 sampai 5 tahun.

Treadway Commission mengaitkan kecurangan manajemen dengan

kejahatan komputer. Kecurangan manajemen merupakan kecurangan yang
disengaja oleh manajemen untuk menipu para investor dan kreditor melalui
pelaporan keuangan yang menyesatkan. Kecurangan seperti ini biasanya
dilakukan oleh mereka yang mempunyai jabatan cukup tinggi dalam
organisasi/perusahaan sehingga memungkinkan untuk melanggar
pengendalian akuntansi. Treadway Commission mendefinisikan kejahatan
pelaporan keuangan merupakan perilaku sengaja atau tidak sengaja, entah
dengan melakukan sesuatu ataupun lalai dengan sesuatu, yang menghasilkan
laporan keuangan yang menyesatkan.