INFORMATION SECURITY

Diajukan untuk memenuhi salah satu tugas mata kuliah Sistem Informasi
Manajemen
Dosen Pengampu
Prof. Dr. H. Deden Mulyana, S.E., M.Si.

Oleh:
Kelompok 9
Barkah Hidayatullah 228334011
Heni Susilawati 228334035
Idris Maulana 228334037
Indah Wijayanti 228334039
Jalila Fauziyyah Zen 228334045
Ratih Indriane Septiani 228334061
Wida Lisnawati 228334080

PROGRAM STUDI MAGISTER MANAJEMEN

PASCASARJANA UNIVERSITAS SILIWANGI
TASIKMALAYA
2022
 KATA PENGANTAR

Segala Puji dan syukur penulis panjatkan kehadirat Allah SWT yang telah
melimpahkan segala rahmat-Nya sehingga penulis dapat menyelesaikan tugas
makalah dengan judul “Information Security” guna memenuhi salah satu
persyaratan untuk memperoleh nilai mata kuliah Sistem Informasi Manajemen.
Penulis menyadari kelemahan serta keterbatasan yang ada sehingga dalam
menyelesaikan makalah ini memperoleh bantuan dari berbagai pihak, dalam
kesempatan ini penulis menyampaikan ucapan terimakasih kepada :

1. Bapak Prof Dr. H. Deden Mulyana, S.E., M.Si sebagai dosen pengampau
mata kuliah Sistem Informasi Manajemen.
2. Ibu Dr. Ati Rosliyati, S.E., M.M., AK., CA sebagai dosen pengampau
mata kuliah Sistem Informasi Manajemen.
3. Teman-teman kelompok 9 yang sudah bekerjasama dalam mengerjakan
tugas makalah ini.

Penulis menyadari bahwa makalah ini masih banyak kekurangan baik isi
maupun susunannya. Semoga makalah ini dapat bermanfaat tidak hanya bagi
penulis juga bagi para pembaca.

Tasikmalaya, 04 September 2022

Penulis

i
 DAFTAR ISI

KATA PENGANTAR ............................................................................................. i

DAFTAR ISI ........................................................................................................... ii

BAB I ...................................................................................................................... 1

PENDAHULUAN................................................................................................... 1

1.1 Latarbelakang Masalah ............................................................................. 1

1.2 Rumusan Masalah .................................................................................... 2

1.3 Tujuan Makalah ........................................................................................ 3

1.4 Manfaat Makalah ...................................................................................... 3

BAB II ..................................................................................................................... 4

KAJIAN PUSTAKA ............................................................................................... 4

2.1 Definisi Sistem Informasi Keamanan Manajemen ........................................ 4

2.2 Manajemen Keamanan Teknologi Informasi ................................................ 7

2.3 Ancaman ........................................................................................................ 9

2.3.1 Jenis Ancaman ...................................................................................... 11

2.4 Resiko Keamanan Informasi .................................................................. 16

2.5 Ancaman Terkenal Sistem Keamanan Informasi “Virus”...................... 16

2.6 Pertimbangan E-Commerce .................................................................... 17

2.7 Manajemen Resiko Sistem Informasi .......................................................... 21

2.8 Kebijakan Keamanan Informasi .................................................................. 24

2.9 Penendalial (Controls) ................................................................................. 25

2.9.1 Pengendalian teknis .............................................................................. 26

ii
 2.10 Sistem Pendeteksi Gangguan Keamanan Informasi .................................. 30

2.10.1 Firewall ........................................................................................... 30

2.11 Pengendalian Formal ................................................................................. 32

2.12 Pengendalian Informal............................................................................... 32

2.13 Tingkat Pengendalian Yang Tepat ............................................................ 33

2.14 Peranan Pemerintah dan Industri ............................................................... 33

2.15 Peraturan Pemerintah................................................................................. 34

2.16 Standar Industri ......................................................................................... 34

2.17 Sertifikasi Profesi ...................................................................................... 34

2.18 Perspektif Dalam Menempatkn Manajemen Keamanan Informasi........ 35

2.19 Kesinambungan Manajemen Bisnis .......................................................... 36

BAB III.................................................................................................................. 38

ANALISIS KOMPARATIF.................................................................................. 38

3.1 Analisis Keamanan Informasi pada SIM di Perusahaan ............................. 38

3.1.1 Sistem Informasi Manajemen RSJK Berbasis Website ........................ 38

3.1.2 Sistem Informasi Manajemen RSJK Berbasis Android ........................ 41

3.2 Studi Kasus Kemanan Informasi di E-commerce ....................................... 44

3.2.1 Kebocoran Data pengguna Tokopedia ke Dark Web ........................... 44

BAB IV ................................................................................................................. 46

KESIMPULAN DAN SARAN ............................................................................. 46

4.1 Kesimpulan .................................................................................................. 46

4.2 Saran ............................................................................................................ 46

DAFTAR PUSTAKA ........................................................................................... 48

iii
 BAB I
PENDAHULUAN

1.1 Latarbelakang Masalah

Teknologi dan informasi yang beredar dikalangan masyarakat saat ini
sangat berkembang pesat. Berbagai kegiatan komunikasi secara elektronik banyak
digunakan terutama dalam hal transaksi baik itu barang atau jasa. Dengan adanya
jaringan internet barang dan jasa sangat mudah dipromosikan secara massif.
Setiap orang dapat dengan mudah mendapatkan informasi dari berbagai sumber
secara cepat, tepat, mudah dan murah. Salah satu kelompok masyarakat yang
merasakan akan pentingnya teknologi informasi adalah para steakholder dari
berbagai instansi baik organisasi profit maupun non profit oriented.
Dari masa ke masa teknologi informasi semakin berkembang, yang
berdampak pada semakin pentingnya teknologi informasi untuk mempermudah
pekerjaan dan mendukung unit-unit organisasi seperti system informasi
pemasaran, keuangan, manufaktur dan lainnya dibuat sedemikian rupa sesuai
dengan kebutuhannya. System informasi dalam perusahaan digunakan untuk
mengolah data menjadi informasi, mengembangkan bisnis, dan memudahkan
pemecahan masalah yang timbul serta bermanfaat dalam pengambilan keputusan
manajemen. Sistem informasi merupakan asset karena menjadi salah satu sumber
daya yang dapat meningkatkan nilai perusahaan dan kepercayaan publik. Sistem
Informasi manajemen telah disepakati oleh para ahli sebagai sarana untuk
menyederhanakan pekerjaan yang perlu diintegrasikan dalam sebuah formulasi
berbasis Computhed Activity untuk menunjang para pimpinan tertentu dalam
memutuskan keputusan terbaik demi keberlangsungan sebuah instansi, lemabaga,
perusahaan dan atau organisasi. Semakin banyak informasi perusahaan yang
disimpan dan dikelola maka akan semakin besar pula risiko terjadi kerusakan,
kehilangan dan tereksposnya ke pihak yang tidak diinginkan. Berdasarkan hal
tersebut maka diperlukannya keamanan informasi untuk menjaga kerahasiaan data
perusahaan.

1
 Keamanan informasi bertujuan untuk melindungi data dan informasi dari
akses, penggunaan, pengungkapan dan pengoperasian, modifikasi dan
penghancuran oleh pengguna (user) yang tidak berwenang.dan informasi tersebut
akan diragukan keakuratannya, bahkan menjadi sebuah informasi yang dapat
menyesatkan. Pihak manajemen harus menyusun Information Security
Management (ISM) sebagai bentuk perlindungan system informasi perusahaan
dari berbagai risiko dan ancaman baik ekternal maupun internal. Kemanan
Informasi seyogyanya dapat diperhitungan dengan melihat tingkat bahaya dari
tiga hal, yaitu bahaya penyalahgunaan dan implikasi sistem dari sisi brainware,
hardwere, maupun softwere, baik dalam penggunaan yang tidak sah,
penghancuran dan atau modifikasi diluar otoritas.
Berdasarkan hal tersebut di atas penulis tertarik untuk memaparkan lebih
lanjut mengenai Information Security. Kajian yang dibahas di dalam makalah ini
merupakan tinjauan komparasi di Rumah Sakit Jasa Kartini Tasikmalaya yang
sudah menggunakan Sistem Informasi Manajemen untuk menunjang pelayanan,
serta tidak terlepas dengan berbagai faktor penyulit, karena kategori kegiatan
usaha ini merupakan kegiatan yang padat karya, padat profesi, padat teknologi,
padat regulasi, dan padat konflik, sehingga perlu dilaksanakan kajian pengamanan
sistem informasi yang baik untuk menghindari berbagai risiko terburuk. Dalam
makalah ini juga akan dilakukan pengkajian study kasus tentangg keamanan
informasi yang telah terjadi di perusahaan e-commerce.

1.2 Rumusan Masalah

Berdasarkan latar belakang di atas maka rumusan masalah adalah sebagai
berikut:

1. Apa yang dimaksud dengan Manajemen Keamanan Informasi?

2. Apa yang dimaksud dengan ancaman, risiko dan manajeman
risiko?
3. Bagaimana kebijakan keamanan Kontrol Informasi, Kontrol
Teknis, dan Kontrol Formal?

2
 4. Bagaiamana Bantuan pemerintah dan Industri mengenai sistem
keamanan informasi?
5. Bagaimana Manajemen Keberlangsungan Bisnis?
6. Bagaimana Implementasi Kemanan Informasi di Perusahaan?

1.3 Tujuan Makalah

Berdasarkan rumusan masalah di atas maka tujuan makalah ini adalah
untuk mengetahui:

1. Manajemen Keamanan Informasi;

2. Ancaman, risiko dan manajeman risiko dalam SIM;
3. Kebijakan keamanan Kontrol Informasi, Kontrol Teknis, dan
Kontrol Formal;
4. Bantuan pemerintah dan mengenai sistem keamanan informasi;
5. Manajemen Keberlangsungan Bisnis.
6. Implementasi Kemanan Informasi dalam SIM di perusahaan.

1.4 Manfaat Makalah

Berdasarkan tujuan makalah diatas makan manfaat dari makalah ini adalah
sebagai berikut:

1. Bagi mahasiswa sebagai bahan pembelajaran dan penambahan

kajian literasi penerapan system informasi manajemen di dalam
berbagai kegiatan organisasi;
2. Bagi universitas sebagai informasi pelaksanaan system informasi
yang digunakan di salah satu kegiatan usaha sektor Kesehatan;
3. Bagi objek kajian sebagai informasi untuk menambah manifestasi
risiko untuk mengembangkan system kemanan informasi yang
dijlankan saat ini.

3
 BAB II
KAJIAN PUSTAKA

2.1 Definisi Sistem Informasi Keamanan Manajemen

Menurut Slamet Hariyanto dalam (Hariyanto, 2016). Manajemen itu
sendiri meliputi perencanaan, pengorganisasian, pemantauan, pengarahan, dan
proses lainnya dalam organisasi. Sistem adalah kumpulan dari elemen-elemen
yang saling berhubungan. Elemen-elemen sistem adalah departemen internal
seperti gudang bahan baku, gudang produk jadi, produksi, promosi dan penjualan,
dan pihak eksternal seperti pemasok dan konsumen yang saling terkait. Informasi
adalah hasil pengolahan data yang diperoleh dari setiap elemen sistem ke dalam
format yang mudah dimengerti dan mewakili pengetahuan yang relevan yang
dibutuhkan orang untuk meningkatkan pengetahuan mereka tentang fakta-fakta
yang ada (Agustina et al., 2015).
Menurut Sarno dan Iffano (2009), keamanan informasi adalah “suatu
upaya untuk mengamankan aset informasi terhadap ancaman yang mungkin
timbul. Sehingga keamanan informasi secara tidak langsung dapat menjamin
kontinuitas bisnis, mengurangi resiko-resiko yang terjadi, mengoptimalkan
pengembalian investasi. Semakin banyak informasi perusahaan yang disimpan,
dikelola dan di- sharing-kan maka semakin besar pula resiko terjadi kerusakan,
kehilangan data atau tereksposnya data ke pihak eksternal yang tidak diinginkan”
(Amrozi & Mt, 2019).
Keamanan informasi adalah perlindungan terhadap segala jenis sumber
daya informasi dari penyalahgunaan pihak yang tak berwenang mengelolanya.
Tujuan pembuatan sistem keamanan informasi adalah mencegah penyalahgunaan
informasi oleh pihak yang tidak berkepentingan atau tidak berhak mengelola
informasi tersebut. Keamanan informasi terbentuk secara alami karena sifat sistem
informasi yang umumnya hanya dapat diberikan hak pengelolaannya kepada
pihak-pihak tertentu. Sifat dari perlindungan dalam keamanan informasi adalah
perlindungan menyeluruh yang meliputi sistem informasi dan peralatan teknologi

4
informasi.Sedangkan sifat dari informasi yang diamankan adalah informasi yang
tidak berbentuk fisik.
Dukungan yang diberikan untuk membentuk keamanan informasi sebagai
suatu sistem meliputi penyediaan struktur organisasi, kebijakan keamanan, serta
prosedur dan proses pengamanan. Komponen lain yang juga penting adalah
penyediaan sumber daya manusia yang bertanggung jawab.Keamanan informasi
dapat diterapkan oleh perusahaan, organisasi, lembaga pemerintahan, perguruan
tinggi maupun individu. Manfaat adanya keamanan informasi adalah terhindar
dari penipuan di dalam suatu sistem informasi. Selain itu, keamanan informasi
juga dapat menjaga kerahasiaan, ketersediaan dan integritas terhadap sumber daya
informasi yang dimilikinya. Sebaliknya, kegagalan dalam mengadakan keamanan
informasi dapat menyebabkan kehancuran suatu organisasi.
Keamanan Teknologi Informasi adalah usaha yang dilakukan agar
teknologi informasi yang digunakan baik perangkat lunak (software), perangkat
keras (hardware) dan perangkat pikir (brainware) tetap berjalan sesuai dengan
fungsinya. Semua perangkat tersebut harus dilindungi agar terhindar dari serangan
orang yang tidak bertanggungjawab seperti hacker misalnya, untuk mengetahui
bagaimana langkah- langkah hacker dalam melakukan peretasan bisa. Keamanan
teknologi informasi disebut juga dengan dengan istilah cyber security atau
Information Technology Security (IT Security). Beberapa tahun ini aspek IT
Security menjadi pokok permasalahan dalam penggunaan teknologi informasi,
seolah penggunakan teknologi mempunyai dua sisi mata pedang yang bisa
menguntungkan sedangkan sisi lainnya bisa menjadi kerugian pagi pengguna
teknologi itu sendiri. Oleh karena itu, manajemen ini menjadi kebutuhan dalam
organisasi. Di dalam manajemen dibangun kebijakan mengenai keamanan
teknologi informasi dalam memaksimalkan penggunaan teknologi itu sendiri
(Awalia et al.,2022).
Keamanan informasi memiliki tiga tujuan utama, yaitu:

1. Confidentiality

5
Confidentiality adalah kerahasiaan. Menurut ISO 17799 Confidentiality
artinya suatu data atau informasi hanya dimiliki dan bisa diakses oleh
pihak yang memiliki kewenangan atau yang memiliki otoritas. Oleh
karena itu, perlu dibuat kebijakan IT Security berupa klasifikasi
data/informasi menurut otoritas yang bisa mengetahuinya. Klasifikasi
dengan top secret yang hanya diakses oleh direktur utama, midle secret
oleh manager, informasi internal yang hanya konsumsi pihak institusi saja
dan informasi umum (Awalia et al.,2022).
Setiap organisasi pasti berusaha untuk melindungi data yang dimilikinya
supaya terjamin kerahasiaannya. Dengan adanya sistem keamanan,
informasi hanya dapat diakses oleh orang-orang yang diprioritaskan saja
(Amrozi & Mt, 2019).

2. Availability

Sistem selalu siap menyediakan data dan informasi bagi pihak-

pihak yang memiliki wewenang untuk mengaksesnya. Availability adalah
memastikan bahwa sumber daya yang ada bisa diakses kapanpun oleh
pihak yang membutuhkannya. Prinsip ini selalu diback up dengan
recovery plan atau rencana pemulihan sehingga ketika terjadi hal-hal yang
tidak diinginkan maka sumber daya selalu tersedia. Karena faktor yang
akan membuat rusaknya Availability bisa dari fakor yang disengaja atau
tidak disengaja.
Availability dapat dilakukan dengan cara membuat kebijakan
disaster recovery plan yang baik. Mengidentifikasi kepentingan setiap
sumber daya baik perangkat lunak, perangkat keras, dan perangkat pikir
sangat perlu dilakukan. Berfikir jika suatu perangkat tidak ada maka
langkah apa yang akan dilakukan. Misal jika mati listrik maka menyiapkan
tenaga listrik lainnya seperti genset. Jika operator tidak ada maka
penggantinya adalah staf lainnya.

3. Integrity

6
 Integrity atau disebut juga dengan integritas yaitu data tidak
berubah dari aslinya oleh pihak yang tidak memiliki otoritas, sehingga
kualitas, akurasi, dan validitas data tersebut masih terjaga. Atau dengan
kata lain, Integrity memastikan bahwa data yang ada benar- benar asli
tidak ada yang mengubah. Data yang ada tidak dirubah baik sengaja oleh
peretas atau karena tidak sengaja seperti force majuer. Integrity dapat
dilakukan dengan cara seperti membatasi akses kontrol, membuat
otentifikasi dan membuat enkripsi.
Semua sistem informasi harus mampu memberikan gambaran
akurat dan lengkap dari sistem fisik yang diwakilinya. Dan dengan adanya
sistem keamanan yang terjamin, diharapkan dapat membantu
mengamankan aset informasi dari orang yang tidak berhak mengkasesnya.
Apalagi pada zaman modern ini, banyak sekali situs-situs yang
mengunggah tentang tutorial-tutorial meretas, membobol sistem keamanan
dan sejenisnya yang terkadang disalahgunakan oleh para viewersnya,
sehingga banyak heacker dan cracker yang bermunculan. Oleh karena itu,
untuk meminimalisir agar tidak terjadi berbagai gangguan dan ancaman,
banyak organisasi-organsasi yang rela mengeluarkan fasilitas-fasilitas
yang relatif mahal hanya untuk meningkatkan kualitas keamanan
sistemnya.
2.2 Manajemen Keamanan Teknologi Informasi
IT Security perlu dikelola agar teknologi yang digunakan bisa
mengantarkan kepada tujuan penggunaan teknologi. Karena jika tidak maka
penggunaan teknologi bisa sebaliknya menjauhkan dari tujuan. Mengelola
keamanan teknologi bisa dimulai dari :
a. Mengidentifikasi risiko dari penggunaan teknologi informasi
b. Menemukan ancaman penggunaan teknologi informasi
c. Membuat kebijakan keamanan atau security policy
d. Mengontrol kebijakan yang telah dibuat.
Berdasarkan cara mengelola keamanan teknologi tersebut dapat
digambarkan pada gambar 2.1 yaitu strategi keamanan manajemen.

7
 Gambar 2.1. Strategi Keamanan Manajemen
Tolak ukur (benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur
keamanan informasi (information security benchmark) adalah tingkat kemanan
yang disarankan yang dalam keadaan normal harus menawarkan perlindungan
yang cukup terhadap gangguan yang tidak terotorisasi. Standar atau tolak
ukur semacam ini ditentukan oleh pemerintah dan asosiasi industri serta
mencerminkan komponen- komponen program keamanan informasi yang baik
menurut otoritas tersebut.
Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan
terhadap tolak ukur (benchmark compliance) dapat diasumsikan bahwa
pemerintah dan otoritas industri telah melakukan pekerjaan yang baik dalam
mempertimbangkan berbagai ancaman serta risiko dan tolak ukur tersebut
menawarkan perlindungan yang baik.
Keamanan informasi memiliki tiga tujuan utama yaitu keterjagaan,
kesesuaian dan integritas. Keterjagaan berarti bahwa keamanan informasi harus
melindungi data dan informasi dari pihak yang tidak memiliki wewenang untuk
mengetahui atau mengelolanya. Kesesuaian berarti bahwa keamanan informasi
harus memastikan bahwa informasi hanya digunakan oleh pihak yang berwenang

8
untuk mengelolanya. Sementara itu, integritas berarti bahwa keamanan informasi
harus memberikan gambaran yang tepat dan akurat berkaitan dengan sistem fisik
yang ditampilkannya.

2.3 Ancaman
Setiap hal yang dapat memberikan kondisi berbahaya terhadap sumber
daya informasi disebut sebagai ancaman keamanan informasi. Bentuk ancaman ini
dapat berupa orang, organisasi, mekanisme atau suatu peristiwa. Ancaman
keamanan informasi dapat ada secara disengaja maupun tidak disengaja.
Penyebab timbulnya ancaman keamanan informasi dapat berasal dari sisi internal
maupun eksternal. Ancaman baru yang timbul dalam teknologi informasi
berkembang seiring dengan meningkatnya jumlah data dan cara untuk
mengeksploitasinya. Ancaman ini dapat diatasi dengan menggunakan peralatan
dengan teknologi informasi yang canggih.
Pada teknologi dan komunikasi internet, perusahaan atau organisasi juga
dapat mempekerjakan pekerja yang ahli dalam bidang keamanan sistem informasi
agar informasi penting dapat diamankan dari ancaman oleh peretas. Kandidat
pekerja memiliki partisipasi aktif yang dapat dinilai dalam komunitas yang
membidangi keamanan informasi. Partisipasi kandidat pekerja dapat diketahui
melalui daftar surat elektronik keamanan informasi, keikutsertaan dalam asosiasi
profesional atau konferensi keamanan.
Selain itu, kandidat juga dapat dinilai berdasarkan publikasi ilmiah yang
diterbitkannya, kecakapan dalam manajemen proyek, kemampuan komunikasi dan
kemampuan membuat gagasan yang dapat dibuktikan dan diterima keabsahannya.
Penilaian keamanan informasi dari ancamannya ditinjau dari ancaman fisikal dan
ancaman logikal.
Ancaman fisikal merupakan ancaman yang mengancam personil,
perangkat keras, fasilitas, dokumentasi dan persediaan informasi. Sedangkan
ancaman logikal mengancam data, informasi dan perangkat lunak. Keamanan
informasi dikatakan telah memberikan keadaan aman jika aset informasi dapat

9
terhindar dari kerugian akibat ancaman informasi dalam jangka waktu dengan
batasan kondisi tertentu yang dapat diterima.
Ancaman Keamanan Informasi (Information Security Threat) merupakan
orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk
membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman
dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja.

Gambar 2.2 Tindakan Yang Mengancam Tujuan Keamanan Sistem

a. Ancaman Internal dan Eksternal
Ancaman internal bukan hanya mencakup karyawan perusahaan,
tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra bisnis
perusahaan tersebut. Ancaman internal diperkirakan menghasilkan
kerusakan yang secara potensi lebih serius jika dibandingkan dengan
ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebih
mendalam akan sistem tersebut. Ancaman eksternal misalnya perusahaan
lain yang memiliki produk yang sama dengan produk perusahaan atau
disebut juga pesaing.

b. Perbuatan Disengaja dan Tidak Disengaja

Tidak semua ancaman merupakan tindakan disengaja yang
dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan

10
 yang disebabkan oleh orang-orang di dalam ataupun diluar perusahaan.
Bencana alam dan politik, contoh: gempa bumi, banjir, kebakaran.
Kesalahan manusia, contoh: kesalahan penginputan data, kesalahan
penghapusan data, kesalahan operator. Kegagalan software dan hardware,
contoh: penyelewengan aktivitas, penyalahgunaan kartu kredit, sabotase,
pengaksesan oleh orang yang tidak berhak. Program yang jahat dan usil,
contoh: virus, worm.(Amrozi & Mt, 2019; Mcleod & Schell, 2009;
Ramadhani, 2018)
2.3.1 Jenis Ancaman
Ancaman sendiri merupakan segala sesuatu yang dapat mengganggu
keseimbangan sistem informasi, baik itu ancaman dari dalam maupun dari luar
sistem. Di dalam keamanan sistem informasi, ancaman dibagi menjadi dua bagian
yaitu ancaman aktif dan ancaman pasif.

2.3.1.1 Ancaman aktif

Yang termasuk pada ancaman aktif adalah sebagai berikut:

a. Pencurian Data
Pencurian data merupakan satu ancaman yang cukup fatal.
Dengan adanya pencurian data tersebut salah satu contohnya
adalah pencurian informasi penting yang terdapat di database dapat
diakses orang yang tidak berwenang, hasilnya akan kehilangan
informasi atau uang. Misalnya perusahaan satu dapat mencuri
rahasia dari perusahaan lawannya, dan lain-lain.
b. Penggunaan Sistem Secara Ilegal
Penggunaan sistem secara illegal maksudnya yaitu orang
yang seharusnya tidak berhak mengakses informasi pada suatu
sistem tapi justru mengakses sistem tersebut. Pelaku dari ancaman
ini biasanya disebut dengan hacker, mereka bertujuan untuk
mendapatkan informasi yang ingin mereka dapatkan. Mereka bisa
meretas telepon jarak jauh secara tidak sah.
c. Penghancuran Data Secara Ilegal

11
 Penghancuran data secara illegal yaitu orang yang dapat
merusak, menghancurkan data dan informasi dan membuat
berhentinya suatu sistem operasi komputer. Dan biasanya pelaku
dari penghancuran data ini tidak perlu berada di lokasi, mereka bisa
melakukannya dari jarak jauh, yaitu melalui sebuah jaringan
komputer dari suatu terminal dan menyebabkan kerusakan pada
semua sistem atau hilangnya data dan informasi penting. Biasanya
penjahat ini disebut dengan cracker atau penjebol sistem komputer
yang bertujuan melakukan pencurian data atau merusak sistem.
d. Modifikasi Secara Ilegal
Modifikasi secara illegal yaitu segala sesuatu yang
bertujuan merubah data atau informasi dan perangkat lunak secara
tidak disadari. Modifikasi ini dapat menghapus file atau
menyebabkan sistem terhenti.

2.3.1.2 Ancaman Pasif

Yang termasuk pada ancaman pasif adalah sebagai berikut:

a. Kegagalan sistem
Kegagalan sistem atau kegagalan software dan hardware
biasanya dapat menyebabkan data tidak konsisten, transaksi tidak
berjalan degnan lancar sehingga data menjadi tidak lengkap atau
bahkan data menjadi rusak. Selain itu, tegangan listrik yang tidak
stabil dpat membuat peralatan-peralatan menjadi rusak dan
terbakar.
b. Kesalahan Manusia
Kesalahan manusia yaitu kesalahan-kesalahan yang
dilakukan oleh manusia. Hal ini dapat mengancam integritas sistem
dan data.
c. Bencana Alam
Bencana alam merupakan faktor yang tidak terduga dan
dapat mengancam sistem informasi sehingga sumber daya

12
 pendukung sistem jadi tidak berfungsi dalam waktu yang singkat.
Contohnya banjir, gempa bumi dan kebakaran.

Terdapat beberapa jenis perangkat lunak yang berbahaya, yakni:

1. Virus
Virus adalah sebuah perangkat lunak berbahaya yang
mengikatkan dirinya pada program perangkat lunak lain atau arsip
data yang akan dijalankan (Laudon & Laudon, 2014). Virus dapat
mereplikasi dirinya sendiri tanpa dapat diamati oleh pengguna.
Virus biasanya menyebar dari komputer ke komputer saat manusia
melakukan sebuah tindakan. Meskipun mereka terkadang hanya
menampilkan pesan lucu, mereka lebih serng menghancurkan isi
memori, hard disk, dan perangkat penyimpanan lain.
2. Worm
Worm, tidak seperti virus, worm atau cacing tidak dapat
mereplikasi dirinya sendiri di dalam sistem, tapi dapat
menyebarkan salinannya melalui sebuah jaringan dan dapat
dijalankan tanpa bantuan. Penyerangan ini tidak banyak
bergantung pada perilaku manusia untuk menyebarkan dirinya. Ini
mengapa worm berkembang lebih pesat dibanding virus komputer.
3. Trojan horse
Trojan horse atau kuda troya tidak dapat mereplikasi atau
mendistribusikan dirinya sendiri. Biasanya disebarkan sebagai
suatu perangkat, saat perangkat tersebut digunakan perangkat
tersebut menghasilkan perubahan pada fungsi yang tidak
diinginkan (McLeod & Schell, 2008). Trojan bersembunyi di balik
aplikasi yang kelihatannya sah, dan membuat perintah untuk
aplikasi dan film secara otomatis tanpa izin user dan menyebabkan
user mendapat tagihan telepon yang tinggi.
4. Adware

13
 Adware adalah ancaman dengan memunculkan iklan- iklan
yang mengganggu (Mcleod & Schell, 2009)
5. Spyware
Spyware, dari namanya dapat kita lihat kata spy, disana
mengartikan bahwa ancaman tersebut dapat memata- matai dan
mengumpulkan data dari mesin user.
6. Intrusion
Intrusion adalah metode ketika seorang penyerang dapat
menggunakan sistem komputer yang dimiliki orang lain. Biasanya
pelaku ini ingin mengakses sebagaimana halnya pengguna yang
memiliki hak untuk mengakses sistem tersebut.
7. Denial of Service
Denial of Services lebih bahaya lagi dibanding Intrusion,
pada metode ini biasanya pengguna yang sah tidak lagi dapat
mengakses sistem karena kemacetan pada sistem. Contoh dari
metode ini adalah DDOS (Distributed Denial of Services) yang
mengakibatkan beberapa situs internet tak bisa diakses. Banyak
yang melupakan metode ini dan hanya mengingat Intrusion.
8. Joyrider
Joyrider metode ini umumnya disebabkan oleh orang yang
iseng dan ingin memperoleh kesenangan dengan menyerang suatu
sistem. Mereka berfikir kalau di sistem tersebut terdapat data yang
menarik. Rata-rata mereka hanya ingin memenuhi rasa ingin tahu,
tapi berujung dengan terjadinya kerusakan atau kehilangan data.
9. Vandal
Vandal metode ini adalah metode yang bertujuan untuk
merusak sistem, namun hanya ditujukan untuk situs-situs yang
sudah besar.
10. Hijacking
Hijacking yaitu dimana seseorang menempatkan sistem
monitoring atau spying terhadap pegnetikan yang dilakukan

14
 pengguna pada PC yang digunakan oleh pengguna yang berhak.
Biasanya mereka menggunakan program yang bernama keylog
atau sejenisnya. Saat ini justru banyak perusahaan yang
menggunakan jasa tersebut.
11. Sniffing
Sniffing yaitu dimana seseorang yang melakukan
monitoring atau penangkapan terhadap paket data yang
ditransmisikan dari komputer client ke web server pada jaringan
internet (saluran komunikasi).
12. Spoofing
Spoofing yaitu dimana seseorang berusaha pengguna
mengunjungi sebuah halaman situs yang salah sehingga membuat
pengunjung situs memberikan informasi rahasia pada pihak yang
tidak berhak (Paryati, 2008). Biasanya metode ini membuat situs
yang namanya mirip dengan situs yang asli. Seperti contohnya
terdapat sebuah nasabah bank bca yang tertipu dengan memberi
nama www.klik_bca.com, www.klikbca.org dan lain- lain. Tujuan
dari metode ini adalah untuk menjebak nasabah agar memberikan
informasi pentingnya seperti pin atau password dan lain-lain.
13. Website Defecing
Website Defacing yaitu dimana seseorang melakukan
serangan pada situs yang asli, kemudia mengganti isi halaman pada
server tersebut dengan halaman yang telah dimodifikasi. Tujuan
dari melakukan metode ini adalah agar instansi, perusahaan,
pemerintahan dan organisasi tertentu yang memiliki situs sebagai
sarana untuk memberikan kemudahan bagi masyarakat terkait
menjadi tidak berfungsi sebagaimana mestinya (Amrozi & Mt,
2019; Mcleod & Schell, 2009).

15
 2.4 Resiko Keamanan Informasi
Risiko keamanan informasi merupakan berbagai kemungkinan yang dapat
disebabkan oleh ancaman informasi selama melakukan pelanggaran keamanan
informasi. Timbulnya risiko keamanan informasi merupakan akibat dari tindakan
yang dilakukan tanpa pemberian hak pengelolaan. Terdapat beberapa jenis risiko
keamanan informasi yaitu pengungkapan, penggunaan, penghancuran, penolakan
layanan dan pengubahan informasi tanpa pemberian hak pengelolaan. Ancaman
dan risiko yang timbul dalam keamanan informasi menjadi permasalahan utama
dalam sistem informasi. Dampak yang ditimbulkannya akan mempengaruhi
efisiensi, kerahasiaan, integritas, keberadaan, kepatuhan dan keandalan dari suatu
sistem informasi.

2.5 Ancaman Terkenal Sistem Keamanan Informasi “Virus”

Virus merupakan salah satu jenis Malware yang mempunyai kemampuan
untuk memanipulasi data, menginveksi, mengubah dan merusak sebuah program
komputer. Program virus sebenarnya telah muncul sejak era 1980-an. Tetapi
tingkat penyebaran yang semakin cepat dan luasterjadi di awal 1990-an, yaitu
ketika internet mulai dimasyarakatkan. Dengan menumpang di dalam isi e-mail
ataupun situs web, virus semakin leluasa mengobrak-abrik jaringan compute.
Adapun kemampuan lain dari virus ini, yaitu dapat menggandakan diri dengan
cara menyelipkan program dari kopian dari asal dirinya menjadi bagian dari
program lain di komputer. Contohnya seperti:
a. Macroviruses (virus besar) : virus yang ada di dalam perangkat
lunak, seperti aplikasi pengolah kata.
b. Retrovirus : Aplikasi jahat untuk mematikan antivirus di komputer.
c. HLL virus : Virus yang di buat dalam bahasa pemrograman tingkat
tinggi seperti C++, C, Pascal, Delphi, Basic, Visual Basic, dan lain
sebagainya.
Ciri utama dari sebuah virus adalah kemampuannya dalam mereplikasi
dirinya sendiri kedalam file/program lain. Replikasi ini dilakukandengan cara
melakukan infeksi ke dalamfile/program lain yang akan dijadikan sebagai

16
file/program induk (host). Ada banyak cara yangdilakukan oleh virus dalam
menginfeksi program induk, antara lain overwriting, appending, dan prepending.
Ada banyak cara untuk mendeteksi keberadaan virus pada sistem
komputer, diantaranya adalah sebagai berikut :

1. Program tidak berjalan secara normal, diikuti pesan-pesan error,

atau sesekali disertai animasi (walaupun menarik).
2. Berubahnya volume disk.
3. File / program yang hilang secara misterius.
4. Ukuran file yang dieksekusi menjadi berubah tanpa sebab yang
diketahui.
5. Data file berubah tanpa sebab yang diketahui.
6. Penurunan jumlah memori tersedia walaupun komputer tidak
sedang menjalankan program computer.
7. Akses disk tampak berlebihan walaupun untuk hal-hal yang
sederhana.
8. Aktifitas sistem secara keseluruhan berjalan sangat lambat (untuk
eksekusi program dibutuhkan waktu yang lebih lama dari
biasanya).
9. Lampu disk menyala tanpa adanya keterangan apa-apa
(Pamungkas, 2018).

2.6 Pertimbangan E-Commerce

Transaksi melalui e-commerce melibatkan tiga pihak yaitu: suppliers/
partners, pengelola website (our company), dan pelanggan (customers).Ketiga
pihak ini saling berhubungan untuk menjalankan transaksi e-commerce.
Perusahaan membeli barang-barang seperti bahan baku, barang-barang
yang akan dijual kembali atau pelayanan dari para pemasok dan para partner
bisnis dalam suatu proses pengadaan barang. Departmen yang lain seperti bagian
keuangan, pemasaran mendukung kegiatan perusahaan. Ide dasar dari e-commerce
adalah melakukan proses otomatisasi setiap proses yang ada di perusahaan seperti
dengan dimulainya proses pemesanan barang, pengadaan barang, pengiriman

17
barang pemesanan kepada pelanggan dan bahkan untuk pelayanan yang lebih baik
kepada pelanggan dengan membuat Customer Relationship Management (CRM).
Customer Relationship Management adalah suatu strategi pemasaran yaitu untuk
mendapatkan pelanggan dan mempertahankan pelanggan sehingga pelanggan
tersebut akan menjadi pelanggan yang setia kepada perusahaan.
Pemanfaatan teknologi informasi dalam menjalankan bisnis atau sering
dikenal dengan istilah e-commerce bagi perusahaan kecil dapat memberikan
fleksibilitas dalam produksi, memungkinkan pengiriman ke pelanggan secara
lebih cepat untuk produk perangkat lunak, mengirimkan dan menerima penawaran
secara cepat dan hemat, serta mendukung transaksi cepat tanpa kertas.
E-commerce, dalam arti luas, adalah penggunaan jaringan komputer untuk
meningkatkan kinerja organisasi, meningkatkan profitabilitas, memperoleh pangsa
pasar, meningkatkan layanan pelanggan, dan pengiriman produk secara cepat. E-
Commerce bukan sekedar memesan barang dari katalog online. Tetapi melibatkan
semua aspek interaksi elektronik organisasi dengan perusahaan Stakeholder,
orang-orang yang menentukan masa depan organisasi. Perdagangan elektronik
termasuk kegiatan seperti mendirikan sebuah halaman Web untuk mendukung
hubungan investor atau berkomunikasi secara elektronik. Secara singkat, e-
commerce melibatkan penggunaan teknologi informasi untuk meningkatkan
komunikasi dan transaksi dengan seluruh pemangku kepentingan organisasi.
Stakeholder tersebut meliputi pelanggan, pemasok, pemerintah regulator, lembaga
keuangan, manajer, karyawan, dan masyarakat pada umumnya.
E-commerce dibangun di atas sejumlah teknologi yang berbeda. Berbagai
teknologi ini menciptakan sebuah layer infrastruktur, terintegrasi yang merupakan
pengembangan dan penyebaran aplikasi perdagangan elektronik. Setiap lapisan
didirikan dari lapisan bawah dan tidak dapat berfungsi bila lapisan tersebut tidak
ada.
Di dalam e-commerce, para pihak yang melakukan kegiatan
perdagangan/perniagaan hanya berhubungan melalui suatu jaringan publik (public
network) yang dalam perkembangan terakhir menggunakan media internet. Telah
dikemukakan di bagian awal tulisan, bahwa koneksi ke dalam jaringan internet

18
sebagai jaringan publik merupakan koneksi yang tidak aman. Hal ini
menimbulkan konsekuensi bahwa E-commerce yang dilakukan dengan koneksi ke
internet adalah merupakan bentuk transaksi beresiko tinggi yang dilakukan di
media yang tidak aman.
Kelemahan yang dimiliki oleh Internet sebagai jaringan publik yang tidak
aman ini telah dapat diminimalisasi dengan adanya penerapan teknologi
penyandian informasi (Crypthography). Electronic data transmission dalam e-
commerce disekuritisasi dengan melakukan proses enkripsi (dengan rumus
algoritma) sehingga menjadi cipher/locked data yang hanya bisa dibaca/dibuka
dengan melakukan proses reversal yaitu proses dekripsi sebelumnya telah banyak
diterapkan dengan adanya sistem sekuriti seperti SSL, Firewall, dsb.
Resiko yang dapat terjadi pada sistem Internet E-commerce dapat dipilah
menjadi dua bagian, yaitu :

a. Resiko Server Aplikasi Internet E-commerce

Internet Server merupakan tempat berjalannya aplikasi
internet E-commerce, sekaligus merupakan entry point kepada
aplikasi yang semestinya terisolasi dari Internet. Beberapa resiko
yang dapat terjadi adalah sebagai berikut:
1. Penyusupan (Intrusion) kedalam sistem dengan
memanfaatkan security hole
2. Penyusupan (Intrusion) kedalam sistem dengan
menggunakan program pelacak password
3. Penyusupan (Intrusion) kedalam sistem dengan
menggunakan alamat IP palsu (IP Spoofing)
4. Penyusupan (Intrusion) kedalam sistem dengan
menggunakan virus
5. Penyusupan (Intrusion) kedalam sistem dengan
menggunakan back dor. Penyerangan dengan
membebani sistem dengan pemboman paket (packet

19
 bombing), Ping of Death, DoS (Denial of Service)
atau Ddos (Distributed Denial of Service).

Jika sebuah server aplikasi Internet E-commerce berhasil

diserang, maka besar kemungkinan cracker dapat masuk kedalam
sistem internal perbankan, karena server tersebut merupakan entry
point ke dalam internal sistem Pada suatu sistem Internet E-
commerce yang tidak didisain dan dimaintenance dengan baik,
penyerangan dengan tehnik DoS / DdoS dapat menyebabkan beban
lebih pada sistem sehingga sistem utama dapat mengalami
kegagalan atau failure. Hal ini akan berakibat fatal terhadap
perusahaan E-commerce tersebut. Karena selain dapat
mengakibatkan downtime yang sedang berjalan, cracker dapat
melakukan manipulasi, pencurian, atau kejahatan yang lain
sehingga merugikan.

b. Resiko Transaksi
Banyak Pengguna Internet yang masih takut dalam
melakukan transaksi di Internet, baik untuk membeli dan menjual
barang di toko-toko Virtual, maupun melakukan transaksi
keuangan pada sistem Intenet Banking. Resiko dalam melakukan
transaksi di Internet sangat tinggi, karena selain beragamnya tujuan
pengguna Internet, perngkat hukum yang menaungi keamanan
dalam bertransaksi di Internet masih belum memadai. Beberapa
resiko transaksi pada Internet adalah sebagai berikut :
1. Penipuan dengan memasang situs palsu yang kemudian
menangkap nomor kartu kredit.
2. Penipuan dengan menggunakan nomor kartu kredit palsu
untuk melakukan transaksi di Internet.
3. Penipuan domain sehingga dapat memasang situs palsu
untuk menangkap nomor kartu kredit dan komponen
autentikasi sehingga dapat digunakan untuk penipuan lain.

20
 4. Penipuan dengan menyangkal telah melakukan suatu
transaksi .
5. Penipuan dengan membuat transaksi palsu.
6. Terjadinya transaksi ganda akibat kesalahan pengiriman
data.

Selain resiko transaksi di Internet yang telah disebutkan

diatas, masih banyak lagi resiko yang dapat terjadi dalam
melakukan suatu transaksi di Internet. Semakin banyak pelaku atau
pihak yang terlibat berarti semakin besar resiko yang dapat terjadi,
demikian pula jika nilai transaksi semakin besar berarti semakin
besar resiko yang dapat terjadi. Dengan adanya persaingan global,
kebutuhan untuk melakukan perdagangan dan transaksi di Internet
akan semakin meningkat dan tak terelakan.
Hal ini memacu semua pelaku bisnis untuk
mengembangkan teknologi yang dapat mendukung usahanya. EDI
over Internet, Bussines to Customer Commerce (B2C), dan
Bussines to Bussines Commerce (B2B) merupakan masa depan
yang tak terelakan. Apalagi setelah dikembangkannya teknologi
WAP (Wireless Application Protocol), seseorang dimungkinkan
membeli saham dimana saja dan dalam waktu yang cepat, dengan
hanya menekan tombol pada mobile phone yang dimilikinya. Oleh
karena itu diperlukan suatu bentuk teknik pengamanan dalam
melakukan transaksi di Internet, baik dari segi teknologi, prosedur
maupun dalam perangkat hukum.
2.7 Manajemen Resiko Sistem Informasi
Pengelolaan keamanan informasi terbagi menjadi keamanan harian yang
disebut manajemen keamanan informasi, dan persiapan pemecahan masalah
operasional yang disebut manajemen keberlanjutan bisnis. Pengelolaan keamanan
informasi dapat diberikan kepada petugas keamanan sistem informasi. Petugas ini
bertanggung jawab terhadap keamanan informasi di dalam suatu organisasi atau

21
perusahaan. Selain itu, keamanan informasi dan kelayakan unit informasi dapat
diawasi oleh petugas kelayakan informasi.
Pertanggungjawaban atas kinerjanya disampaikan langsung kepada
direktur utama dalam suatu perusahaan. Manajemen keamanan informasi dapat
dibagi menjadi empat tahap. Pertama, ancaman-ancaman yang dapat
membahayakan informasi diidentifikasi terlebih dahulu. Setelahnya, risiko-risiko
yang dapat muncul dari keberadaan ancaman harus diperhitungkan. Dari risiko-
risiko tersebut disusunlah kebijakan keamanan informasi. Isi kebijakan ini
kemudian memasukkan aturan yang berkaitan dengan pengendalian risiko.
Manajemen keamanan informasi dapat dikerjakan dengan terarah dengan adanya
kebijakan keamanan informasi (Awalia et al.,2022).
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai
keamanan informasi. Risiko dapat dikelola dengan cara mengendalikan atau
menghilangkan risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri
atas empat langkah:

a. Identifikasi aset-aset bisnis yang harus dilindungi dari risiko

b. Menyadari risikonya
c. Menentukan tingkatan dampak pada perusahaan jika risiko benar-
benar terjadi
d. Menganalisis kelemahan perusahaan tersebut.

22
 Tabel 2.1 Tingkat Dampak dan Kelemahan
Dampak Parah Dampak Dampak Minor
Signifikan
Melaksanakan Melaksanakan Analisis kelemahan
Kelemahan analisis kelemahan analisis kelemahan tidak dibutuhkan
Tingkat Harus meningkatkan Harus
Tinggi pengendalian meningkatkan
pengendalian
Melaksanakan Melaksanakan Analisis kelemahan
Kelemahan analisis kelemahan. analisis kelemahan. tidak dibutuhkan
Tingkat Sebaiknya Sebaiknya
Menengah meningkatkan meningkatkan
pengendalian. pengendalian.
Melaksanakan analisis Melaksanakan Analisis kelemahan
Kelemahan kelemahan. analisis kelemahan. tidak dibutuhkan
Tingkat Menjaga Pengendalian Menjaga
Rendah tetap ketat. Pengendalian tetap
ketat.
Tingkat keparahan dampak dapat diklasifikasikan menjadi:

a. Dampak yang parah (severe impact) yang membuat perusahaan

bangkrut atau sangat membatasi kemampuan perusahaan tersebut
untuk berfungsi.

b. Dampak signifikan (significant impact) yang menyebabkan

kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut
tetap selamat.

23
 c. Dampak minor (minor impact) yang menyebabkan kerusakan yang
mirip dengan yang terjadi dalam operasional sehari-hari.
d. Setelah analisis risiko diselesaikan, hasil temuan sebaiknya
didokumentasikan dalam laporan analisis risiko. Isi dari laporan ini
sebaiknya mencakup informasi berikut ini, mengenai tiap-tiap
risiko :
1. Deskripsi risiko
2. Sumber risiko
3. Tingginya tingkat risiko
4. Pengendalian yang diterapkan pada risiko tersebut
5. Para pemilik risiko tersebut
6. Tindakan yang direkomendasikan untuk mengatasi risiko
7. Jangka waktu yang direkomendasikan untuk mengatasi
risiko
8. Jika perusahaan telah mengatasi risiko tersebut, laporan
harus diselesaikan dengan cara menambahkan bagian akhir
apa yang telah dilaksanakan untuk mengatasi risiko
tersebut. (Mcleod & Schell, 2009)

2.8 Kebijakan Keamanan Informasi

Setelah risiko utama dalam suatu sistem informasi teridentifikasi perlu
dikembangkan kebijakan keamanan sistem informasi. Kebijakan keamanan juga
mencakup ketentuan untuk manajemen identitas. Manajemen identitas terdiri dari
proses identifikasi pengguna yang valid dari suatu sistem dan mengendalikan
akses mereka ke sumber daya sistem. Kebijakan ini mencakup berbagai kategori
pengguna sistem (user), bagian sistem apa yang diizinkan untuk diakses oleh
setiap pengguna, serta teknologi untuk mengautentikasi pengguna dan melindungi
identitas mereka (Laudon & Laudon, 2020).
Menurut Ramadhani (2018) kebijakan keamanan ini mengarahkan visi dan
misi manajemen agar kontinuitas bisnis dapat dipertahankan dengan
mengamankan dan menjaga integritas/keutuhan informasi-informasi krusial yang

24
dimiliki oleh perusahaan. Security Policy sangat diperlukan mengingat banyak
ditemuinya masalah-masalah non teknis salah satunya penggunaan password oleh
lebih dari satu orang. Hal ini menunjukan tidak adanya kepatuhan dalam
menerapkan sistem keamanan informasi. Security Policy meliputi berbagai aspek,
yaitu:

a. Information security infrastructure

b. Information security policy

Implementasi dalam kebijakan keamanan infomasi dapat dilakukan dalam

5 tahap pendekatan dibawah ini:

a. Tahap 1: Pengenalan proyek

Membentuk sebuah tim untuk mengawas proyek kebijakan
keamanan tersebut.
b. Tahap 2 : Pengembangan kebijakan
Berkonsultasi dengan semua pihak yang terlibat.
c. Tahap 3: Konsultasi dan penyetujuan
Berkonsultasi dengan manajemen untuk mendapatkan pandangan
mengenai berbagai persyaratan kebijakan.
d. Tahap 4: Kesadaran dan pendidikan
Melaksanakan program pelatihan dan edukasi dalam setiap unit
organisasi.
e. Tahap 5: Penyebaran kebijakan
Kebijakan ini disebarluaskan ke seluruh unit organisasi dimana
kebijakan tersebut dapat diterapkan.(Awalia et al.,2022)

2.9 Penendalial (Controls)

Pengendalian (control) adalah mekanisme yang diterapkan baik untuk
melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko pada
perusahaan jika resiko tersebut terjadi. Menurut buku dari Dr. Deni Darmawan,
S.Pd., M.Si. dan Kunkun Nur Fauzi dalam bukunya yang berjudul Sistem

25
Informasi Manajemen, pengendalian dibagi menjadi 3 kategori yaitu :
pengendalian teknis, pengendalian formal, dan pengendalian informal.
2.9.1 Pengendalian teknis
Pengendalian teknis atau technical control, adalah pengendalian yang
menjadi satu di dalam sistem dan dibuat oleh penyusun sistem selama masa siklus
penyusunan sistem. Agar menjadi desain sistem, pengendalian ini disarankan
untuk melibatkan seorang auditor internal di dalam tim. Kebanyakan
pengendalian keamanan dibuat dari teknologi hardware dan software..
Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi hardware dan
software (Amrozi & Mt, 2019; Mcleod & Schell, 2009).
Dalam pengendalian teknis itu sendiri dibagi lagi menjadi 3 kategori,
yaitu: pengendalian akses, pengendalian kriptografis, dan pengendalian fisik.
2.9.1.1 Pengendalian Akses / Kontrol Akses
Pengendalian akses, adalah dasar untuk keamanan melawan
ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi (Amrozi
& Mt, 2019). Maksud dari diotorisasi disini adalah orang-orang yang tidak
memiliki hak. Mengapa pengertiannya disebut seperti itu? Itu karena
apabila orang yang memiliki hak tidak dapat izin akses, maka pengrusakan
tidak dapat dilakukan.
Kontrol akses dilakukan melalui 3 tahap yaitu :

1. Identifikasi Pengguna
Pertama, user mengidentifikasi diri mereka dengan memberi
sesuatu yang mereka ketahui, contohnya memberikan nomor telepon,
kata sandi, dan lain-lain.

2. Autentifikasi Pengguna
User membuktikan hak akses dengan memberi sesuatu yang
mereka miliki, seperti tanda tertentu misalnya smartcard, chip
identifikasi, dan lain-lain. Otentikasi biometrik menggunakan sistem
yang membaca dan menafsirkan sifat individu manusia, seperti sidik
jari, iris, dan suara, untuk memberikan atau menolak akses. Otentikasi

26
biometrik didasarkan pada pengukuran sifat fisik atau perilaku yang
membuat setiap individu unik. Ini membandingkan karakteristik unik
seseorang, seperti sidik jari, wajah, atau gambar retina, dengan profil
yang disimpan dari karakteristik ini untuk menentukan apakah ada
perbedaan antara karakteristik ini dan profil yang disimpan. Jika
kedua profil cocok, akses diberikan. Teknologi sidik jari dan
pengenalan wajah baru mulai digunakan untuk aplikasi keamanan,
dengan banyak laptop PC dilengkapi dengan perangkat identifikasi
sidik jari dan beberapa model dengan webcam internal dan perangkat
lunak pengenalan wajah (Laudon & Laudon, 2020).
3. Otorisasi Pengguna
Dalam tahap ini, pengguna menerima otorisasi untuk
memasuki tingkat penggunaan tertentu. Hal-hal tersebut terbilang
cukup penting guna memastikan bahwa karyawan hanya dapat
mengakses serta mengelola informasi yang sesuai atau relevan dengan
posisi/jabatan mereka (Awalia, et al., 2022 ; Mcleod & Shcell, 2009).
Sistem kontrol akses, mengendalikan akses user terhadap
informasi-informasi yang telah diatur kewenangannya, termasuk
pengendalian secara mobile-computing ataupun tele-networking. Tata
cara kontrol akses terhadap informasi dan sumber daya yang ada
meliputi berbagai aspek, yaitu:
- Access control.
- User Access Management.
- User Responsibilities.
- Network Access Control
- Operation System Access Control
- Application Access Control
- Monitor system Access and use
- Mobile Computing and Telenetworking (Ramadhani,
2018).

27
2.9.1.2 Pengendalian Kriptografis
Kriptografi (Cryptography) berasal dari bahasa Yunani, terdiri dari dua
suku kata yaitu kripto dan graphia. Kripto artinya menyembunyikan, sedangkan
graphia artinya tulisan. Kriptografi adalah ilmu yang mempelajari teknik-teknik
matematika yang berhubungan dengan aspek keamanan informasi, seperti
kerahasian data, keabsahan data, integritas data, serta autentikasi data. Tetapi
tidak semua aspek keamanan informasi dapat diselesaikan dengan kriptografi.
Kriptografi dapat pula diartikan sebagai ilmu atau seni untuk menjaga
keamanan pesan. Ketika suatu pesan dikirim dari suatu tempat ke tempat lain, isi
pesan tersebut mungkin dapat disadap oleh pihak lain yang tidak berhak untuk
mengetahui isi pesan tersebut. Untuk menjaga pesan, maka pesan tersebut dapat
diubah menjadi sebuah kode yang tidak dapat dimengerti pihak lain (Amin, 2017).
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi
dari pengungkapan yang tidak terotorisasi dengan kiptografi, yaitu penggunaan
kode yang menggunakan proses matematika (Amrozi & Mt, 2019). Cara kerja dari
pengendalian kriptografi ini adalah dengan mengenkripsi dalam penyimpanan dan
mentransmisikan ke dalam jaringan data dan informasi tersebut. Jika seseorang
yang tidak punya hak mengakses, enkripsi tersebut akan membuat data yang
dimaksud tidak ada artinya, dan mencegah kesalahan penggunaan (Mcleod &
Schell, 2009).
Enkripsi adalah sebuah proses penyandian yang melakukan perubahan
sebuah kode (pesan) dari yang bisa dimengerti (plaintext) menjadi sebuah kode
yang tidak bisa dimengerti (chipertext). Sedangkan proses kebalikannya untuk
mengubah cipertext menjadi plaintext disebut dekripsi. Proses enkripsi dan
deskripsi memerlukan suatu mekanisme dan kunci tertentu. Kriptografi adalah
ilmu mengenai teknik enkripsi dimana data diacak menggunakan suatu kunci
enkripsi menjadi sesuatu yang sulit dibaca oleh seseorang yang tidak memiliki
kunci menggunakan kunci dekripsi. Dekripsi mendapatkan kembali data asli.
Enkripsi data menjadi cara yang penting untuk melindungi data dan
sumber daya jaringan komputer lainnya terutama di internet, intranet, dan
ekstranet. Password, pesan, file, dan data lainnya dapat ditransmisikan dalam

28
bentuk acak serta dibentuk kembali oleh sistem komputer untuk para pemakai
yang berhak saja. Enkripsi melibatkan penggunaan algoritma matematika khusus,
atau kunci, untuk mengubah data digital ke dalam kode acak sebelum mereka
sitransmisikan, serta untuk melakukan dekode data tersebut ketika mereka
diterima.
Beberapa software saling bersaing untuk standar enkripsi, dua yang
terkenal adalah:

1. RSA
2. PGP (pretty good privacy)
Berbagai produk software termasuk Microsoft Windows XP, Novell
Netware, dan Lotus Notes menawarkan berbagai fitur enkripsi dengan
menggunakan software RSA. (Awalia, et al., 2022).

2.9.1.3 Pengendalian Fisik

Pengendalian fisik adalah pengendalian yang bisa dilakukan secara
langsung dan nyata. Contoh yang paling sering digunakan dari pengendalian ini
adalah dengan mengunci pintu ruangan komputer. Tetapi semakin perkembangan
jaman, kunci-kunci itu lebih diperbarui. Contohnya dengan menggunakan sidik
jari, cetakan suara. Dan kali ini contoh lain selain mengunci adalah dengan adanya
alat penjaga keamanan dan kamera pengintai atau kamera CCTV. Biasanya
perusahaan menaruh tempatnya di tempat yang sangat terpencil, jauh dari kota,
dan wilayah yang jauh kemungkinannya untuk terjadi bencana alam. Hal ini
dilakukan untuk menjaga keamanan dari komputer tersebut (Amrozi & Mt, 2019;
Mcleod & Schell, 2009).
Keamanan dari segi fisik dan lingkungan jaringan untuk mencegah
kehilangan atau kerusakan data yang diakibatkan oleh lingkungan, termasuk
bencana alam dan pencurian data dalam media penyimpanan atau fasilitas
informasi yang lain. Aspek yang dibahas antara lain:

1. Secure Areas
2. Equipment security

29
 3. General Control (Ramadhani, 2018).

2.10 Sistem Pendeteksi Gangguan Keamanan Informasi

Sistem pendeteksi gangguan pada dasarnya mengidentifikasi upaya
pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan
perusakan. Salah satu contohnya software proteksi virus (virus protection
software) / software pemindai yang terbukti efektif melawan virus yang terkirim
melalui e-mail. Software tersebut mengidentifikasi pesan pembawa virus dan
memperingatkan pengguna. Sistem menghasilkan alarm atau tanda peringatan jika
menemukan kejadian yang mencurigakan atau anomali. Perangkat lunak
pemindaian mencari pola yang menunjukkan metode serangan komputer yang
diketahui, seperti kata sandi, memeriksa apakah file penting telah dihapus atau
diubah, dan mengirimkan peringatan vandalisme atau kesalahan administrasi
sistem. Perangkat lunak pemantauan memeriksa peristiwa yang sedang terjadi
untuk menemukan serangan keamanan yang sedang berlangsung (Laudon &
Laudon, 2020).

2.10.1 Firewall
Firewall atau dinding api adalah sistem perangkat lunak yang
mengizinkan lalu lintas jaringan yang dianggap aman untuk dapat melaluinya dan
mencegah lalu lintas jaringan yang dianggap tidak aman. Pada dasarnya sebuah
firewall dipasang pada sebuah router yang berjalan pada gateway antara jaringan
lokal dengan jaringan Internet.
Firewall adalah sebuah sistem pengaman, firewall dapat berupa hardware
maupun software. Firewall dapat digunakan untuk memfilter paket-paket dari luar
dan dalam jaringan di mana ia berada. Jika pada kondisi normal semua orang dari
luar jaringan anda dapat bermain-main ke komputer anda, dengan firewall semua
itu dapat diatasi dengan mudah. Berikut jenis-jenis firewall :
1. Firewall berbasis hardware
Firewall berbasis hardware adalah perangkat keras yang terdapat
dalam sistem jaringan, misalnya router. Firewall macam ini memerlukan
konfigurasi untuk dapat bekerja secara efektif. Untuk dapat bekerja,

30
 firewall menggunakan teknik filter untuk menentukan packet utama,
sumber, dan tujuannya. Secara internal sistem akan membandingkan data
menurut aturan yang ditetapkan. Kemudian, ia memutuskan data mana
yang perlu di-drop atau diteruskan ke tujuan.
2. Firewall berbasis software
Firewall berbasis software adalah solusi untuk perlindungan
jaringan bagi pengguna internet di rumah. Biasanya firewall ini diciptakan
dalam bentuk aplikasi terpisah maupun sebagai fitur tambahan dari anti
virus. Jenis firewall macam ini melindungi trafik inbound dan juga
outbound, selain juga menghindarkan dari virus Trojan serta
Worm.(Hendita & Kusuma, 2022)
Firewall adalah kombinasi perangkat keras dan perangkat lunak yang
mengontrol aliran lalu lintas jaringan yang masuk dan keluar. Firewall
mengidentifikasi nama, alamat IP, aplikasi, dan karakteristik lain dari lalu lintas
masuk. Firewall memeriksa informasi terhadap aturan akses yang telah diprogram
ke dalam sistem oleh administrator jaringan. Firewall mencegah komunikasi yang
tidak sah masuk dan keluar dari jaringan. Dalam organisasi besar, firewall sering
berada di komputer khusus yang terpisah dari jaringan lainnya, sehingga tidak ada
permintaan masuk yang langsung mengakses sumber daya jaringan pribadi.
(Laudon & Laudon, 2020).
Firewall adalah sebuah jaringan yang merupakan prosesor komunikasi,
biasanya sebuah router, atau server khusus, bersama dengan software firewall.
Firewall berfungsi sebagai “penjaga gerbang” sistem yang melindungi intranet
perusahaan dan jaringan lain perusahaan dari penerobosan, dengan menyediakan
saringan dan poin transfer yang aman untuk akses ke dan dari internet serta
jaringan lainnya. Firewall menyaring semua lalu lintas jaringan untuk password
yang tepat atau kode keamanan lainnya, dan hanya mengizinkan transmisi sah
untuk masuk serta keluar dari jaringan. Firewalldapat mendeteksi, tetapi tidak
benar-benar dapat mencegah secara keseluruhan akses tidak sah (hacking) ke
dalam jaringan komputer.

31
 Menurut Raymond McLeod, Jr. Dan George P. Schell dalam bukunya
yang berjudul Sistem Informasi Manajemen, teknologi pemeriksaan firewall
dibagi menjadi tiga, meliputi penyaringan paket statis (static packet filtering),
firewall tingkat sirkuit, dan firewall tingkat aplikasi.
Firewall Penyaringan Paket memeriksa area yang dipilih pada bagian atas
paket data yang mengalir maju mundur antara jaringan terpercaya dan internet,
menguji paket individu secara terpisah. Router merupakan alat jaringan yang
mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara Internet dan
jaringan internal, router tersebut dapat berlaku sebagai firewall.
Firewall Tingkat Sirkuit adalah salah satu peningkatan keamanan dari
router. Firewall Tingkat Sirkuit yang terpasang antara Internet dan Jaringan
perusahaan tapi lebih dekat dengan media komunikasi daripada router. Pada hal
ini tingkat otentikasi dan penyaringannya jauh lebih tinggi dibanding router.
Namun keterbatasan dari titik tunggal keamanan tetap berlaku.
Firewall Tingkat Aplikasi berlokasi antara router dan komputer yang
menjalankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan
dapat dilakukan. Meskipun merupakan jenis firewall yang paling efektif, jenis ini
cenderung untuk mengurangi akses ke sumber daya.
2.11 Pengendalian Formal
Pengendalian formal atau formal control adalah pengendalian yang
mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang
diharapkan dan pengawasan serta pencegahan perilaku yang berbeda dengan
panduan yang berlaku (Mcleod & Schell, 2009). Alasan mengapa pengendalian
ini disebut sebagai pengendalian formal adalah karena pengendalian ini
membutuhkan banyak waktu untuk membuatnya, mendokumentasikannya dalam
bentuk tulisan.
2.12 Pengendalian Informal
Pengendalian informal atau informal control adalah pengendalian yang
mencakup program-program pelatihan dan edukasi serta program pembangunan
manajemen (Mcleod & Schell, 2009). Tujuan dari pengendalian ini agar para-para
karyawan paham dan mendukung program keamanan tersebut.

32
2.13 Tingkat Pengendalian Yang Tepat
Dalam ketiga jenis pengendalian baik itu pengendalian teknis, formal dan
informal diperlukan pertimbangan biaya (cost) agar tidak menghabiskan lebih
banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari resiko
yang akan terjadi. Maka dari itu, sistem kontrol dibuat berdasarkan biaya versus
keuntungan, akan tetapi dalam beberapa industry terdapat pula pertimbangan-
pertimbangan lain tanpa mengganggu kenyamanan pelanggan (Mcleod & Schell,
2009).
2.14 Peranan Pemerintah dan Industri
Beberapa organisasi pemerintahan dan internasional telah menentukan
standar- standar yang ditujukan untuk suatu pedoman untuk organisasi yang ingin
mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolak ukur,
yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternative untuk
manajemen resiko. Organisasi tidak diwajibkan mengikuti standar ini, namun
standar ini ditujukan untuk memberikan bantuan kepada perusahaan dalam
menentukan tingkat target keamanan. Berikut beberapa contoh standar pedoman
keamanan informasi dari pemerintah dan industri :
a. BS7799
Standar keamanan milik pemerintah Inggris ini merupakan satu
kesatuan kontrol dasar. Pertama kali diterbitkan oleh British Standars
Institute pada tahun 1995. Kemudian oleh Organisasi Standar
Internasional sebagai ISO 17799 pada tahun 2000, dan tersedia untuk
pengguna online pada tahun 2003.
b. BSI IT Baseline Protection Manual
BSI merupakan singkatan dari Bundesamt fur Sicherheit in der
Informationstechnik yang dalam bahasa Inggris Federal Office for
Security in Information Technology. IT Baseline Protection Manual yang
diperkenalkan oleh BSI dan dikembangkan oleh BSI Jerman berisi
kumpulan rekomendasi standar kontrol keamanan atau perlindungan
sebagai referensi di dalam manual.
c. COBIT

33
 d. GASSP (Generally Accepted System Security Principles)
e. ISF Standard of Good Practice (Mcleod & Schell, 2009).
2.15 Peraturan Pemerintah
Pemerintah Amerika Serikat maupun Inggris telah menentukan standard
dan menetapkan peraturan yang ditujukan untuk menaggapi masalah pentingnya
keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan
semakin meluasnya internet serta peluang terjadinya kejahatan computer.
Beberapa diantaranya adalah :
a. Standar Keamanan Komputer Pemerintah Amerika Serikat.
b. Undang-Undang Antiterorisme, kejahatan, dan keamanan Inggris tahun
2001.
2.16 Standar Industri
The Center for Internet Security (CIS) adalah organisasi nirlaba yang
didedikasikan untuk membantu para mengguna computer guna membuat system
mereka lebih aman. Bantuan diberikan melalui dua produk CIS Benchmark dan
CIS Scoring Tools.
2.17 Sertifikasi Profesi
Mulai tahun 1960-an, profesi TI mulai menawarkan program sertifikasi.
Tiga contoh berikut mengilustrasikan cakupan dari program-program ini.
a. Asosiasi Audit Sistem Informasi
Audit sistem informasi adalah proses pengumpulan dan evaluasi
bukti-bukti untuk menentukan apakah sistem komputer yang digunakan
telah dapat melindungi aset milik organisasi, mampu menjaga integritas
data, dapat membantu pencapaian tujuan organisasi secara efektif, serta
menggunakan sumber daya yang dimiliki secara efisien.
Tak berbeda jauh dengan pendapat di atas, menurut Kenneth C.
Laudon dan Jane P. Laudon dalam bukunya yang berjudul Sistem
Informasi Manajemen mengelola perusahaan digital, audit adalah
bagaimana manajemen mengetahui keamanan dan pengendalian sistem
informasi berjalan efektif. Orang yang melaksanakan audit atau yang
melakukan audit disebut dengan auditor. Auditor sebaiknya menelusuri

34
 aliran beberapa transaksi pada sistem dan melakukan pengujian
menggunakan, jika sesuai, perangkat audit otomatis (Laudon & Laudon,
2014). Pelaksanaan audit dapat dibagi menjadi tiga aktivitas, yaitu:
1. Mempersiapkan dan merencanakan audit
2. Melaksanakan audit
3. Menyampaikan temuan audit
b. Konsersium Sertifikasi Keamanan Sistem Informasi Internasional
Sertifikasi profesional keamanan sistem informasi / Certification
Information System Security Professional (CISSP) ditawarkan oleh
konsorsium sertifikasi keamanan sistem informasi internasional /
International Information System Security Certification Consortium (ISC).
sertifikasi CISSP memverifikasi bahwa pemegangnya memiliki keahlian
umum dalam keamanan informasi yang mencakup topik-topik seperti
kontrol akses, kriptografi, arsitektur keamanan, keamanan internet, dan
praktik manajemen keamanan. sertifikasi didasarkan pada kinerja pada
ujian dari 250 pertanyaan pilihan ganda. informasi lebih lanjut dapat
ditemukan di WWW.ISC2.ORG.
c. Institusi SANS
SANS (SysAdmin, Audit, Network, and Security) adalah sebuah
perusahaan yang berfokus pada keamanan informasi, menawarkan
pelatihan keamanan siber, serta sertifikasi melalui GIAC. Menurut SANS,
area fokus operasi keamanan cyber yang efektif bergantung pada lapisan
pengujian ofensif, arsitektur dan pemantauan defensif, respon forensik dan
insiden, keamanan cloud, dan kepemimpinan.
2.18 Perspektif Dalam Menempatkn Manajemen Keamanan Informasi
Perusahaan harus mencanangkan kebijakan manajemen keamanan
informasi sebelum menempatkan pengendalian yang didasarkan atas
identifikasi ancaman dan risiko ataupun atas panduan yang diberikan oleh
pemerintah atau asosiasi industri. Perusahaan harus mengimplementasikan
gabungan dari pengendalian teknis, formal, dan informal yang diharapkan untuk
menawarkan tinngkat keamanan yang diinginkan pada batasan biaya yang

35
ditentukan dan sesuai dengan pertimbangan lain yang membuat perusahaan
dan sistemnya mamapu berfungsi secara efektif.
2.19 Kesinambungan Manajemen Bisnis
Kesinambungan manajemen bisnis (bussines continuity management–
BCM) adalah aktivitas yang ditujukan untuk menentukan operasional setelah
terjadi gangguang sistem informasi. Pada tahun awal penggunaan komputer,
aktivitas ini disebut perencanaan bencana (disaster planing), namun lebih dikenal
dengan perencanaan kontijensi (contigency plan). Elemen penting dalam
perencanaan kontijensi adalah rencana kontijensi, yang merupakan dokumen
tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus
dilakukan jika terjadi gangguan atau ancaman pada operasi komputasi komputer.
Manajemen keberlangsungan bisnis merupakan salah satu bidang
pengunaan komputer dimana kita dapat melihat perkembangan besar. Banyak
upaya telah dilaksanakan untuk mengembangkan perencanaan kontijensi, dan
banyak informasi serta bantuan telah tersedia. Tersedia pula rencana dalam paket
sehingga perusahaan mengadaptasinya ke dalam kebutuhan khususnya. Sistem
komputer TAMP memasarakan sistem pemulihan bencana (disaster recovery
system – DRS) yang mencakup sistem manajemen basis data, instruksi, dan
perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan.
Panduan dan garis besar tersedia bagi perusahaan untuk digunakan sebagai titik
awal atau tolak ukur.
a. Rencana Darurat
Rencana darurat menyebutkan prosedur menjaga keamanan
karyawan jika bencana terjadi. Prosedur ini mencakup sistem alarm,
prosedur evakuasi dan sistem pemadaman api.
b. Rencana Cadangan
Perusahaan harus mengatur agar fasilitas komputer cadangan
tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak
digunakan. Cadangan ini dapat diperoleh dari 3 kombinasi berikut ini :
1. Redudansi

36
 Perangkat keras, perangkat lunak dan data di duplikasikan
sehingga jika satu set tidak dapat dioperasikan, set cadangannya dapat
meneruskan proses.
2. Keberagaman
Sumber daya informasi tidak dipasang pada tempat yang sama,
computer dibuat terpisah untuk wilayah operasi yang berbeda-beda.

3. Mobilitas
Perusahaan dapat membuat perjanjian dengan para pengguna
peralatan yang sama sehingga masing-masing perusahan dapat
menyediakan cadangan kepada yang lain jika terjadi bencana besar.
Pendekatan yang lebih detail adalah membuat kontrak dengan jasa
pelayanan cadangan hot site dan cold site. Hot site adalah fasilitas
computer lengkap yang disediakan oleh pemasok untuk pelanggannya
untuk digunakan jika terdapat situasi darurat. Cold site hanya
mencakup fasilitas bangunan namun tidak mencakup fasilitas
komputer.
c. Rencana Catatan Penting
Catatan penting (vital records) perusahaan adalah dokumen kertas,
microform dan media penyimpanan optimis dan magnetis yang penting
untuk meneruskan bisnis perusahaan tersebut. Rencana catatan penting
(vital records plan) menentukan cara bagaimna catatan penting tersebut
harus dilindungi. Selain menjaga catatan tersebut di situs komputer,
cadanan harus disimpan dilokasi. Semua jenis catatan dapat secara fisik
dipindahkan ke lokasi terpencil tersebut, namun catatan komputer dapat
ditransmisikan secara elektronik.

37
 BAB III
ANALISIS KOMPARATIF

3.1 Analisis Keamanan Informasi pada SIM di Perusahaan

Pada penelitian ini, Penulis akana menganalisis masalah Keamanan
Informasi dari Sistem informasi manajemen dari Rumah Sakit Jasa Kartini
Tasikmalaya (RSJK). RSJK sudah mengembangkan sistem informasi manajemen
berbasis IT. RSJK merupakan salah satu unit di bawah pengelolaan Holding PT
Karsa Abdi Husada, dengan program digitalisasi dan robotic system seluruh unit
tahun 2025, direksi dan manajemen mendukung seluruh aspek pengembangan
sitem informasi berbasis website dan Android. Dimensi SIM yang digunakan
RSJK mempertimbangkan aspek mengedepankan relevansi informasi, akurasi dan
informasi, serta ketepatan waktu. Untuk profil objek penelitian dari RSJK adalah
sebagai berikut:

Nama Objek Kajian : Rumah Sakit Jasa Kartini Tasikmalaya

Alamat : Jl. Otto Iskandardinata No 15 Kota Tasikmalaya
Penerapan Sistem Informasi : 2014
Cakupan SIM yang digunakan : SIM Rumah Sakit
Flatform sistem informasi : Sistem Informasi berbasis WEB
Sistem Informasi berbasis Android
Softwere pemrograman : Bahasa generasi ke 4, dengan bahasa dasar
pemrograman PHP menggunakan framework Yii

3.1.1 Sistem Informasi Manajemen RSJK Berbasis Website

Beberapa jenis Sistem Informasi manajemen berbasis website di RS. Jasa
Kartini diantaranya adalah Sebagai berikut:
3.1.1.1 Sistem Informasi Pemasaran
Pada sistem informasi Pemasaran RSJK Penggunakan sistem call to care
customor. Tampilan dari sistem informasi tersebut dapat dilihat pada gambar 3.1.

38
 Gambar 3.1. Tampilan Sistem call to care customor

3.1.1.2 Sistem Logistik

Untuk tampilan sistem Informasi Logistik RSJK dapat dilihat pada gambar
3.2 sebagai berikut:

Gambar 3.2. Tampilan Sistem Logistik RSJK

3.1.1.3 Sistem Kepegawaian

Sistem Kepegawaian dari RSJK menggunakan sistem Payroll untuk
pembayaran gaji pegawai. Adapun tampilan dari sistem kepegawaian tersebut
dapat dilihat pada gambar 3.3.

39
 Gambar 3.3. Tampilan sistem kepegawaian (payroll gaji) RSJK
3.1.1.4 Sistem Pengendalian Mutu
Tampilan dari sistem pengendalian mutu dari RSJK dapat dilihat pada
gambar 3.4 Sebagai berikut:

Gambar 3.4. Tampilan Sistem Pengendalian Mutu RSJK

40
3.1.2 Sistem Informasi Manajemen RSJK Berbasis Android
Beberapa jenis Sistem Informasi manajemen berbasis android di RS. Jasa
Kartini untuk menunjang pelayanan pasien diantaranya adalah Sebagai berikut:
3.1.2.1 Eksekutif Support System Android
Merupakan fasilitas pelayanan berbasis aplikasi android yang digunakan
untuk pelayanan rawat jalan, rawat inap, rawat darurat dan informasi pasien.
Adapun tampilan dari aplikasi tersebut dapat dilihat pada gambar 3.5.

Gambar 3.5 Tampilan aplikasi Eksekutif Support System Android

3.1.2.2 Pendaftaran Online Pasien Androidbase

Tampilan dari Pendaftaran Online Pasien Androidbase dari RSJK dapat
dilihat pada gambar 3.6 sebagai berikut:

41
 Gambar 3.6 Pendaftaran Online Pasien Androidbase

Bedasarkan Sistem informasi manajemen berbasis IT tersebut

dapat menimbulkan beberapa ancaman cybercrime yang dapat merugikan
untuk RSJK. Untuk meminimalisir ancaman dan risiko tersebut maka
RSJK mengembangkan beberapa sistem keamanan, diantaranya adalah
pengamanan melalui aspek Brainware, Hardware, dan Software.
Berdasarkan aspek tersebut ada beberapa manifetasi ancaman dan Risiko
dari SIM tersebut dapat dilihat pada Tabel 3.1 adalah sebagai berikut:
Tabel 3.1. Manifestasi Ancaman SIM RSJK
Manifestai ancaman SIM Manifestai ancaman Manifestai ancaman SIM
dari aspek Brainware SIM dari aspek dari aspek Software
Hardware
Keterbatasan pengetahuan Kerusakan media Ancaman Malwere
tentang operasional penyimpanan
aplikasi
Tingkat kepatuhan Topologi jaringan yang Integrasi bridging data
penggunaan autority akun kurang tepat dengan pihak lain
Ketelitian pengguna Spesfikasi perangkat
aplikasi yang masih rendah yang belum seragam

42
 Untuk meghindari manifestasi ancaman dan risiko tersebut maka RSJK
dapat melakukan pengendalian keamanan sistem informasi tersebut melalui
beberapa cara sebagai berikut:

1. Pengendalian keamanan Brainware

Untuk mengendalikan keamanan informasi brainware dilakukan
dengan cara sebagai berikut:
- Pembagian hak akses sesuai kepentingan pihak tertentu
- Menetapkan autentifikasi pengguna berdasarkan
kewenangan akses
- Automatis keluar dari sistem 1 jam saat tidak
digunakan/idle
- Sosialisasi dan diklat penggunaan sistem berkelanjutan

2. Pengendalian keamanan Hardwere

Untuk mengendalikan keamanan informasi hardware dilakukan
dengan cara sebagai berikut:
- Penambahan media penyimpanan
- Pembangunan topologi jaringan baru dengan model yang
baru
- Standarisasi sfesifikasi perangkat keras

3. Pengendalian keamanan Softwere

Untuk mengendalikan keamanan informasi software dilakukan
dengan cara sebagai berikut:

- Pertahanan malwere dengan memasang aplikasi Antivirus

- Enkripsi
- Firewall
- Pemonitoran email

43
 - Kombinasi pasword engan alfabet, numerik dan symbol
- Backup file server
- PosgreSQL untuk monitoring database
- Keamaan autentfikasi dengan menggunakan Javascrift Web
Token

3.2 Studi Kasus Kemanan Informasi di E-commerce

3.2.1 Kebocoran Data pengguna Tokopedia ke Dark Web
Pada Tahun 2020, telah terjadi kebocoran data pengguna tokopedia
sebanyak 91 juta data pengguna dan lebih dari tujuh juta data merchant di e-
commerce dibocorkan oleh hacker bernama Shiny Hunters. (Benefita, 2022).
Menurut Ruby Alamsyah, Pakar Keamanan cyber mengungkapkan metode yang
digunakan oleh Shiny Hunters adalah memanfaatkan celah system cloud di
Tokopedia. Selain itu juga hacker kelas kakap tersebut bisa melakukan SQL
Injection ataupun teknik canggih lainya. Sehingga data personal pengguna
Tokopedia bocor ke public. Data pengguna yang bocor diantaranya email, nama,
alamat, tanggal lahir, jenis kelamin, nomor telpon dan password yang terenkripsi).
Shiny Hunter menjual informasi tersebut ke dunia maya dengan harga sekitar Rp.
70.000.000,-. Tokopediapun menenangkan penggunanya dengan memastikan data
sensitive seperti password aman karena terenkripsi. Artinya, informasi sudah
diubah ke kode rahasia sehingga tidak bisa dibaca oleh hacker. Tetapi hacker
tersebut tidak kalah strategi, penjahat cyber ini memperbolehkan oknum tertentu
mengunduh data illegal ini secara gratis. Ahli keamanan cyber, Pratama Pershada
mengungkapakn pelaku mau melakukan share gratis beberapa juta akun untuk
membuat semacam sandiwara siapa yang berhasil membuka kode acak pada
password. Sehingga insiden ini berpotensi membawa kerugian pada pengguna
Tokopedia. sehingga hacker bisa memanfaatkan profil pengguna untuk scamming
(Penipuan online) dan Phising (mengambil alih akun atau system). Mengirim
email penipuan misalnya. Untuk mencega insiden tersebut Tokopedia segera
menginvestigasi kasus dan menyarankan pengguanya segera mengganti password
secara berkala.

44
Beberapa cara menanggulangi hal tersebut antara lain:

- Membatasi akses control (Security policy) untuk membatasi jumlah

pengguna yang mampu merubah atau memodifikasi data.
- Melakukan pemisahan data kredensial yang bersifat vital, seperti
tabel username dan password. Dengan demikian, apabila hacker
mendapatkan akses ke username, belum tentu mereka dapat
mengakses tabel passwordnya.
- Menerapkan enkripsi data pada tabel database guna melindungi
username dan password pengguna. Dengan begitu, penyerang tidak
mampu mengetahui isi data meskipun berhasil mengaksesnya.
- Mengganti password secara berkala untuk semua akun yang dapat
mengakses database.
- Memasang Firewall, misalnya pemasangan WAP (Web Aplication
Firewall) dapat menyaring potensi serangan SQL injection serta
serangan siber lainnya. WAF akan mencocokan query yang masuk
dengan daftar query SQL berbahaya yang selalu terupdate. WAF
terbaru kini juga mampu mendeteksi reputasi IP guna mencari IP
yang dianggap berbahaya.
- Memasang Intrusion Prevention System (IPS). Lapisan keamanan
ini berfungsi memantau traffic pada OS dan jaringan. IPS akan
mendeteksi tiap data yang berseliweran dan menentukan apakah
ada yang berbahaya berdasarkan rekam jejaknya. Dengan begitu,
IPS dapat mencegah komunikasi dan transaksi data yang tidak sah.

45
 BAB IV
KESIMPULAN DAN SARAN

4.1 Kesimpulan
Informasi sangat berguna bagi suatu organisasi atau perusahaan, baik
berupa informasi keuangan, pemasaran, manufaktur, eksekutif dan sumberdaya.
Untuk merlindungi segala nformasi tersebut agar tidak terjadi penyalahgunaan
oleh pihak yang tidak berwenang dalam pengelolaannya, maka diperlukan system
keamanan informasi. Kemanan teknologi informasi merupakan usaha yang
dilakukan agar teknologi informasi yang digunakan baik software, hardware dan
brainware tetap berjalan sesuai dengan fungsinnya. Karena sistem informasi
manajemen yang tidak terlindungi dapat mengundang ancaman dan risiko yang
tingi. Prinsip keaman informasi meliputi Confidentiality, Integrity , dan
Availability. Untuk mempertahankan keamanan informasi tersebut diperlukan alat
manajemen keamanan diantaranya seperti Enskrip, Firewall, pengendalian
kriptografis, pemonitoran email, pertahanan virus, kode keamanan, pemonitor
keamanan,pembuatan cadangan file, keamanan biometris, alat pengendalian
computer dan pemulihan bencana. Dengan mempertimbangkan kebijakan kontrol
informasi melalui kebijakan teknis dan kebijakan formalnya. Aktivitas untuk
menjaga agar sumberdaya informasi tetap aman disebut dengan manajemen
kemanan informasi (Information security management-ISM)., sedangkan aktivitas
untuk menjaga agar peruahaan dan sumber daya informasi tetap berfungsi setelaha
adanya bencana diseut dengan manajemen keberlangsungan bisnis (BCM).

4.2 Saran
Ada beberapa saan yang dipertimbangkan dalam menanggapi system
kemanan informasi diantaranya:

1. Untuk mendeteksi adanya serangan pada aplikasi berbasis IT maka

disarankan untuk memiliki sebuah aplikasi pendukung untuk
intrusion detedtion system dan intrusion prevention system
memantau traffic pada OS dan jaringan. IPS akan mendeteksi tiap

46
 data yang berseliweran dan menentukan apakah ada yang
berbahaya berdasarkan rekam jejaknya. Dengan begitu, IPS dapat
mencegah komunikasi dan transaksi data yang tidak sah.
2. Setiap aplikasi diharuskan untuk selalu menggunakan pengamanan
informasi (Security Information) dalam mengantisipasi setiap
serangan ancaman cybercrime.

47
 DAFTAR PUSTAKA

Agustina, D., Pramadista, F. N., & Regyna, T. F. (2015). Sistem

Manajemen Keamanan Informasi. Jurnal Informatika Universitas Bina Darma
Palembang, 1.

Amin, M. M. (2017). Implementasi Kriptografi Klasik Pada Komunikasi

Berbasis Teks. Pseudocode, 3(2), 129–136.
https://doi.org/10.33369/pseudocode.3.2.129-136

Amrozi, Y., & Mt, M. (2019). Sistem Informasi Manajemen.

Awalia, Syifa; Sihombing, Nikous Soter; Sudiantini, Dian; Sabtohadi,

Joko; Rasyid, K. H. (2022). Sistem Informasi Manajemen: Tujuan Sistem
Informasi Manajemen. In CV. Pena Persada. CV. Pena Persada.

Hendita, G., & Kusuma, A. (2022). Sistem Firewall untuk Pencegahan

DDOS ATTACK di Masa Pandemi Covid-19. 3(1).

Laudon, K. C., & Laudon, J. P. (2020). Manajemen Information System:

Managing the Digital Firm. In New Jersey: Prentice Hall (10th ed.).

Mcleod, R., & Schell, J. G. P. (2009). Tenth Edition Management

Information System. In Advances in Cancer Research (Vol. 104, Issue 1, pp. 1–8).

Pamungkas, P. D. A. (2018). Analisis Cara Kerja Sistem Infeksi Virus

Komputer. Bina Insani ICT Journal, 1(1), 15–40.

Ramadhani, A. (2018). Keamanan Informasi. Nusantara - Journal of

Information and Library Studies, 1(1), 39. https://doi.org/10.30999/n-jils.v1i1.249

Benefita. (2022, agustus 26). Kasus Hacking Yang Menggeparkan

Indonesia dan Penyebabnya. Retrieved Agustus 30,30, from Niagahoster:
https://www.niagahoster.co.id/blog/kasus-hackingindonesia/?amp.

48
49