RESUME

KEAMANAN SISTEM INFORMASI

Diajukan untuk Memenuhi Tugas Kelompok Mata Kuliah Sistem Informasi

Akuntansi

Oleh Kelompok 11:

1. Ardellia Melinda (08020220045)
2. Ayuning Tyas Syifaus S (08020220047)

Dosen Pengampu:
Ashari Lintang Yudhanti, S.E., M.Ak

PRODI AKUNTANSI
FAKULTAS EKONOMI DAN BISNIS ISLAM
UIN SUNAN AMPEL SURABAYA
2022
 RESUME

KEAMANAN SISTEM INFORMASI

Terdapat dua konsep keamanan informasi fundamental, yaitu :

1. Keamanan merupakan masalah manajemen, bukan hanya masalah teknologi
Walaupun keamanan informasi yang efektif mensyaratkan penggunaan
alat-alat berteknologi seperti firewall, antivirus, dan enkripsi, keterlibatan serta
dukungan manajemen senior juga jelas menjadi dasar untuk keberhasilan.
Manajemen senior harus memilih mana dari empat respons risiko yang sesuai
untuk diadopsi sehingga sumber daya yang diinvestasikan pada keamanan
informasi menunjukkan kebutuhan risiko organisasi.
2. Defense-In-Depth dan model keamanan informasi berbasis waktu
Gagasan dari defense-in-depth adalah penggunaan berbagai lapisan
pengendalian untuk menghindari satu poin kegagalan. Defense-in-depth secara
khusus melibatkan penggunaan sebuah kombinasi dari pengendalian preventif,
detektif, dan korektif.

A. Pengendalian Preventif

 Orang-orang: Penciptaan sebuah budaya "sadar-keamanan"

Untuk menciptakan sebuah budaya sadar keamanan agar para pegawai

mematuhi kebijakan keorganisasian, manajemen puncak tidak hanya harus
mengomunikasikan kebijakan keamanan organisasi, tetapi juga harus
memandu dengan mencontohkannya.

 Orang-orang: Pelatihan

Para pegawai harus memahami cara untuk mengikuti kebijakan

keamanan organisasi. Oleh karena itu, pelatihan adalah sebuah pengendalian
preventif yang kritis. Seluruh pegawai harus diajarkan tentang pentingnya
ukuran-ukuran keamanan bagi kebertahanan jangka-panjang organisasi.
Mereka juga perlu dilatih untuk mengikuti praktik-praktik komputasi yang
aman, seperti jangan membuka lampiran e-mail yang tidak diinginkan, hanya
 menggunakan perangkat lunak yang disetujui, tidak membagikan kata sandi,
dan mengambil langkah untuk melindungi laptop secara fisik. Pelatihan
penting dilakukan untuk melatih para pegawai tentang serangan rekayasa
sosial. Para pegawai juga perlu dilatih untuk tidak mengizinkan orang lain
mengikuti mereka melalui pintu masuk akses terbatas.

 Proses: Pengendalian akses pengguna

Perlunya pengendalian untuk mengelola identitas pengguna dan akses

logis, sehingga memungkinkan identifikasi secara khusus siapa saja yang
mengakses sistem informasi organisasi serta melacak tindakan yang mereka
lakukan. Penerapan praktik manajemen DSS05.04 ini melibatkan
penggunaan atas dua jenis pengendalian akses pengguna yang saling
berhubungan, tetapi berbeda, yaitu pengendalian autentikasi dan pengendalian
otorisasi. Pengendalian autentikasi membatasi siapa saja yang dapat
mengakses sistem informasi milik organisasi, sedangkan pengendalian
otorisasai membatasi apa saja yang dapat dilakukan para individu ketika
mereka mendapatkan akses.

 Pengendalian autentikasi

Autentikasi (authentication) adalah proses verifikasi identitas

seseorang atau perangkat yang mencoba untuk mengakses sistem. Tujuannya
untuk memastikan bahwa hanya pengguna sah yang dapat mengakses sistem.

 Pengendalian otorisasi

Otorisasi (authorization) adalah proses dari memperketat akses dari

pengguna sah terhadap bagian spesifik sistem dan membatasi tindakan-
tindakan apa saja yang diperbolehkan untuk dilakukan. Tujuannya adalah
untuk menyusun hak serta keistimewaan setiap pegawai dengan cara
menetapkan dan mengelola pemisahan tugas yang tepat.

B. Pengendalian Detektif

 Analisis log
 Sebagian besar sistem muncul dengan kemampuan ekstensif untuk
mencatat (logging) siapa yang mengakses sistem dan tindakan-tindakan
tertentu apa saja yang dilakukan setiap pengguna. Sejumlah log yang dibuat
menciptakan sebuah jejak audit pada akses sistem. Analisis log (log
analysis) adalah proses pemeriksaan log untuk mengidentifikasi bukti
kemungkinan serangan. Hal ini penting, terutama untuk menganalisis log-log
dari kegagalan pencobaan untuk masuk ke dalam sebuah sistem dan upaya
yang gagal untuk mendapatkan akses atas sumberdaya informasi tertentu.

 Sistem deteksi gangguan

Sistem deteksi gangguan (intrusion detection system-IDS) adalah

jaringan yang terdiri atas satu set sensor dan unit pengawasan pusat (central
monitoring unit) yang menghasilkan log dari seluruh lalu lintas jaringan yang
diizinkan untuk melewati firewall dan kemudian menganalisis log-log tersebut
sebagai tanda atas gangguan yang diupayakan atau yang berhasil dilakukan.

 Pengujian penetrasi.

Pengujian penetrasi memberikan sebuah cara yang lebih cermat untuk

menguji efektivitas keamanan informasi sebuah organisasi. Sebuah uji
penetrasi (penetration test) adalah sebuah upaya terotorisasi oleh baik tim
audit internal maupun kantor konsultasi keamanan eksternal untuk menerobos
ke dalam sistem informasi organisasi.

 Pengawasan berkelanjutan

Praktik manajemen COBIT 5 menekankan pentingnya pengawasan

berkelanjutan dan kepatuhan pegawai terhadap kebijakan keamanan informasi
organisasi serta kinerja keseluruhan proses bisnis. Pengawasan tersebut
merupakan pengendalian detektif penting yang dapat mengidentifikasi
masalah potensial secara tepat waktu.

C. Pengendalian Korektif

Terdapat tiga pengendalian korektif yang penting, yaitu:

1. Pembentukan sebuah tim perespons insiden komputer (computer incident
response team-CIRT)
Computer Incident Response Team (CIRT) adalah sebuah komponen
utama agar mampu merespons insiden keamanan dengan tepat dan efektif
adalah penetapan sebuah tim perespons insiden komputer (computer incident
response team-CIRT). Sebaiknya CIRT tidak hanya melibatkan spesialis
teknis, tetapi juga manajemen operasi senior, karena beberapa respons
potensial insiden keamanan memiliki konsekuensi ekonomi yang signifikan.
2. Pendesainan individu khusus, biasanya disebut dengan Chief Information
Security Officer (CISO) dengan tanggung jawab luas atas keamanan informasi
CISO harus memahami lingkungan teknologi perusahaan dan bekerja
dengan chief information officer (CIO) untuk mendesain, mengimplementasi,
serta membangun kebijakan dan prosedur keamanan yang baik. CISO juga
harus menjadi penilai dan pengevaluasi yang adil di lingkungan TI.
3. Penetapan serta penerapan sistem manajemen path yang didesain dengan baik
Manajemen patch (patch management) adalah proses untuk secara
teratur menerapkan patch dan memperbarui seluruh perangkat lunak yang
digunakan oleh organisasi. organisasi perlu menguji dengan cermat efek dari
patch sebelum menyebarkannya; jika tidak, organisasi akan mengalami risiko
kerusakan aplika penting.
 DAFTAR PUSTAKA

Romney, Marshall B. & Steinbart, Paul John. 2015. Siatem Informasi

Akuntansi. Jakarta: Salemba Empat.