Diajukan untuk memenuhi salah satu tugas mata kuliah Sistem Informasi
Manajemen
Dosen Pengampu
Prof. Dr. H. Deden Mulyana, S.E., M.Si.
Oleh:
Kelompok 9
Barkah Hidayatullah 228334011
Heni Susilawati 228334035
Idris Maulana 228334037
Indah Wijayanti 228334039
Jalila Fauziyyah Zen 228334045
Ratih Indriane Septiani 228334061
Wida Lisnawati 228334080
Segala Puji dan syukur penulis panjatkan kehadirat Allah SWT yang telah
melimpahkan segala rahmat-Nya sehingga penulis dapat menyelesaikan tugas
makalah dengan judul “Information Security” guna memenuhi salah satu
persyaratan untuk memperoleh nilai mata kuliah Sistem Informasi Manajemen.
Penulis menyadari kelemahan serta keterbatasan yang ada sehingga dalam
menyelesaikan makalah ini memperoleh bantuan dari berbagai pihak, dalam
kesempatan ini penulis menyampaikan ucapan terimakasih kepada :
1. Bapak Prof Dr. H. Deden Mulyana, S.E., M.Si sebagai dosen pengampau
mata kuliah Sistem Informasi Manajemen.
2. Ibu Dr. Ati Rosliyati, S.E., M.M., AK., CA sebagai dosen pengampau
mata kuliah Sistem Informasi Manajemen.
3. Teman-teman kelompok 9 yang sudah bekerjasama dalam mengerjakan
tugas makalah ini.
Penulis menyadari bahwa makalah ini masih banyak kekurangan baik isi
maupun susunannya. Semoga makalah ini dapat bermanfaat tidak hanya bagi
penulis juga bagi para pembaca.
Penulis
i
DAFTAR ISI
BAB I ...................................................................................................................... 1
PENDAHULUAN................................................................................................... 1
BAB II ..................................................................................................................... 4
ii
2.10 Sistem Pendeteksi Gangguan Keamanan Informasi .................................. 30
BAB III.................................................................................................................. 38
ANALISIS KOMPARATIF.................................................................................. 38
BAB IV ................................................................................................................. 46
iii
BAB I
PENDAHULUAN
1
Keamanan informasi bertujuan untuk melindungi data dan informasi dari
akses, penggunaan, pengungkapan dan pengoperasian, modifikasi dan
penghancuran oleh pengguna (user) yang tidak berwenang.dan informasi tersebut
akan diragukan keakuratannya, bahkan menjadi sebuah informasi yang dapat
menyesatkan. Pihak manajemen harus menyusun Information Security
Management (ISM) sebagai bentuk perlindungan system informasi perusahaan
dari berbagai risiko dan ancaman baik ekternal maupun internal. Kemanan
Informasi seyogyanya dapat diperhitungan dengan melihat tingkat bahaya dari
tiga hal, yaitu bahaya penyalahgunaan dan implikasi sistem dari sisi brainware,
hardwere, maupun softwere, baik dalam penggunaan yang tidak sah,
penghancuran dan atau modifikasi diluar otoritas.
Berdasarkan hal tersebut di atas penulis tertarik untuk memaparkan lebih
lanjut mengenai Information Security. Kajian yang dibahas di dalam makalah ini
merupakan tinjauan komparasi di Rumah Sakit Jasa Kartini Tasikmalaya yang
sudah menggunakan Sistem Informasi Manajemen untuk menunjang pelayanan,
serta tidak terlepas dengan berbagai faktor penyulit, karena kategori kegiatan
usaha ini merupakan kegiatan yang padat karya, padat profesi, padat teknologi,
padat regulasi, dan padat konflik, sehingga perlu dilaksanakan kajian pengamanan
sistem informasi yang baik untuk menghindari berbagai risiko terburuk. Dalam
makalah ini juga akan dilakukan pengkajian study kasus tentangg keamanan
informasi yang telah terjadi di perusahaan e-commerce.
2
4. Bagaiamana Bantuan pemerintah dan Industri mengenai sistem
keamanan informasi?
5. Bagaimana Manajemen Keberlangsungan Bisnis?
6. Bagaimana Implementasi Kemanan Informasi di Perusahaan?
3
BAB II
KAJIAN PUSTAKA
4
informasi.Sedangkan sifat dari informasi yang diamankan adalah informasi yang
tidak berbentuk fisik.
Dukungan yang diberikan untuk membentuk keamanan informasi sebagai
suatu sistem meliputi penyediaan struktur organisasi, kebijakan keamanan, serta
prosedur dan proses pengamanan. Komponen lain yang juga penting adalah
penyediaan sumber daya manusia yang bertanggung jawab.Keamanan informasi
dapat diterapkan oleh perusahaan, organisasi, lembaga pemerintahan, perguruan
tinggi maupun individu. Manfaat adanya keamanan informasi adalah terhindar
dari penipuan di dalam suatu sistem informasi. Selain itu, keamanan informasi
juga dapat menjaga kerahasiaan, ketersediaan dan integritas terhadap sumber daya
informasi yang dimilikinya. Sebaliknya, kegagalan dalam mengadakan keamanan
informasi dapat menyebabkan kehancuran suatu organisasi.
Keamanan Teknologi Informasi adalah usaha yang dilakukan agar
teknologi informasi yang digunakan baik perangkat lunak (software), perangkat
keras (hardware) dan perangkat pikir (brainware) tetap berjalan sesuai dengan
fungsinya. Semua perangkat tersebut harus dilindungi agar terhindar dari serangan
orang yang tidak bertanggungjawab seperti hacker misalnya, untuk mengetahui
bagaimana langkah- langkah hacker dalam melakukan peretasan bisa. Keamanan
teknologi informasi disebut juga dengan dengan istilah cyber security atau
Information Technology Security (IT Security). Beberapa tahun ini aspek IT
Security menjadi pokok permasalahan dalam penggunaan teknologi informasi,
seolah penggunakan teknologi mempunyai dua sisi mata pedang yang bisa
menguntungkan sedangkan sisi lainnya bisa menjadi kerugian pagi pengguna
teknologi itu sendiri. Oleh karena itu, manajemen ini menjadi kebutuhan dalam
organisasi. Di dalam manajemen dibangun kebijakan mengenai keamanan
teknologi informasi dalam memaksimalkan penggunaan teknologi itu sendiri
(Awalia et al.,2022).
Keamanan informasi memiliki tiga tujuan utama, yaitu:
1. Confidentiality
5
Confidentiality adalah kerahasiaan. Menurut ISO 17799 Confidentiality
artinya suatu data atau informasi hanya dimiliki dan bisa diakses oleh
pihak yang memiliki kewenangan atau yang memiliki otoritas. Oleh
karena itu, perlu dibuat kebijakan IT Security berupa klasifikasi
data/informasi menurut otoritas yang bisa mengetahuinya. Klasifikasi
dengan top secret yang hanya diakses oleh direktur utama, midle secret
oleh manager, informasi internal yang hanya konsumsi pihak institusi saja
dan informasi umum (Awalia et al.,2022).
Setiap organisasi pasti berusaha untuk melindungi data yang dimilikinya
supaya terjamin kerahasiaannya. Dengan adanya sistem keamanan,
informasi hanya dapat diakses oleh orang-orang yang diprioritaskan saja
(Amrozi & Mt, 2019).
2. Availability
3. Integrity
6
Integrity atau disebut juga dengan integritas yaitu data tidak
berubah dari aslinya oleh pihak yang tidak memiliki otoritas, sehingga
kualitas, akurasi, dan validitas data tersebut masih terjaga. Atau dengan
kata lain, Integrity memastikan bahwa data yang ada benar- benar asli
tidak ada yang mengubah. Data yang ada tidak dirubah baik sengaja oleh
peretas atau karena tidak sengaja seperti force majuer. Integrity dapat
dilakukan dengan cara seperti membatasi akses kontrol, membuat
otentifikasi dan membuat enkripsi.
Semua sistem informasi harus mampu memberikan gambaran
akurat dan lengkap dari sistem fisik yang diwakilinya. Dan dengan adanya
sistem keamanan yang terjamin, diharapkan dapat membantu
mengamankan aset informasi dari orang yang tidak berhak mengkasesnya.
Apalagi pada zaman modern ini, banyak sekali situs-situs yang
mengunggah tentang tutorial-tutorial meretas, membobol sistem keamanan
dan sejenisnya yang terkadang disalahgunakan oleh para viewersnya,
sehingga banyak heacker dan cracker yang bermunculan. Oleh karena itu,
untuk meminimalisir agar tidak terjadi berbagai gangguan dan ancaman,
banyak organisasi-organsasi yang rela mengeluarkan fasilitas-fasilitas
yang relatif mahal hanya untuk meningkatkan kualitas keamanan
sistemnya.
2.2 Manajemen Keamanan Teknologi Informasi
IT Security perlu dikelola agar teknologi yang digunakan bisa
mengantarkan kepada tujuan penggunaan teknologi. Karena jika tidak maka
penggunaan teknologi bisa sebaliknya menjauhkan dari tujuan. Mengelola
keamanan teknologi bisa dimulai dari :
a. Mengidentifikasi risiko dari penggunaan teknologi informasi
b. Menemukan ancaman penggunaan teknologi informasi
c. Membuat kebijakan keamanan atau security policy
d. Mengontrol kebijakan yang telah dibuat.
Berdasarkan cara mengelola keamanan teknologi tersebut dapat
digambarkan pada gambar 2.1 yaitu strategi keamanan manajemen.
7
Gambar 2.1. Strategi Keamanan Manajemen
Tolak ukur (benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur
keamanan informasi (information security benchmark) adalah tingkat kemanan
yang disarankan yang dalam keadaan normal harus menawarkan perlindungan
yang cukup terhadap gangguan yang tidak terotorisasi. Standar atau tolak
ukur semacam ini ditentukan oleh pemerintah dan asosiasi industri serta
mencerminkan komponen- komponen program keamanan informasi yang baik
menurut otoritas tersebut.
Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan
terhadap tolak ukur (benchmark compliance) dapat diasumsikan bahwa
pemerintah dan otoritas industri telah melakukan pekerjaan yang baik dalam
mempertimbangkan berbagai ancaman serta risiko dan tolak ukur tersebut
menawarkan perlindungan yang baik.
Keamanan informasi memiliki tiga tujuan utama yaitu keterjagaan,
kesesuaian dan integritas. Keterjagaan berarti bahwa keamanan informasi harus
melindungi data dan informasi dari pihak yang tidak memiliki wewenang untuk
mengetahui atau mengelolanya. Kesesuaian berarti bahwa keamanan informasi
harus memastikan bahwa informasi hanya digunakan oleh pihak yang berwenang
8
untuk mengelolanya. Sementara itu, integritas berarti bahwa keamanan informasi
harus memberikan gambaran yang tepat dan akurat berkaitan dengan sistem fisik
yang ditampilkannya.
2.3 Ancaman
Setiap hal yang dapat memberikan kondisi berbahaya terhadap sumber
daya informasi disebut sebagai ancaman keamanan informasi. Bentuk ancaman ini
dapat berupa orang, organisasi, mekanisme atau suatu peristiwa. Ancaman
keamanan informasi dapat ada secara disengaja maupun tidak disengaja.
Penyebab timbulnya ancaman keamanan informasi dapat berasal dari sisi internal
maupun eksternal. Ancaman baru yang timbul dalam teknologi informasi
berkembang seiring dengan meningkatnya jumlah data dan cara untuk
mengeksploitasinya. Ancaman ini dapat diatasi dengan menggunakan peralatan
dengan teknologi informasi yang canggih.
Pada teknologi dan komunikasi internet, perusahaan atau organisasi juga
dapat mempekerjakan pekerja yang ahli dalam bidang keamanan sistem informasi
agar informasi penting dapat diamankan dari ancaman oleh peretas. Kandidat
pekerja memiliki partisipasi aktif yang dapat dinilai dalam komunitas yang
membidangi keamanan informasi. Partisipasi kandidat pekerja dapat diketahui
melalui daftar surat elektronik keamanan informasi, keikutsertaan dalam asosiasi
profesional atau konferensi keamanan.
Selain itu, kandidat juga dapat dinilai berdasarkan publikasi ilmiah yang
diterbitkannya, kecakapan dalam manajemen proyek, kemampuan komunikasi dan
kemampuan membuat gagasan yang dapat dibuktikan dan diterima keabsahannya.
Penilaian keamanan informasi dari ancamannya ditinjau dari ancaman fisikal dan
ancaman logikal.
Ancaman fisikal merupakan ancaman yang mengancam personil,
perangkat keras, fasilitas, dokumentasi dan persediaan informasi. Sedangkan
ancaman logikal mengancam data, informasi dan perangkat lunak. Keamanan
informasi dikatakan telah memberikan keadaan aman jika aset informasi dapat
9
terhindar dari kerugian akibat ancaman informasi dalam jangka waktu dengan
batasan kondisi tertentu yang dapat diterima.
Ancaman Keamanan Informasi (Information Security Threat) merupakan
orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk
membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman
dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja.
10
yang disebabkan oleh orang-orang di dalam ataupun diluar perusahaan.
Bencana alam dan politik, contoh: gempa bumi, banjir, kebakaran.
Kesalahan manusia, contoh: kesalahan penginputan data, kesalahan
penghapusan data, kesalahan operator. Kegagalan software dan hardware,
contoh: penyelewengan aktivitas, penyalahgunaan kartu kredit, sabotase,
pengaksesan oleh orang yang tidak berhak. Program yang jahat dan usil,
contoh: virus, worm.(Amrozi & Mt, 2019; Mcleod & Schell, 2009;
Ramadhani, 2018)
2.3.1 Jenis Ancaman
Ancaman sendiri merupakan segala sesuatu yang dapat mengganggu
keseimbangan sistem informasi, baik itu ancaman dari dalam maupun dari luar
sistem. Di dalam keamanan sistem informasi, ancaman dibagi menjadi dua bagian
yaitu ancaman aktif dan ancaman pasif.
a. Pencurian Data
Pencurian data merupakan satu ancaman yang cukup fatal.
Dengan adanya pencurian data tersebut salah satu contohnya
adalah pencurian informasi penting yang terdapat di database dapat
diakses orang yang tidak berwenang, hasilnya akan kehilangan
informasi atau uang. Misalnya perusahaan satu dapat mencuri
rahasia dari perusahaan lawannya, dan lain-lain.
b. Penggunaan Sistem Secara Ilegal
Penggunaan sistem secara illegal maksudnya yaitu orang
yang seharusnya tidak berhak mengakses informasi pada suatu
sistem tapi justru mengakses sistem tersebut. Pelaku dari ancaman
ini biasanya disebut dengan hacker, mereka bertujuan untuk
mendapatkan informasi yang ingin mereka dapatkan. Mereka bisa
meretas telepon jarak jauh secara tidak sah.
c. Penghancuran Data Secara Ilegal
11
Penghancuran data secara illegal yaitu orang yang dapat
merusak, menghancurkan data dan informasi dan membuat
berhentinya suatu sistem operasi komputer. Dan biasanya pelaku
dari penghancuran data ini tidak perlu berada di lokasi, mereka bisa
melakukannya dari jarak jauh, yaitu melalui sebuah jaringan
komputer dari suatu terminal dan menyebabkan kerusakan pada
semua sistem atau hilangnya data dan informasi penting. Biasanya
penjahat ini disebut dengan cracker atau penjebol sistem komputer
yang bertujuan melakukan pencurian data atau merusak sistem.
d. Modifikasi Secara Ilegal
Modifikasi secara illegal yaitu segala sesuatu yang
bertujuan merubah data atau informasi dan perangkat lunak secara
tidak disadari. Modifikasi ini dapat menghapus file atau
menyebabkan sistem terhenti.
a. Kegagalan sistem
Kegagalan sistem atau kegagalan software dan hardware
biasanya dapat menyebabkan data tidak konsisten, transaksi tidak
berjalan degnan lancar sehingga data menjadi tidak lengkap atau
bahkan data menjadi rusak. Selain itu, tegangan listrik yang tidak
stabil dpat membuat peralatan-peralatan menjadi rusak dan
terbakar.
b. Kesalahan Manusia
Kesalahan manusia yaitu kesalahan-kesalahan yang
dilakukan oleh manusia. Hal ini dapat mengancam integritas sistem
dan data.
c. Bencana Alam
Bencana alam merupakan faktor yang tidak terduga dan
dapat mengancam sistem informasi sehingga sumber daya
12
pendukung sistem jadi tidak berfungsi dalam waktu yang singkat.
Contohnya banjir, gempa bumi dan kebakaran.
1. Virus
Virus adalah sebuah perangkat lunak berbahaya yang
mengikatkan dirinya pada program perangkat lunak lain atau arsip
data yang akan dijalankan (Laudon & Laudon, 2014). Virus dapat
mereplikasi dirinya sendiri tanpa dapat diamati oleh pengguna.
Virus biasanya menyebar dari komputer ke komputer saat manusia
melakukan sebuah tindakan. Meskipun mereka terkadang hanya
menampilkan pesan lucu, mereka lebih serng menghancurkan isi
memori, hard disk, dan perangkat penyimpanan lain.
2. Worm
Worm, tidak seperti virus, worm atau cacing tidak dapat
mereplikasi dirinya sendiri di dalam sistem, tapi dapat
menyebarkan salinannya melalui sebuah jaringan dan dapat
dijalankan tanpa bantuan. Penyerangan ini tidak banyak
bergantung pada perilaku manusia untuk menyebarkan dirinya. Ini
mengapa worm berkembang lebih pesat dibanding virus komputer.
3. Trojan horse
Trojan horse atau kuda troya tidak dapat mereplikasi atau
mendistribusikan dirinya sendiri. Biasanya disebarkan sebagai
suatu perangkat, saat perangkat tersebut digunakan perangkat
tersebut menghasilkan perubahan pada fungsi yang tidak
diinginkan (McLeod & Schell, 2008). Trojan bersembunyi di balik
aplikasi yang kelihatannya sah, dan membuat perintah untuk
aplikasi dan film secara otomatis tanpa izin user dan menyebabkan
user mendapat tagihan telepon yang tinggi.
4. Adware
13
Adware adalah ancaman dengan memunculkan iklan- iklan
yang mengganggu (Mcleod & Schell, 2009)
5. Spyware
Spyware, dari namanya dapat kita lihat kata spy, disana
mengartikan bahwa ancaman tersebut dapat memata- matai dan
mengumpulkan data dari mesin user.
6. Intrusion
Intrusion adalah metode ketika seorang penyerang dapat
menggunakan sistem komputer yang dimiliki orang lain. Biasanya
pelaku ini ingin mengakses sebagaimana halnya pengguna yang
memiliki hak untuk mengakses sistem tersebut.
7. Denial of Service
Denial of Services lebih bahaya lagi dibanding Intrusion,
pada metode ini biasanya pengguna yang sah tidak lagi dapat
mengakses sistem karena kemacetan pada sistem. Contoh dari
metode ini adalah DDOS (Distributed Denial of Services) yang
mengakibatkan beberapa situs internet tak bisa diakses. Banyak
yang melupakan metode ini dan hanya mengingat Intrusion.
8. Joyrider
Joyrider metode ini umumnya disebabkan oleh orang yang
iseng dan ingin memperoleh kesenangan dengan menyerang suatu
sistem. Mereka berfikir kalau di sistem tersebut terdapat data yang
menarik. Rata-rata mereka hanya ingin memenuhi rasa ingin tahu,
tapi berujung dengan terjadinya kerusakan atau kehilangan data.
9. Vandal
Vandal metode ini adalah metode yang bertujuan untuk
merusak sistem, namun hanya ditujukan untuk situs-situs yang
sudah besar.
10. Hijacking
Hijacking yaitu dimana seseorang menempatkan sistem
monitoring atau spying terhadap pegnetikan yang dilakukan
14
pengguna pada PC yang digunakan oleh pengguna yang berhak.
Biasanya mereka menggunakan program yang bernama keylog
atau sejenisnya. Saat ini justru banyak perusahaan yang
menggunakan jasa tersebut.
11. Sniffing
Sniffing yaitu dimana seseorang yang melakukan
monitoring atau penangkapan terhadap paket data yang
ditransmisikan dari komputer client ke web server pada jaringan
internet (saluran komunikasi).
12. Spoofing
Spoofing yaitu dimana seseorang berusaha pengguna
mengunjungi sebuah halaman situs yang salah sehingga membuat
pengunjung situs memberikan informasi rahasia pada pihak yang
tidak berhak (Paryati, 2008). Biasanya metode ini membuat situs
yang namanya mirip dengan situs yang asli. Seperti contohnya
terdapat sebuah nasabah bank bca yang tertipu dengan memberi
nama www.klik_bca.com, www.klikbca.org dan lain- lain. Tujuan
dari metode ini adalah untuk menjebak nasabah agar memberikan
informasi pentingnya seperti pin atau password dan lain-lain.
13. Website Defecing
Website Defacing yaitu dimana seseorang melakukan
serangan pada situs yang asli, kemudia mengganti isi halaman pada
server tersebut dengan halaman yang telah dimodifikasi. Tujuan
dari melakukan metode ini adalah agar instansi, perusahaan,
pemerintahan dan organisasi tertentu yang memiliki situs sebagai
sarana untuk memberikan kemudahan bagi masyarakat terkait
menjadi tidak berfungsi sebagaimana mestinya (Amrozi & Mt,
2019; Mcleod & Schell, 2009).
15
2.4 Resiko Keamanan Informasi
Risiko keamanan informasi merupakan berbagai kemungkinan yang dapat
disebabkan oleh ancaman informasi selama melakukan pelanggaran keamanan
informasi. Timbulnya risiko keamanan informasi merupakan akibat dari tindakan
yang dilakukan tanpa pemberian hak pengelolaan. Terdapat beberapa jenis risiko
keamanan informasi yaitu pengungkapan, penggunaan, penghancuran, penolakan
layanan dan pengubahan informasi tanpa pemberian hak pengelolaan. Ancaman
dan risiko yang timbul dalam keamanan informasi menjadi permasalahan utama
dalam sistem informasi. Dampak yang ditimbulkannya akan mempengaruhi
efisiensi, kerahasiaan, integritas, keberadaan, kepatuhan dan keandalan dari suatu
sistem informasi.
16
file/program induk (host). Ada banyak cara yangdilakukan oleh virus dalam
menginfeksi program induk, antara lain overwriting, appending, dan prepending.
Ada banyak cara untuk mendeteksi keberadaan virus pada sistem
komputer, diantaranya adalah sebagai berikut :
17
barang pemesanan kepada pelanggan dan bahkan untuk pelayanan yang lebih baik
kepada pelanggan dengan membuat Customer Relationship Management (CRM).
Customer Relationship Management adalah suatu strategi pemasaran yaitu untuk
mendapatkan pelanggan dan mempertahankan pelanggan sehingga pelanggan
tersebut akan menjadi pelanggan yang setia kepada perusahaan.
Pemanfaatan teknologi informasi dalam menjalankan bisnis atau sering
dikenal dengan istilah e-commerce bagi perusahaan kecil dapat memberikan
fleksibilitas dalam produksi, memungkinkan pengiriman ke pelanggan secara
lebih cepat untuk produk perangkat lunak, mengirimkan dan menerima penawaran
secara cepat dan hemat, serta mendukung transaksi cepat tanpa kertas.
E-commerce, dalam arti luas, adalah penggunaan jaringan komputer untuk
meningkatkan kinerja organisasi, meningkatkan profitabilitas, memperoleh pangsa
pasar, meningkatkan layanan pelanggan, dan pengiriman produk secara cepat. E-
Commerce bukan sekedar memesan barang dari katalog online. Tetapi melibatkan
semua aspek interaksi elektronik organisasi dengan perusahaan Stakeholder,
orang-orang yang menentukan masa depan organisasi. Perdagangan elektronik
termasuk kegiatan seperti mendirikan sebuah halaman Web untuk mendukung
hubungan investor atau berkomunikasi secara elektronik. Secara singkat, e-
commerce melibatkan penggunaan teknologi informasi untuk meningkatkan
komunikasi dan transaksi dengan seluruh pemangku kepentingan organisasi.
Stakeholder tersebut meliputi pelanggan, pemasok, pemerintah regulator, lembaga
keuangan, manajer, karyawan, dan masyarakat pada umumnya.
E-commerce dibangun di atas sejumlah teknologi yang berbeda. Berbagai
teknologi ini menciptakan sebuah layer infrastruktur, terintegrasi yang merupakan
pengembangan dan penyebaran aplikasi perdagangan elektronik. Setiap lapisan
didirikan dari lapisan bawah dan tidak dapat berfungsi bila lapisan tersebut tidak
ada.
Di dalam e-commerce, para pihak yang melakukan kegiatan
perdagangan/perniagaan hanya berhubungan melalui suatu jaringan publik (public
network) yang dalam perkembangan terakhir menggunakan media internet. Telah
dikemukakan di bagian awal tulisan, bahwa koneksi ke dalam jaringan internet
18
sebagai jaringan publik merupakan koneksi yang tidak aman. Hal ini
menimbulkan konsekuensi bahwa E-commerce yang dilakukan dengan koneksi ke
internet adalah merupakan bentuk transaksi beresiko tinggi yang dilakukan di
media yang tidak aman.
Kelemahan yang dimiliki oleh Internet sebagai jaringan publik yang tidak
aman ini telah dapat diminimalisasi dengan adanya penerapan teknologi
penyandian informasi (Crypthography). Electronic data transmission dalam e-
commerce disekuritisasi dengan melakukan proses enkripsi (dengan rumus
algoritma) sehingga menjadi cipher/locked data yang hanya bisa dibaca/dibuka
dengan melakukan proses reversal yaitu proses dekripsi sebelumnya telah banyak
diterapkan dengan adanya sistem sekuriti seperti SSL, Firewall, dsb.
Resiko yang dapat terjadi pada sistem Internet E-commerce dapat dipilah
menjadi dua bagian, yaitu :
19
bombing), Ping of Death, DoS (Denial of Service)
atau Ddos (Distributed Denial of Service).
b. Resiko Transaksi
Banyak Pengguna Internet yang masih takut dalam
melakukan transaksi di Internet, baik untuk membeli dan menjual
barang di toko-toko Virtual, maupun melakukan transaksi
keuangan pada sistem Intenet Banking. Resiko dalam melakukan
transaksi di Internet sangat tinggi, karena selain beragamnya tujuan
pengguna Internet, perngkat hukum yang menaungi keamanan
dalam bertransaksi di Internet masih belum memadai. Beberapa
resiko transaksi pada Internet adalah sebagai berikut :
1. Penipuan dengan memasang situs palsu yang kemudian
menangkap nomor kartu kredit.
2. Penipuan dengan menggunakan nomor kartu kredit palsu
untuk melakukan transaksi di Internet.
3. Penipuan domain sehingga dapat memasang situs palsu
untuk menangkap nomor kartu kredit dan komponen
autentikasi sehingga dapat digunakan untuk penipuan lain.
20
4. Penipuan dengan menyangkal telah melakukan suatu
transaksi .
5. Penipuan dengan membuat transaksi palsu.
6. Terjadinya transaksi ganda akibat kesalahan pengiriman
data.
21
perusahaan. Selain itu, keamanan informasi dan kelayakan unit informasi dapat
diawasi oleh petugas kelayakan informasi.
Pertanggungjawaban atas kinerjanya disampaikan langsung kepada
direktur utama dalam suatu perusahaan. Manajemen keamanan informasi dapat
dibagi menjadi empat tahap. Pertama, ancaman-ancaman yang dapat
membahayakan informasi diidentifikasi terlebih dahulu. Setelahnya, risiko-risiko
yang dapat muncul dari keberadaan ancaman harus diperhitungkan. Dari risiko-
risiko tersebut disusunlah kebijakan keamanan informasi. Isi kebijakan ini
kemudian memasukkan aturan yang berkaitan dengan pengendalian risiko.
Manajemen keamanan informasi dapat dikerjakan dengan terarah dengan adanya
kebijakan keamanan informasi (Awalia et al.,2022).
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai
keamanan informasi. Risiko dapat dikelola dengan cara mengendalikan atau
menghilangkan risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri
atas empat langkah:
22
Tabel 2.1 Tingkat Dampak dan Kelemahan
Dampak Parah Dampak Dampak Minor
Signifikan
Melaksanakan Melaksanakan Analisis kelemahan
Kelemahan analisis kelemahan analisis kelemahan tidak dibutuhkan
Tingkat Harus meningkatkan Harus
Tinggi pengendalian meningkatkan
pengendalian
Melaksanakan Melaksanakan Analisis kelemahan
Kelemahan analisis kelemahan. analisis kelemahan. tidak dibutuhkan
Tingkat Sebaiknya Sebaiknya
Menengah meningkatkan meningkatkan
pengendalian. pengendalian.
Melaksanakan analisis Melaksanakan Analisis kelemahan
Kelemahan kelemahan. analisis kelemahan. tidak dibutuhkan
Tingkat Menjaga Pengendalian Menjaga
Rendah tetap ketat. Pengendalian tetap
ketat.
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
23
c. Dampak minor (minor impact) yang menyebabkan kerusakan yang
mirip dengan yang terjadi dalam operasional sehari-hari.
d. Setelah analisis risiko diselesaikan, hasil temuan sebaiknya
didokumentasikan dalam laporan analisis risiko. Isi dari laporan ini
sebaiknya mencakup informasi berikut ini, mengenai tiap-tiap
risiko :
1. Deskripsi risiko
2. Sumber risiko
3. Tingginya tingkat risiko
4. Pengendalian yang diterapkan pada risiko tersebut
5. Para pemilik risiko tersebut
6. Tindakan yang direkomendasikan untuk mengatasi risiko
7. Jangka waktu yang direkomendasikan untuk mengatasi
risiko
8. Jika perusahaan telah mengatasi risiko tersebut, laporan
harus diselesaikan dengan cara menambahkan bagian akhir
apa yang telah dilaksanakan untuk mengatasi risiko
tersebut. (Mcleod & Schell, 2009)
24
dimiliki oleh perusahaan. Security Policy sangat diperlukan mengingat banyak
ditemuinya masalah-masalah non teknis salah satunya penggunaan password oleh
lebih dari satu orang. Hal ini menunjukan tidak adanya kepatuhan dalam
menerapkan sistem keamanan informasi. Security Policy meliputi berbagai aspek,
yaitu:
25
Informasi Manajemen, pengendalian dibagi menjadi 3 kategori yaitu :
pengendalian teknis, pengendalian formal, dan pengendalian informal.
2.9.1 Pengendalian teknis
Pengendalian teknis atau technical control, adalah pengendalian yang
menjadi satu di dalam sistem dan dibuat oleh penyusun sistem selama masa siklus
penyusunan sistem. Agar menjadi desain sistem, pengendalian ini disarankan
untuk melibatkan seorang auditor internal di dalam tim. Kebanyakan
pengendalian keamanan dibuat dari teknologi hardware dan software..
Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi hardware dan
software (Amrozi & Mt, 2019; Mcleod & Schell, 2009).
Dalam pengendalian teknis itu sendiri dibagi lagi menjadi 3 kategori,
yaitu: pengendalian akses, pengendalian kriptografis, dan pengendalian fisik.
2.9.1.1 Pengendalian Akses / Kontrol Akses
Pengendalian akses, adalah dasar untuk keamanan melawan
ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi (Amrozi
& Mt, 2019). Maksud dari diotorisasi disini adalah orang-orang yang tidak
memiliki hak. Mengapa pengertiannya disebut seperti itu? Itu karena
apabila orang yang memiliki hak tidak dapat izin akses, maka pengrusakan
tidak dapat dilakukan.
Kontrol akses dilakukan melalui 3 tahap yaitu :
1. Identifikasi Pengguna
Pertama, user mengidentifikasi diri mereka dengan memberi
sesuatu yang mereka ketahui, contohnya memberikan nomor telepon,
kata sandi, dan lain-lain.
2. Autentifikasi Pengguna
User membuktikan hak akses dengan memberi sesuatu yang
mereka miliki, seperti tanda tertentu misalnya smartcard, chip
identifikasi, dan lain-lain. Otentikasi biometrik menggunakan sistem
yang membaca dan menafsirkan sifat individu manusia, seperti sidik
jari, iris, dan suara, untuk memberikan atau menolak akses. Otentikasi
26
biometrik didasarkan pada pengukuran sifat fisik atau perilaku yang
membuat setiap individu unik. Ini membandingkan karakteristik unik
seseorang, seperti sidik jari, wajah, atau gambar retina, dengan profil
yang disimpan dari karakteristik ini untuk menentukan apakah ada
perbedaan antara karakteristik ini dan profil yang disimpan. Jika
kedua profil cocok, akses diberikan. Teknologi sidik jari dan
pengenalan wajah baru mulai digunakan untuk aplikasi keamanan,
dengan banyak laptop PC dilengkapi dengan perangkat identifikasi
sidik jari dan beberapa model dengan webcam internal dan perangkat
lunak pengenalan wajah (Laudon & Laudon, 2020).
3. Otorisasi Pengguna
Dalam tahap ini, pengguna menerima otorisasi untuk
memasuki tingkat penggunaan tertentu. Hal-hal tersebut terbilang
cukup penting guna memastikan bahwa karyawan hanya dapat
mengakses serta mengelola informasi yang sesuai atau relevan dengan
posisi/jabatan mereka (Awalia, et al., 2022 ; Mcleod & Shcell, 2009).
Sistem kontrol akses, mengendalikan akses user terhadap
informasi-informasi yang telah diatur kewenangannya, termasuk
pengendalian secara mobile-computing ataupun tele-networking. Tata
cara kontrol akses terhadap informasi dan sumber daya yang ada
meliputi berbagai aspek, yaitu:
- Access control.
- User Access Management.
- User Responsibilities.
- Network Access Control
- Operation System Access Control
- Application Access Control
- Monitor system Access and use
- Mobile Computing and Telenetworking (Ramadhani,
2018).
27
2.9.1.2 Pengendalian Kriptografis
Kriptografi (Cryptography) berasal dari bahasa Yunani, terdiri dari dua
suku kata yaitu kripto dan graphia. Kripto artinya menyembunyikan, sedangkan
graphia artinya tulisan. Kriptografi adalah ilmu yang mempelajari teknik-teknik
matematika yang berhubungan dengan aspek keamanan informasi, seperti
kerahasian data, keabsahan data, integritas data, serta autentikasi data. Tetapi
tidak semua aspek keamanan informasi dapat diselesaikan dengan kriptografi.
Kriptografi dapat pula diartikan sebagai ilmu atau seni untuk menjaga
keamanan pesan. Ketika suatu pesan dikirim dari suatu tempat ke tempat lain, isi
pesan tersebut mungkin dapat disadap oleh pihak lain yang tidak berhak untuk
mengetahui isi pesan tersebut. Untuk menjaga pesan, maka pesan tersebut dapat
diubah menjadi sebuah kode yang tidak dapat dimengerti pihak lain (Amin, 2017).
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi
dari pengungkapan yang tidak terotorisasi dengan kiptografi, yaitu penggunaan
kode yang menggunakan proses matematika (Amrozi & Mt, 2019). Cara kerja dari
pengendalian kriptografi ini adalah dengan mengenkripsi dalam penyimpanan dan
mentransmisikan ke dalam jaringan data dan informasi tersebut. Jika seseorang
yang tidak punya hak mengakses, enkripsi tersebut akan membuat data yang
dimaksud tidak ada artinya, dan mencegah kesalahan penggunaan (Mcleod &
Schell, 2009).
Enkripsi adalah sebuah proses penyandian yang melakukan perubahan
sebuah kode (pesan) dari yang bisa dimengerti (plaintext) menjadi sebuah kode
yang tidak bisa dimengerti (chipertext). Sedangkan proses kebalikannya untuk
mengubah cipertext menjadi plaintext disebut dekripsi. Proses enkripsi dan
deskripsi memerlukan suatu mekanisme dan kunci tertentu. Kriptografi adalah
ilmu mengenai teknik enkripsi dimana data diacak menggunakan suatu kunci
enkripsi menjadi sesuatu yang sulit dibaca oleh seseorang yang tidak memiliki
kunci menggunakan kunci dekripsi. Dekripsi mendapatkan kembali data asli.
Enkripsi data menjadi cara yang penting untuk melindungi data dan
sumber daya jaringan komputer lainnya terutama di internet, intranet, dan
ekstranet. Password, pesan, file, dan data lainnya dapat ditransmisikan dalam
28
bentuk acak serta dibentuk kembali oleh sistem komputer untuk para pemakai
yang berhak saja. Enkripsi melibatkan penggunaan algoritma matematika khusus,
atau kunci, untuk mengubah data digital ke dalam kode acak sebelum mereka
sitransmisikan, serta untuk melakukan dekode data tersebut ketika mereka
diterima.
Beberapa software saling bersaing untuk standar enkripsi, dua yang
terkenal adalah:
1. RSA
2. PGP (pretty good privacy)
Berbagai produk software termasuk Microsoft Windows XP, Novell
Netware, dan Lotus Notes menawarkan berbagai fitur enkripsi dengan
menggunakan software RSA. (Awalia, et al., 2022).
1. Secure Areas
2. Equipment security
29
3. General Control (Ramadhani, 2018).
2.10.1 Firewall
Firewall atau dinding api adalah sistem perangkat lunak yang
mengizinkan lalu lintas jaringan yang dianggap aman untuk dapat melaluinya dan
mencegah lalu lintas jaringan yang dianggap tidak aman. Pada dasarnya sebuah
firewall dipasang pada sebuah router yang berjalan pada gateway antara jaringan
lokal dengan jaringan Internet.
Firewall adalah sebuah sistem pengaman, firewall dapat berupa hardware
maupun software. Firewall dapat digunakan untuk memfilter paket-paket dari luar
dan dalam jaringan di mana ia berada. Jika pada kondisi normal semua orang dari
luar jaringan anda dapat bermain-main ke komputer anda, dengan firewall semua
itu dapat diatasi dengan mudah. Berikut jenis-jenis firewall :
1. Firewall berbasis hardware
Firewall berbasis hardware adalah perangkat keras yang terdapat
dalam sistem jaringan, misalnya router. Firewall macam ini memerlukan
konfigurasi untuk dapat bekerja secara efektif. Untuk dapat bekerja,
30
firewall menggunakan teknik filter untuk menentukan packet utama,
sumber, dan tujuannya. Secara internal sistem akan membandingkan data
menurut aturan yang ditetapkan. Kemudian, ia memutuskan data mana
yang perlu di-drop atau diteruskan ke tujuan.
2. Firewall berbasis software
Firewall berbasis software adalah solusi untuk perlindungan
jaringan bagi pengguna internet di rumah. Biasanya firewall ini diciptakan
dalam bentuk aplikasi terpisah maupun sebagai fitur tambahan dari anti
virus. Jenis firewall macam ini melindungi trafik inbound dan juga
outbound, selain juga menghindarkan dari virus Trojan serta
Worm.(Hendita & Kusuma, 2022)
Firewall adalah kombinasi perangkat keras dan perangkat lunak yang
mengontrol aliran lalu lintas jaringan yang masuk dan keluar. Firewall
mengidentifikasi nama, alamat IP, aplikasi, dan karakteristik lain dari lalu lintas
masuk. Firewall memeriksa informasi terhadap aturan akses yang telah diprogram
ke dalam sistem oleh administrator jaringan. Firewall mencegah komunikasi yang
tidak sah masuk dan keluar dari jaringan. Dalam organisasi besar, firewall sering
berada di komputer khusus yang terpisah dari jaringan lainnya, sehingga tidak ada
permintaan masuk yang langsung mengakses sumber daya jaringan pribadi.
(Laudon & Laudon, 2020).
Firewall adalah sebuah jaringan yang merupakan prosesor komunikasi,
biasanya sebuah router, atau server khusus, bersama dengan software firewall.
Firewall berfungsi sebagai “penjaga gerbang” sistem yang melindungi intranet
perusahaan dan jaringan lain perusahaan dari penerobosan, dengan menyediakan
saringan dan poin transfer yang aman untuk akses ke dan dari internet serta
jaringan lainnya. Firewall menyaring semua lalu lintas jaringan untuk password
yang tepat atau kode keamanan lainnya, dan hanya mengizinkan transmisi sah
untuk masuk serta keluar dari jaringan. Firewalldapat mendeteksi, tetapi tidak
benar-benar dapat mencegah secara keseluruhan akses tidak sah (hacking) ke
dalam jaringan komputer.
31
Menurut Raymond McLeod, Jr. Dan George P. Schell dalam bukunya
yang berjudul Sistem Informasi Manajemen, teknologi pemeriksaan firewall
dibagi menjadi tiga, meliputi penyaringan paket statis (static packet filtering),
firewall tingkat sirkuit, dan firewall tingkat aplikasi.
Firewall Penyaringan Paket memeriksa area yang dipilih pada bagian atas
paket data yang mengalir maju mundur antara jaringan terpercaya dan internet,
menguji paket individu secara terpisah. Router merupakan alat jaringan yang
mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara Internet dan
jaringan internal, router tersebut dapat berlaku sebagai firewall.
Firewall Tingkat Sirkuit adalah salah satu peningkatan keamanan dari
router. Firewall Tingkat Sirkuit yang terpasang antara Internet dan Jaringan
perusahaan tapi lebih dekat dengan media komunikasi daripada router. Pada hal
ini tingkat otentikasi dan penyaringannya jauh lebih tinggi dibanding router.
Namun keterbatasan dari titik tunggal keamanan tetap berlaku.
Firewall Tingkat Aplikasi berlokasi antara router dan komputer yang
menjalankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan
dapat dilakukan. Meskipun merupakan jenis firewall yang paling efektif, jenis ini
cenderung untuk mengurangi akses ke sumber daya.
2.11 Pengendalian Formal
Pengendalian formal atau formal control adalah pengendalian yang
mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang
diharapkan dan pengawasan serta pencegahan perilaku yang berbeda dengan
panduan yang berlaku (Mcleod & Schell, 2009). Alasan mengapa pengendalian
ini disebut sebagai pengendalian formal adalah karena pengendalian ini
membutuhkan banyak waktu untuk membuatnya, mendokumentasikannya dalam
bentuk tulisan.
2.12 Pengendalian Informal
Pengendalian informal atau informal control adalah pengendalian yang
mencakup program-program pelatihan dan edukasi serta program pembangunan
manajemen (Mcleod & Schell, 2009). Tujuan dari pengendalian ini agar para-para
karyawan paham dan mendukung program keamanan tersebut.
32
2.13 Tingkat Pengendalian Yang Tepat
Dalam ketiga jenis pengendalian baik itu pengendalian teknis, formal dan
informal diperlukan pertimbangan biaya (cost) agar tidak menghabiskan lebih
banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko
yang akan terjadi. Maka dari itu, sistem kontrol dibuat berdasarkan biaya versus
keuntungan, akan tetapi dalam beberapa industry terdapat pula pertimbangan-
pertimbangan lain tanpa mengganggu kenyamanan pelanggan (Mcleod & Schell,
2009).
2.14 Peranan Pemerintah dan Industri
Beberapa organisasi pemerintahan dan internasional telah menentukan
standar- standar yang ditujukan untuk suatu pedoman untuk organisasi yang ingin
mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolak ukur,
yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternative untuk
manajemen resiko. Organisasi tidak diwajibkan mengikuti standar ini, namun
standar ini ditujukan untuk memberikan bantuan kepada perusahaan dalam
menentukan tingkat target keamanan. Berikut beberapa contoh standar pedoman
keamanan informasi dari pemerintah dan industri :
a. BS7799
Standar keamanan milik pemerintah Inggris ini merupakan satu
kesatuan kontrol dasar. Pertama kali diterbitkan oleh British Standars
Institute pada tahun 1995. Kemudian oleh Organisasi Standar
Internasional sebagai ISO 17799 pada tahun 2000, dan tersedia untuk
pengguna online pada tahun 2003.
b. BSI IT Baseline Protection Manual
BSI merupakan singkatan dari Bundesamt fur Sicherheit in der
Informationstechnik yang dalam bahasa Inggris Federal Office for
Security in Information Technology. IT Baseline Protection Manual yang
diperkenalkan oleh BSI dan dikembangkan oleh BSI Jerman berisi
kumpulan rekomendasi standar kontrol keamanan atau perlindungan
sebagai referensi di dalam manual.
c. COBIT
33
d. GASSP (Generally Accepted System Security Principles)
e. ISF Standard of Good Practice (Mcleod & Schell, 2009).
2.15 Peraturan Pemerintah
Pemerintah Amerika Serikat maupun Inggris telah menentukan standard
dan menetapkan peraturan yang ditujukan untuk menaggapi masalah pentingnya
keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan
semakin meluasnya internet serta peluang terjadinya kejahatan computer.
Beberapa diantaranya adalah :
a. Standar Keamanan Komputer Pemerintah Amerika Serikat.
b. Undang-Undang Antiterorisme, kejahatan, dan keamanan Inggris tahun
2001.
2.16 Standar Industri
The Center for Internet Security (CIS) adalah organisasi nirlaba yang
didedikasikan untuk membantu para mengguna computer guna membuat system
mereka lebih aman. Bantuan diberikan melalui dua produk CIS Benchmark dan
CIS Scoring Tools.
2.17 Sertifikasi Profesi
Mulai tahun 1960-an, profesi TI mulai menawarkan program sertifikasi.
Tiga contoh berikut mengilustrasikan cakupan dari program-program ini.
a. Asosiasi Audit Sistem Informasi
Audit sistem informasi adalah proses pengumpulan dan evaluasi
bukti-bukti untuk menentukan apakah sistem komputer yang digunakan
telah dapat melindungi aset milik organisasi, mampu menjaga integritas
data, dapat membantu pencapaian tujuan organisasi secara efektif, serta
menggunakan sumber daya yang dimiliki secara efisien.
Tak berbeda jauh dengan pendapat di atas, menurut Kenneth C.
Laudon dan Jane P. Laudon dalam bukunya yang berjudul Sistem
Informasi Manajemen mengelola perusahaan digital, audit adalah
bagaimana manajemen mengetahui keamanan dan pengendalian sistem
informasi berjalan efektif. Orang yang melaksanakan audit atau yang
melakukan audit disebut dengan auditor. Auditor sebaiknya menelusuri
34
aliran beberapa transaksi pada sistem dan melakukan pengujian
menggunakan, jika sesuai, perangkat audit otomatis (Laudon & Laudon,
2014). Pelaksanaan audit dapat dibagi menjadi tiga aktivitas, yaitu:
1. Mempersiapkan dan merencanakan audit
2. Melaksanakan audit
3. Menyampaikan temuan audit
b. Konsersium Sertifikasi Keamanan Sistem Informasi Internasional
Sertifikasi profesional keamanan sistem informasi / Certification
Information System Security Professional (CISSP) ditawarkan oleh
konsorsium sertifikasi keamanan sistem informasi internasional /
International Information System Security Certification Consortium (ISC).
sertifikasi CISSP memverifikasi bahwa pemegangnya memiliki keahlian
umum dalam keamanan informasi yang mencakup topik-topik seperti
kontrol akses, kriptografi, arsitektur keamanan, keamanan internet, dan
praktik manajemen keamanan. sertifikasi didasarkan pada kinerja pada
ujian dari 250 pertanyaan pilihan ganda. informasi lebih lanjut dapat
ditemukan di WWW.ISC2.ORG.
c. Institusi SANS
SANS (SysAdmin, Audit, Network, and Security) adalah sebuah
perusahaan yang berfokus pada keamanan informasi, menawarkan
pelatihan keamanan siber, serta sertifikasi melalui GIAC. Menurut SANS,
area fokus operasi keamanan cyber yang efektif bergantung pada lapisan
pengujian ofensif, arsitektur dan pemantauan defensif, respon forensik dan
insiden, keamanan cloud, dan kepemimpinan.
2.18 Perspektif Dalam Menempatkn Manajemen Keamanan Informasi
Perusahaan harus mencanangkan kebijakan manajemen keamanan
informasi sebelum menempatkan pengendalian yang didasarkan atas
identifikasi ancaman dan risiko ataupun atas panduan yang diberikan oleh
pemerintah atau asosiasi industri. Perusahaan harus mengimplementasikan
gabungan dari pengendalian teknis, formal, dan informal yang diharapkan untuk
menawarkan tinngkat keamanan yang diinginkan pada batasan biaya yang
35
ditentukan dan sesuai dengan pertimbangan lain yang membuat perusahaan
dan sistemnya mamapu berfungsi secara efektif.
2.19 Kesinambungan Manajemen Bisnis
Kesinambungan manajemen bisnis (bussines continuity management–
BCM) adalah aktivitas yang ditujukan untuk menentukan operasional setelah
terjadi gangguang sistem informasi. Pada tahun awal penggunaan komputer,
aktivitas ini disebut perencanaan bencana (disaster planing), namun lebih dikenal
dengan perencanaan kontijensi (contigency plan). Elemen penting dalam
perencanaan kontijensi adalah rencana kontijensi, yang merupakan dokumen
tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus
dilakukan jika terjadi gangguan atau ancaman pada operasi komputasi komputer.
Manajemen keberlangsungan bisnis merupakan salah satu bidang
pengunaan komputer dimana kita dapat melihat perkembangan besar. Banyak
upaya telah dilaksanakan untuk mengembangkan perencanaan kontijensi, dan
banyak informasi serta bantuan telah tersedia. Tersedia pula rencana dalam paket
sehingga perusahaan mengadaptasinya ke dalam kebutuhan khususnya. Sistem
komputer TAMP memasarakan sistem pemulihan bencana (disaster recovery
system – DRS) yang mencakup sistem manajemen basis data, instruksi, dan
perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan.
Panduan dan garis besar tersedia bagi perusahaan untuk digunakan sebagai titik
awal atau tolak ukur.
a. Rencana Darurat
Rencana darurat menyebutkan prosedur menjaga keamanan
karyawan jika bencana terjadi. Prosedur ini mencakup sistem alarm,
prosedur evakuasi dan sistem pemadaman api.
b. Rencana Cadangan
Perusahaan harus mengatur agar fasilitas komputer cadangan
tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak
digunakan. Cadangan ini dapat diperoleh dari 3 kombinasi berikut ini :
1. Redudansi
36
Perangkat keras, perangkat lunak dan data di duplikasikan
sehingga jika satu set tidak dapat dioperasikan, set cadangannya dapat
meneruskan proses.
2. Keberagaman
Sumber daya informasi tidak dipasang pada tempat yang sama,
computer dibuat terpisah untuk wilayah operasi yang berbeda-beda.
3. Mobilitas
Perusahaan dapat membuat perjanjian dengan para pengguna
peralatan yang sama sehingga masing-masing perusahan dapat
menyediakan cadangan kepada yang lain jika terjadi bencana besar.
Pendekatan yang lebih detail adalah membuat kontrak dengan jasa
pelayanan cadangan hot site dan cold site. Hot site adalah fasilitas
computer lengkap yang disediakan oleh pemasok untuk pelanggannya
untuk digunakan jika terdapat situasi darurat. Cold site hanya
mencakup fasilitas bangunan namun tidak mencakup fasilitas
komputer.
c. Rencana Catatan Penting
Catatan penting (vital records) perusahaan adalah dokumen kertas,
microform dan media penyimpanan optimis dan magnetis yang penting
untuk meneruskan bisnis perusahaan tersebut. Rencana catatan penting
(vital records plan) menentukan cara bagaimna catatan penting tersebut
harus dilindungi. Selain menjaga catatan tersebut di situs komputer,
cadanan harus disimpan dilokasi. Semua jenis catatan dapat secara fisik
dipindahkan ke lokasi terpencil tersebut, namun catatan komputer dapat
ditransmisikan secara elektronik.
37
BAB III
ANALISIS KOMPARATIF
38
Gambar 3.1. Tampilan Sistem call to care customor
39
Gambar 3.3. Tampilan sistem kepegawaian (payroll gaji) RSJK
3.1.1.4 Sistem Pengendalian Mutu
Tampilan dari sistem pengendalian mutu dari RSJK dapat dilihat pada
gambar 3.4 Sebagai berikut:
40
3.1.2 Sistem Informasi Manajemen RSJK Berbasis Android
Beberapa jenis Sistem Informasi manajemen berbasis android di RS. Jasa
Kartini untuk menunjang pelayanan pasien diantaranya adalah Sebagai berikut:
3.1.2.1 Eksekutif Support System Android
Merupakan fasilitas pelayanan berbasis aplikasi android yang digunakan
untuk pelayanan rawat jalan, rawat inap, rawat darurat dan informasi pasien.
Adapun tampilan dari aplikasi tersebut dapat dilihat pada gambar 3.5.
41
Gambar 3.6 Pendaftaran Online Pasien Androidbase
42
Untuk meghindari manifestasi ancaman dan risiko tersebut maka RSJK
dapat melakukan pengendalian keamanan sistem informasi tersebut melalui
beberapa cara sebagai berikut:
43
- Kombinasi pasword engan alfabet, numerik dan symbol
- Backup file server
- PosgreSQL untuk monitoring database
- Keamaan autentfikasi dengan menggunakan Javascrift Web
Token
44
Beberapa cara menanggulangi hal tersebut antara lain:
45
BAB IV
KESIMPULAN DAN SARAN
4.1 Kesimpulan
Informasi sangat berguna bagi suatu organisasi atau perusahaan, baik
berupa informasi keuangan, pemasaran, manufaktur, eksekutif dan sumberdaya.
Untuk merlindungi segala nformasi tersebut agar tidak terjadi penyalahgunaan
oleh pihak yang tidak berwenang dalam pengelolaannya, maka diperlukan system
keamanan informasi. Kemanan teknologi informasi merupakan usaha yang
dilakukan agar teknologi informasi yang digunakan baik software, hardware dan
brainware tetap berjalan sesuai dengan fungsinnya. Karena sistem informasi
manajemen yang tidak terlindungi dapat mengundang ancaman dan risiko yang
tingi. Prinsip keaman informasi meliputi Confidentiality, Integrity , dan
Availability. Untuk mempertahankan keamanan informasi tersebut diperlukan alat
manajemen keamanan diantaranya seperti Enskrip, Firewall, pengendalian
kriptografis, pemonitoran email, pertahanan virus, kode keamanan, pemonitor
keamanan,pembuatan cadangan file, keamanan biometris, alat pengendalian
computer dan pemulihan bencana. Dengan mempertimbangkan kebijakan kontrol
informasi melalui kebijakan teknis dan kebijakan formalnya. Aktivitas untuk
menjaga agar sumberdaya informasi tetap aman disebut dengan manajemen
kemanan informasi (Information security management-ISM)., sedangkan aktivitas
untuk menjaga agar peruahaan dan sumber daya informasi tetap berfungsi setelaha
adanya bencana diseut dengan manajemen keberlangsungan bisnis (BCM).
4.2 Saran
Ada beberapa saan yang dipertimbangkan dalam menanggapi system
kemanan informasi diantaranya:
46
data yang berseliweran dan menentukan apakah ada yang
berbahaya berdasarkan rekam jejaknya. Dengan begitu, IPS dapat
mencegah komunikasi dan transaksi data yang tidak sah.
2. Setiap aplikasi diharuskan untuk selalu menggunakan pengamanan
informasi (Security Information) dalam mengantisipasi setiap
serangan ancaman cybercrime.
47
DAFTAR PUSTAKA
48
49