MAKALAH

SISTEM INFORMASI MANAJEMEN

“SISTEM KEAMANAN INFORMASI”

Dosen Pengampu : Sylvia Kartika Wulan B, S. E,. M. Si

Dibuat Oleh Kelompok 4:

Yogi Noviana (C4b021012)
Irawati (C4B021011)
Nova Hianta Simbolon (C4b021027)
Ira Mayang Sari (C4B021006)

FAKULTAS EKONOMI DAN BISNIS

UNIVERSITAS JAMBI
2022
 KATA PENGANAR

Dengan menyebut nama Allah SWT yang Maha Pengasih lagi Maha Penyayang, kami
mengucapkan puja dan puji syukur atas kehadirat-Nya, yang telah melimpahkan rahmat,
hidayah, dan inayah-Nya kepada saya, sehingga saya dapat menyelesaikan Tugas "makalah "
usahakan semaksimal mungkin dan tentunya dengan bantuan berbagai pihak, sehingga dapat
memperlancar pembuatan makalah ini.

Untuk itu saya tidak lupa menyampaikan banyak terimakasih kepada semua pihak yang telah
membantu saya dalam pembuatan makalah ini. Namun tidak lepas dari semua itu, saya sadar
sepenuhnya bahwa ada kekurangan baik dari segi penyusunan bahasa maupun dari segi
lainnya. Oleh karena itu dengan lapang dada dan tangan terbuka saya membuka selebar-
lebarnya bagi pembaca yang ingin member saran dan kritik kepada saya sehingga saya dapat
memperbaiki Tugas „Ujian Tengah Semester”ini. Akhirnya penyusun mengharapkan semoga
dari Tugas „Ujian Tengah Semester” ini dapat diambil hikmah dan manfaatnya sehingga
dapat memberikan inspirasi kepada pembaca.

DAFAR ISI
 BAB I

PENDAHULUAN
 BAB II

PEMBAHASAN

2.1 Keamanan informasi

 Informasi sebagai aset yang sangat berharga karena merupakan salah satu sumber daya
strategis dalam meningkatkan nilai usaha dan kepercayaan publik. Sejalan dengan
perkembangan informasi maka keamanan informasi juga harus diperhatikan. Keamanan
informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak,
mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana
informasinya sendiri tidak memiliki arti fisik. Dalam ISO 17799, Keamanan informasi ini
terdiri dari 3 aspek penting, dapat menghafalnya dengan nama CIA yang berarti
Confidentiality, Integrity dan Availability. Terdapat berbagai ancaman dalam system
keamanan informasi diantaranya virus, worm, Trojan horse, serta ancaman dari dalam
maupun dari luar, disengaja maupun tidak disengaja. Langkah-langkah untuk memastikan
bahwa sistem benar-benar mampu menjamin keamanan data dan informasi dapat
dilakukan dengan menerapkan kunci kunci pengendalian yang teridentifikasi dalam
standar ISO 17799 tentang keamanan informasi diantaranya terdapat 10 kontrol clouse.
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah
penipuan (cheating) atau paling tidak, mendeteksi adanya penipuan di sebuah sistem yang
berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik Keamanan
informasi adalah upaya untuk mengamankan aset informasi terhadap ancaman yang
mungkin timbul. Secara tidak langsung keamanan informasi menjamin kontinuitas bisnis,
mengurangi risiko-risiko yang terjadi, mengoptimalkan pengembalian investasi.
Semakin banyak informasi perusahaan yang disimpan dan dikelola maka semakin besar
pula risiko terjadi kerusakan, kehilangan atau tereksposnya ke pihak yang tidak
diinginkan.

2.2 Pengelolaan Keamanan Informasi

Pengelolaan informasi sering kali melibatkan peran Sistem Informasi (SI) danTeknologi
Informasi (TI). Akan tetapi seiring perkembangannya, TI seringkalidimanfaatkan oleh
beberapa pihak yang tidak bertanggung jawab yang dapatmenimbulkan ancaman dan
resiko yang dapat merugikan perusahaan. Masalahkeamanan seringkali kurang
mendapatkan perhatian dari pihak stakeholder. "Preventionis better than cure". Seri
ISO/IEC 27000 menawarkan satu set spesifikasi, kode etik danpedoman praktik terbaik
(best practise) untuk memastikan manajemen layanan TI(Teknologi Informasi) . ISO/IEC
27001 merupakan standar yang sering digunakanuntuk mengetahui kebutuhan untuk
menerapkan keamanan sistem informasi. Denganpenerapan ISO/IEC 27001 dapat
 melindungi aspek-aspek dari keamanan informasi yaituconfidentiality, integrity dan
availability.
Pengelolaan keamanan sisteminformasi harus dimulai ketika sebuah sistem informasi
dibangun, bukan hanya sebagaipelengkap sebuah sistem informasi. Dengan adanya
pengelolaan keamanan sisteminformasi yang baik, maka diharapkan perusahaan dapat
memprediksi resiko-resikoyang muncul akibat penggunaan sistem informasi sehingga
dapat menghindari ataumengurangi resiko yang mungkin dapat merugikan perusahaan.
Keamanan sisteminformasi merupakan tanggungjawab semua pihak yang ada di dalam
perusahaan.Oleh karena itu bagaimana perusahaan dapat menerapkan dan
mengelolakeamanan sistem informasi, melatarbelakangi disusunnya seri ISO/IEC
27000,merupakan standar untuk manajemen keamanan sistem informasi.

2.3 Ancaman Keamanan Informasi

Ancaman keamanan informasi adalah seseorang, organisasi, mekanisme, atau peristiwa
yang dapat berpotensi menimbulkan kejahatan pada sumber daya informasi perusahaan.
Ancaman dapat berupa ancaman aktif dan ancaman pasif.

a.Ancaman aktif mencakup:

1. Pencurian data
Jika informasi penting yang terdapat dalam database dapat diakses oleh orang yang tidak
berwenang maka hasilnya dapat kehilangan informasi atau uang. Misalnya, mata-mata
industri dapat memperoleh informasi persaingan yang berharga, penjahat komputer dapat
mencuri uang bank.
2. Penggunaan sistem secara ilegal Orang yang tidak berhak mengakses informasi pada
suatu sistem yang bukan menjadi hak-nya, dapat mengakses sistem tersebut. Penjahat
komputer jenis ini umumnya adalah hacker yaitu orang yang suka menembus sistem
keamanan dengan tujuan mendapatkan data atau informasi penting yang diperlukan,
memperoleh akses ke sistem telepon, dan membuat sambungan telepon jarak jauh secara
tidak sah.
3. Penghancuran data secara ilegal orang yang dapat merusak atau menghancurkan data
atau informasi dan membuat berhentinya suatu sistem operasi komputer. Penjahat
komputer ini tidak perlu berada ditempat kejadian. Ia dapat masuk melalui jaringan
komputer dari suatu terminal dan menyebabkan kerusakan pada semua sistem dan
 hilangnya data atau informasi penting. Penjahat komputer jenis ini umumnya disebut
sebagai cracker yaitu penjebol sistem komputer yang bertujuan melakukan pencurian data
atau merusak sistem.
4. Modifikasi secara ilegal Perubahan-perubahan pada data atau informasi dan perangkat
lunak secara tidak disadari. Jenis modifikasi yang membuat pemilik sistem menjadi
bingung karena adanya perubahan pada data dan perangkat lunak disebabkan oleh
progam aplikasi yang merusak (malicious software). Program aplikasi yang dapat
merusak tersebut terdiri dari program lengkap atau segemen kode yang melaksanakan
fungsi yang tidak dikehendaki oleh pemilik sistem. Fungsi ini dapat menghapus file atau
menyebabkan sistem terhenti. Jenis aplikasi yang dapat merusak data atau perangkat
lunak yang paling populer adalah virus.

b.Ancaman pasif mencakup:

1. Kegagalan sistem Kegagalan sistem atau kegagalan software dan hardware dapat
menyebabkan data tidak konsisten, transaksi tidak berjalan dengan lancar sehingga data
menjadi tidak lengkap atau bahkan data menjadi rusak. Selain itu, tegangan listrik yang
tidak stabil dapat membuat peralatan-peralatan menjadi rusak dan terbakar.

2. Kesalahan manusia Kesalahan pengoperasian sistem yang dilakukan oleh manusia

dapat mengancam integritas sistem dan data.

3.Bencana alam Bencana alam seperti gempa bumi, banjir, kebakaran, hujan badai
merupakan faktor yang tidak terduga yang dapat mengancam sistem informasi sehingga
mengakibatkan sumber daya pendukung sistem informasi menjadi luluhlantah dalam
waktu yang singkat
2.4 Keamanan dalam E -commerce

Sistem keamanan e-commerce

Sistem keamanan pada e-commerce mencakup beberapa aspek penting yang dijadikan
dasar, yaitu aspek-aspek keamanan, macam-macam ancaman, dan solusi dari kekurangan
sistem e-commerce. Semua aspek penting pada keamanan e-commerce sangat
berpengaruh terhadap tingkat keamanan pada sistem keamanan e-commerce secara
keseluruhan.
a. Aspek-Aspek Keamanan Proses Kriptografi tidak hanya merahasiakan data
transaksi tetapi harus memenuhi aspek lainnya yaitu :
a) Authentication, yaitu pengirim pesan harus benar-benar berasal dari
pengirim yang bersangkutan.
b) Integrity, yaitu isi pesan harus benar-benar utuh dan tidak diubah oleh
orang lain.
c) Nonrepudiation, yaitu pengirim pesan tidak dapat menyangkal bahwa
pesan tersebut dikirim oleh yang bersangkutan.
d) Authority, yaitu pesan yang dikirim hanya dapat diubah oleh pihak yang
berwenang.
b. Macam-macam ancaman yang terjadi dalam sistem e-commerce adalah :
a) System Penetration, yaitu seseorang yang tidak berhak dapat mengakses
sistem komputer dan dapat melakukan segalanya.
b) Authorization Violation, yaitu penyalahgunaan wewenang yang dimiliki
oleh seseorang yang berhak.
c) Planting, yaitu melakukan penyerangan secara terencana, misalnya
memasukkan Trojan Horse dan melakukan penyerangan dengan waktu
yang telah ditentukan sebelumnya.
d) Communications Monitoring, yaitu melakukan monitoring semua
informasi rahasia.
e) Communications Tampering, yaitu mengubah pesan di tengah jalan oleh
penyerang di dalam proses transimisi data dan mengganti sistem server
dengan sistem server yang palsu.
f) Denial of Service (DoS), yaitu menolak layanan terhadap client yang
berhak.
g) Repudiation, yaitu menolak aktivitas transaksi karena suatu hal yang
disengaja atau kesalahan teknis.

c. Solusi dari Kekurangan Sistem E-Commerce secara umum untuk meningkatkan

keamanan sistem e-commerce yang digunakan saat ini adalah:
a) Menggunakan sistem otentikasi sederhana berbasis hashing yang
ditanamkan ke dalam sistem e-commerce untuk melakukan otentikasi
pengesahan dari pelanggan.
 b) Menggunakan sistem enkripsi simetris RC6 yang diperkuat dengan sistem
enkripsi RSA dan sistem encoding dari Base64.
c) Menggunakan sistem enkripsi simetris RC6 hanya untuk mengamankan isi
data transaksi sedangkan untuk kunci enkripsi RC6-nya diamankan dengan
menggunakan RSA baik dari sisi server maupun dari sisi client.

2.5 Resiko dan manajemen resiko terhadap keamanan informasi

Proses manajemen risiko terdiri dari beberapa penilaian risiko yang secara langsung perlu
untuk dievaluasi kembali seiring dengan berkembangnya risiko. Dimana hal ini bertujuan
untuk mengidentifikasi sumber daya penting yang perlu dilindungi dengan menentukan
ancaman dan kerentanan yang tepat guna menilai eksposur risiko. Sedangkan, manajemen
risiko keamanan informasi adalah proses pengelolaan risiko yang terkait dengan
penggunaan teknologi informasi. Dengan kata lain, perusahaan mengidentifikasi dan
mengevaluasi risiko terhadap kerahasiaan, integritas, dan ketersediaan aset informasi
yang dimiliki. Secara garis besar, proses ini dibagi menjadi dua komponen yaitu:
a. Penilaian risiko (risk assessment), yaitu sebuah proses mengumpulkan dan
menganalisis informasi mengenai aset dan kontrol organisasi, serta
menggabungkan data tersebut dengan melakukan evaluasi kemungkinan peristiwa
yang dapat menimbulkan ancaman bagi lingkungan TI dan potensi dampaknya
guna menentukan dan memprioritaskan risiko yang dimiliki oleh suatu organisasi.
b. Perlakukan risiko (risk treatment), yaitu tindakan yang diambil untuk
memulihkan, mengurangi, menghindari, menerima, mentransfer, ataupun
mengelola risiko yang terjadi.

Terdapat beberapa kerangka kerja manajemen risiko yang dapat digunakan untuk
Teknologi Informasi dan berfokus pada pengelolaan risiko keamanan informasi secara
khusus. Semua kerangka kerja tersebut menggunakan pendekatan lifecycle yang sangat
mirip, meskipun terdapat sedikit perbedaan dalam terminologi dan perbedaan langkah-
langkah proses. Berikut adalah alur proses manajemen risiko dasar yang dapat digunakan
untuk menjaga keamanan informasi:

a. Resource profiling – tahap untuk mendeskripsikan sumber daya dan tingkat

sensitivitas risiko yang dilakukan oleh pemilik bisnis.
b. Risk assessment – proses yang dilakukan oleh keamanan informasi dalam
mengidentifikasi ancaman, kerentanan, dan risiko.
 c. Risk evaluation – sebuah keputusan yang dibuat oleh keamanan informasi dan
pemilik bisnis untuk menerima, menghindari, mentransfer, ataupun mengurangi
risiko.
d. Document – tahap dalam mendokumentasikan keputusan risiko termasuk
pengecualian dan rencana mitigasi yang dilakukan oleh keamanan informasi dan
pemilik bisnis.
e. Risk mitigation – proses penerapan rencana mitigasi dengan kontrol tertentu yang
dilakukan oleh seseorang yang bertanggung jawab terhadap sumber daya.
f. Validation – keamanan informasi akan melakukan uji kontrol untuk memastikan
eksposur risiko aktual sesuai dengan tingkat risiko yang diinginkan.
g. Monitoring and audit – keamanan informasi dan pemilik bisnis akan terus
melacak perubahan pada sistem yang dapat memengaruhi profil risiko dan juga
melakukan audit secara rutin.

2.6 Kebijakan Keamanan Informasi

Untuk menjamin adanya arahan yang jelas dan dukungan untuk penerapan sistem
informasi yang aman, sesuai dengan kebutuhan bisnis dan persyaratan regulasi maka
perusahaan / organisasi pertama-tama perlu menyusun kebijakan keamanan informasi.
Kebijakan keamanan informasi yang disusun harus sesuai dengan tujuan organisasi.
Penerapan sistem manajemen keamanan informasi perlu memiliki berbagai sasaran
tertentu yang bersifat spesifik dan jelas. Kebijakan keamanan informasi disusun untuk
mendukung pencapaian sasaran keamanan informasi. Di dalamnya terdapat komitmen
untuk memenuhi berbagai persyaratan keamanan informasi dan komitmen untuk
melakukan perbaikan yang berkelanjutan.

Kebijakan keamanan informasi disusun untuk mendukung pencapaian sasaran keamanan

informasi Kebijakan keamanan informasi tersebut harus tersedia dalam bentuk informasi
terdokumentasi, dikomunikasikan ke seluruh elemen organisasi dan tersedia bagi para
pemangku kepentingan jika diperlukan. Kebijakan tersebut dapat dipisahkan antara
kebijakan keamanan informasi yang bersifat umum dan kebijakan yang lebih bersifat
teknis dan detil. Kebijakan keamanan informasi ini dapat dijabarkan secara lebih lanjut ke
dalam berbagai prosedur dan instruksi kerja yang dapat mendukung pencapaian sasaran
keamanan informasi.Secara berkala, kebijakan keamanan informasi harus dikaji ulang
 terutama setelah adanya perubahan pada sistem manajemen. Hal ini dilakukan untuk
memastikan kesesuaian, kecukupan, dan efektivitas secara terus-menerus.
Setiap butir kebijakan harus memiliki penanggungjawab yang jelas untuk memastikan
berlangsungnya pengembangan, penerapan, dan evaluasi kebijakan. Peninjauan kebijakan
harus mencakup peluang perbaikan atas kebijakan perusahaan dan kesesuaian dengan
perkembangan ekosistem bisnis. Tinjauan manajemen harus menjadi pertimbangan utama
dalam peninjauan kebijakan keamanan informasi. Setiap revisi pada kebijakan keamanan
informasi harus melalui persetujuan manajemen.

PT Mitra Berdaya Optima selaku konsultan penerapan sistem manajemen keamana

informasi membantu perusahaan dan berbagai organisasi untuk menyusun kebijakan
keamanan informasi yang spesifik dan sesuai dengan kebutuhan bisnis perusahaan. Hal
ini penting mengingat kebijakan merupakan dasar penerapan hampir semua sistem
manajemen yang mana berperan besar dalam menentukan keberhasilan keseluruhan
proses. Komitmen dan kerjasama dari para pemimpin perusahaan dan pemangku
kepentingan dalam memberikan masukan untuk penyusunan kebijakan keamanan
informasi sangat penting untuk memastikan kebijakan yang disusun menjadi tepat
sasaran.

2.7 PENGENDALIAN PREVENTIF

Komponen "orang-orang" dalam pengendalian ini adalah yang paling penting..

Orang-orang: Penciptaan sebuah budaya "Sadar Keamanan".

Untuk menciptakan sebuah budaya sadar keamanan agar para pegawai mematuhi kebijakan
organisasi, manajemen puncak tidak hanya harus mengomunikasikan kebijakan keamanan
organisasi tetapi juga harus memandu dengan mencontohkannya.

Pelatihan penting dilakukan untuk melatih para pegawai tentang serangan rekayasa sosial dan
agar pegawai tidak mengizinkan orang lain mengikuti mereka melalui pintu masuk akses
terbatas yang biasa disebut piggybacking.

Organisasi perlu menerapkan satu set pengendalian yang dirancang untuk melindungi aset
informasi mereka dari penggunaan dan akses tanpa izin yang dilakukan oleh pegawai
sehingga praktik manajemen menekankan perlunya pengendalian untuk mengelola identitas
pengguna dan akses logis agar dapat melacak dan mengidentifikasi secara khusus siapa saja
yang mengakses sistem informasi organisasi.

Pengendalian Autentikasi

Autentikasi (authentication) adalah proses verifikasi identitas seseorang atau perangkat yang
mencoba untuk mengakses sistem yang bertujuan untuk memastikan bahwa pengguna sah
yang dapat mengakses sistem.

Pengendalian Otorisasi

Otorisasi adalah proses memperketat akses dari pengguna sah terhadap bagian spesifik sistem
dan membatasi tindakan-tindakan apa saja yang diperbolehkan untuk dilakukan yang
bertujuan untuk menyusun hak serta keistimewaaan setiap pegawai dengan cara menetapkan
dan mengelola pemisahan tugas yang tepat. Pengendalian otorisasi biasanya
diimplementasikan dengan menciptakan matriks pengendalian akses atau sebuah tabel yang
digunakan untuk mengimplementasikan pengendalian otorisasi. Kemudian, ketika seorang
pegawai berusaha mengakses sumber daya sisem informasi tertentu, sistem akan melakukan
sebuah uji kompatibilitas - mencocokkan tanda bukti autentikasi pengguna terhadap matriks
pengendalian akses untuk menentukan sebaiknya pegawai diizinkan atau tidak untuk
mengakses sumber daya dan melakukan tindakan yang diminta.

Pengendalian Akses fisik

Seorang penyerang yang terampil hanya membutuhkan beberapa menit akses fisik langsung
tanpa pengawasan untuk melewati kontrol keamanan informasi yang ada. Misalnya,
penyerang dengan akses fisik langsung tanpa pengawasan dapat menginstal perangkat
pendeteksi keystroke yang menangkap kredensial otentikasi pengguna, sehingga
memungkinkan penyerang untuk kemudian memperoleh akses tidak sah ke sistem dengan
meniru pengguna yang sah. Seseorang dengan akses fisik yang tidak diawasi juga dapat
memasukkan disk khusus yang menyediakan akses langsung ke setiap file di komputer dan
kemudian menyalin file sensitif ke perangkat portabel seperti drive USB atau iPod. Sebagai
alternatif, penyerang dengan akses fisik yang tidak diawasi dapat dengan mudah melepas
hard drive atau bahkan mencuri seluruh komputer.

Pengendalian Akses jaringan

Sebagian besar organisasi menyediakan karyawan, pelanggan, dan pemasok dengan akses
jarak jauh ke sistem informasi mereka. Akses ini terjadi melalui Internet, tetapi beberapa
organisasi masih mempertahankan jaringan kepemilikan mereka sendiri atau menyediakan
akses dial-up langsung melalui modem. Banyak organisasi juga menyediakan akses wirjess
ke sistem mereka.

PENGENDALIAN DETEKTIF

Pengendalian detektif meningkatkan keamanan dengan memantau efektivitas kontrol

pencegahan dan mendeteksi insiden di mana kontrol pencegahan telah berhasil dielakkan.
Berikut ini akan membahas empat jenis kontrol detektif yaitu:

Analisis log

Sebagian besar sistem dilengkapi dengan kemampuan luas untuk membuat log yang
mengakses sistem dan tindakan spesifik apa yang dilakukan setiap pengguna. Log ini
membentuk jejak audit akses sistem. Seperti halnya audit rel lainnya, log hanya bernilai jika
diperiksa secara rutin. Analisis log adalah proses pemeriksaan catatan untuk mengidentifikasi
bukti dari serangan yang mungkin. Sangat penting untuk menganalisis log dari upaya yang
gagal untuk masuk ke sistem dan upaya gagal untuk mendapatkan akses ke sumber daya
informasi tertentu. Tujuan dari analisis log adalah untuk menentukan alasan untuk upaya log-
on yang gagal ini. Log perlu dianalisis secara teratur untuk mendeteksi masalah secara tepat
waktu.

Sistem deteksi intrusi

Sistem deteksi intrusi (lDSs) terdiri dari satu set sensor dan unit pemantau pusat yang
membuat log lalu lintas jaringan yang diizinkan untuk melewati firewall dan kemudian
menganalisa log tersebut untuk tanda-tanda gangguan percobaan atau sukses. Seperti IPS,
fungsi IDS dengan membandingkan lalu lintas yang diamati ke database tanda tangan
serangan yang dikenal atau ke model lalu lintas "normal" pada jaringan tertentu. Selain itu,
IDS dapat diinstal pada perangkat khusus untuk memantau upaya tidak sah untuk mengubah
konfigurasi perangkat tersebut. Perbedaan utama antara IDS dan IPS adalah bahwa yang
pertama hanya menghasilkan peringatan peringatan ketika mendeteksi pola lalu lintas
jaringan yang mencurigakan, sedangkan yang kedua tidak hanya mengeluarkan peringatan
tetapi juga secara otomatis mengambil langkah untuk menghentikan serangan yang dicurigai.

Laporan manajerial

Kerangka kerja COBIT memberikan pedoman manajemen yang mengidentifikasi faktor-

faktor penentu keberhasilan yang terkait dengan setiap tujuan pengendalian dan menyarankan
indikator kinerja utama yang dapat digunakan manajemen untuk memantau dan menilai
efektivitas pengendalian.

Pengujian keamanan

Pengujian penipisan memberikan cara yang lebih teliti untuk menguji keefektifan keamanan
informasi organisasi. Tes penetrasi adalah upaya yang sah oleh tim audit internal atau
perusahaan konsultan keamanan eksternal untuk membobol sistem informasi organisasi.

PENGENDALIAN KOREKTIF

Organisasi membutuhkan prosedur untuk melakukan tindakan korektif tepat waktu. Banyak
pengendalian korektif, bagaimanapun, bergantung pada manusia judgrnent. Akibatnya,
efektivitas mereka sangat tergantung pada perencanaan dan persiapan yang tepat. Beriku ini
membahas tiga kontrol korektif yang sangat penting yaitu :

Pembentukan tim respon insiden komputer

Komponen untuk dapat menanggapi insiden keamanan dengan segera dan efektif adalah
pembentukan tim respon insiden komputer (CIRT) yang bertanggung jawab untuk menangani
insiden besar. CIRT harus mencakup tidak hanya spesialis teknis tetapi juga manajemen
operasi senior, karena beberapa tanggapan potensial terhadap insiden keamanan memiliki
konsekuensi ekonomi yang signifikan. Manajemen operasi yang memiliki pengetahuan luas
untuk mengevaluasi dengan benar biaya dan manfaat dari tindakan semacam itu, dan hanya
harus memiliki kewenangan untuk membuat keputusan itu.CIRT harus memimpin proses
tanggapan insiden organisasi melalui empat langkah berikut:

1) Pengakuan bahwa adanya masalah.

2) Penahanan masalah.

3) Pemulihan.

4) Mengikuti

Penunjukan individu tertentu, yang disebut sebagai Chief Information Security Officer
(CISO)

Tanggung jawab untuk keamanan informasi diberikan kepada seseorang pada tingkat senior
yang sesuai. Salah satu cara untuk memenuhi tujuan ini adalah untuk menciptakan posisi
kepala keamanan informasi utama (CISO), yang harus independen dari fungsi sistem
informasi lainnya dan harus melaporkan kepada chief operating officer (COO) atau CEO.
CISO harus memahami lingkungan teknologi comppny dan bekerja dengan CIO untuk
merancang, menerapkan, dan mempromosikan kebijakan dan prosedur perataan suara. CISO
juga harus menjadi penilai dan penilai tidak memihak terhadap lingkungan TI. Dengan
demikian, CISO harus memiliki tanggung jawab untuk memastikan bahwa penilaian
kerentanan dan risiko dilakukan secara teratur dan bahwa audit keamanan dilakukan secara
berkala. CISO juga perlu bekerja sama dengan orang yang bertanggung jawab atas keamanan
fisik, karena akses fisik yang tidak sah dapat memungkinkan penyusup untuk melewati
kontrol akses logis yang paling rumit. Untuk memfasilitasi integrasi keamanan fisik dan
informasi, beberapa organisasi telah menciptakan posisi baru, chief security officer (CSO),
yang bertanggung jawab atas kedua fungsi tersebut.

Sistem manajemen patch yang dirancang dengan baik

Perlunya memperbaiki kerentanan yang diketahui dengan menginstal pembaruan terbaru

untuk kedua program keamanan (misalnya, perangkat lunak antivirus dan firewall) dan ke
sistem operasi dan program aplikasi lain untuk melindungi organisasi dari virus dan jenis
malware lainnya. . Ini penting karena jumlah kerentanan yang dilaporkan meningkat setiap
tahun. Penyebab utama meningkatnya kerentanan yang dilaporkan adalah ukuran dan
kompleksitas perangkat lunak yang terus meningkat. Patch adalah kode yang dirilis oleh
pengembang perangkat lunak yang memperbaiki kerentanan tertentu. Manajemen patch
adalah proses untuk secara teratur menerapkan tambalan dan pembaruan untuk semua
perangkat lunak yang digunakan oleh organisasi. Ini tidak semudah kedengarannya.
Tambalan merepresentasikan modifikasi pada perangkat lunak yang sudah rumit. Akibatnya,
patch kadang-kadang menciptakan masalah baru karena efek samping yang tak terduga. Oleh
karena itu, organisasi perlu hati-hati menguji efek tambalan sebelum menyebarkannya; jika
tidak, mereka menjalankan risiko menabrak aplikasi penting. Masalah yang lebih rumit
adalah kenyataan bahwa ada kemungkinan beberapa patch dirilis setiap tahun untuk setiap
program perangkat lunak yang digunakan oleh organisasi.

BAB III

PENUTUP
 DAFTAR PUSTAKA

Ramadhani, A. (2018). Keamanan ga Information and Library Studies (N-JILS), 1(1), 39-51.

Chazar, C. (2015). Standar manajemen keamanan sistem informasi berbasis ISO/IEC 27001:
2005. Jurnal Informatika dan Sistem Informasi, 7(2), 48-57.

Saputra, I. G. N. I., Sasmita, G. M. A., & Wiranatha, A. A. K. A. C. (2017). Pengembangan

Sistem Keamanan untuk E-Commerce. Jurnal Ilmiah Merpati (Menara Penelitian
Akademika Teknologi Informasi), 17-28.