BAB II

PEMBAHASAN

2.1 Pengertian Keamanan Sistem Informasi

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan

(cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi,
dimana informasinya sendiri tidak memiliki arti fisik.

Selain itu keamanan sistem informasi bisa diartikan

Sebagai kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang
tidak sah, perubahan program,

Pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap teknologi
informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk
mengamankan perangkat keras dan lunak komputer, jaringan

Komunikasi, dan data.

Keamanan jaringan internet adalah Manajemen pengelolaan keamanan yang bertujuan mencegah,
mengatasi, dan melindungi berbagai sistem informasi dari resiko terjadinya tindakan ilegal seperti
penggunaan tanpa izin, penyusupan, dan perusakan terhadap berbagai informasi yang di miliki.
Resiko terhadap keamanan sistem informasi mencakup dua hal utama yaitu ancaman terhadap
keamanan system informasi dan kelemahan keamanan system informasi.

Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam sistem informasi
yaitu :

• Efektifitas

• Efisiensi
• Kerahaasiaan

• Integritas

• Keberadaan (availability)

• Kepatuhan (compliance)

• Keandalan (reliability)

Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat terkriteriakan dengan
baik. Adapun kriteria yag perlu di perhatikan dalam masalah keamanan sistem informasi
membutuhkan 10 domain keamanan yang perlu di perhatikan yaitu :

1. Akses kontrol sistem yang digunakan

2. Telekomunikasi dan jaringan yang dipakai

3. Manajemen praktis yang di pakai

4. Pengembangan sistem aplikasi yang digunakan

5. Cryptographs yang diterapkan

6. Arsitektur dari sistem informasi yang diterapkan

7. Pengoperasian yang ada

8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)

 9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan

10. Tata letak fisik dari sistem yang ada

Dari domain tersebutlah isu keamanan sistem informasi dapat kita klasifikasikan berdasarkan
ancaman dan kelemahan sistem yang dimiliki.

2.2 MANFAAT KEAMANAN SISEM INFORMASI

Pada perusahaan yang memiliki sumberdaya yang besar berupa bahan baku, sumberdaya manusia,
maupun barang jadi sudah saatnya menggunakan sistem komputerisasi yang terintegrasi agar lebih
effisien

Dan effektif dalam memproses data yang dibutuhkan. Sistem Informasi dalam suatu perusahaan
bertujuan untuk mencapai tiga manfaat utama: kerahasiaan, ketersediaaan, dan integrasi.

1. Kerahasiaan. Untuk melindungi data dan informasi dari penggunaan yang tidak semestinya
oleh orang-orang yang tidak memiliki otoritas. Sistem informasi eksekutif, sumber daya
manusia, dan sistem pengolahan transaksi, adalah sistem-sistem yang terutama harus
mendapat perhatian dalam keamanan informasi.

2. Ketersediaan. Supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang
memiliki otoritas untuk menggunakannya.

3. Integritas. Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang
akurat mengenai sistem fisik yang mereka wakili

2.3 JENIS UKURAN-UKURAN KEAMANAN SISTEM INFORMASI

Untuk melindungi sumberdaya organisasi, suatu perusahaan harus menerapkan beragam jenis
ukuran keamanan. Ukuran keamanan yang memadai memungkinkan perusahaan:
 1. Melindungi fasilitas komputernya dan fasilitas fisik lainnya.

2. Menjaga integritas dan kerahasiaan file data.

3. Menghindari kerusakan serius atau kerugian-kerugian karena bencana

Ukuran keamanan fokus pada:

1. Keamanan fisik dan

2. Keamanan data/informasi.

Kemanan fisik dikelompokkan atas:

1. Kemanan untuk sumberdaya fisik selain fasilitas komputer

2. Keamanan untuk fasilitas perangkat keras komputer.

Ukuran keamanan spesifik

Untuk setiap keamanan fisik dan keamanan data/informasi, maka ukuran-ukuran keamanan harus
ditetapkan untuk:

1. Melindungi dari akses yang tidak diotorisasi/diijinkan

2. Perlindungan terhadap bencana

3. Perlindungan terhadap kerusakan atau kemacetan

4. Perlindungan dari akses yang tidak terdeteksi

5. Perlindungan terhadap kehilangan atau perubahan-prubahan yang tidak seharusnya

6. Pemulihan atau rekonstruksi data yang hilang

1.4 KEAMANAN UNTUK SUMBER DAYA FISIK NON KOMPUTER

1.5
1. Sumberdaya fisik nonkomputer misalnya kas, sediaan, surat-surat berharga sekuritas, aktiva
tetap perusahaan, atau arsip-arsip dalam lemari arsip.

2. Perlindungan dari akses yang tidak diijinkan

a) Akses ke aktiva fisik non komputer harus dibatasi atau dijaga dari pihak-pihak yang
tidak diijinkan/diotorisasi.

b) Kas harus disimpan dalam kotak terkunci (brankas) dan hanya boleh diakses oleh
orang-orang yang diijinkan.

c) Menetapkan penjaga untuk sediaan yang disimpan digudang atau aktiva yang ada
digedung administrasi atau pabrik.

d) Membuat pagar untuk wilayah-wilayah tempat penyimpanan aktiva.

e) Membuat alarm, monitor TV atau lemari arsip yang terkunci.

3. Perlindungan dari Bencana

Melengkapi gudang dengan peralatan-peralatan pencegah api dan menyimpan kas pada tempat
yang tahan api

4. Perlindungan dari kerusakan dan kemacetan

Melakukan pemeliharaan rutin atas aktiva-aktiva operasi, seperti mesin, mobli dan lain-lain

1.4 KEAMANAN UNTUK PERANGKAT KERAS KOMPUTER

1.5
1. Perlindungan dari akses orang yang tidak diijinkan

a) Pusat fasilitas komputer harus diisolasi, lokasi tidak bisa dipublikasi dan tidak tampak
dari jalan umum.

2.6

b) Akses fisik ke fasilitas komputer dibatasi pada orang yang diotorisasi, misalnya
operator komputer, pustakawan, penyelia pemrosesan data atau manajemen sistem
informasi.

c) Penjaga keamanan dan resepsionis ditempatkan pada titik-titik strategis.

d) Memakai alat scanning elektronik

e) Pintu terkunci ke ruangan komputer dan titik pemasukan data yang hanya bisa
dibuka dengan kartu berkode magnetik.

f) Alarm, apabila ada pihak yang tidak diotorisasi masuk.

1. Perlindungan dari bencana

a) Fasilitas komputer diatur kelembaban dan suhu ruangannya.

 b) Untuk menghindari kerusajkan karena air, maka lantai, dinding dan atap harus tahan
air.

c) Membuat detektor asap atau detektor api

d) Untuk mainframe, maka sebaiknya disediakan generator ataupun UPS

2. Perlindungan dari kerusakan dan kemacetan

Membuat rencana backup file

KEAMANAN UNTUK DATA DAN INFORMASI

1. Perlindungan dari akses orang yang tidak diotorisasi terhadap data

a) Isolasi, data dan informasi yang rahasia dan penting bagi operasi perusahaan
diisolasi secara fisik untuk melindungi dari akses yang tidak diotorisasi.

b) Otentifikasi dan otorisasi pengguna. Misalnya dengan membuat daftar pengendalian

akses (ACL), membuat password, Automatic lockout, Callback procedure, keyboard
lock.

c) Peralatan komputer dan terminal dibatasi penggunaannya. Misalnya: suatu terminal

dibatasi hanya bisa memasukkan transaksi tertentu sesuai dengan fungsinya. Bagian
gudang hanya bisa memasukkan dan memutakhirkan data sediaan setelah
memasukkan password atau

Username. Peralatan komputer dan terminal juga akan terkunci otomatis bila jam kerja telah selesai.

d) Enskripsi. Untuk mencegah pengganggu (intruder) memasuki jaringan komunikasi

data dan menyadap data, maka data rahasia yang ditransmisikan melalui jaringan
 dilindungi dengan enkripsi (data dikodekan dan apabila telah sampai kode tersebut
dibuka ditempat tujuan). Terdapat dua jenis enskripsi:private key encryption &
Public Key Encryption.

e) Destruksi. Untuk mencegah pihak yang tidak diijinkan mengakses data, data rahasia
harus segera dihancurkan ketika masa penggunaannya selesai. Untuk hasil cetakan,
segera dihancurkan melalui alat penghancur kertas.

2. Perlindungan dari akses data dan informasi yang tidak bisa dideteksi

a) Membuat access log (log akses), merupakan komponen keamanan sistem

pengoperasian, mencatat seluruh upaya untuk berinteraksi dengan basis
data/database. Log ini menampilkan waktu, tanggal dan kode orang yang melakukan
akses ke basis data. Log ini menghasilkan jejak audit yang harus diperiksa oleh
auditor internal atau administratur keamanan untuk menetapkan ancaman-
ancaman yang mungkin terhadap keamanan sistem informasi.

b) Console log Cocok bagi komputer mainframe yang menggunakan pemrosesan

tumpuk. Console log mencatat semua tindakan yang dilakukan sistem operasi dan
operator komputer.Console log mencatat seluruh tindakan yang dilakukan sistem
operasi dan operator komputer, seperti permintaan dan tanggapan yang dibuat
selama pelaksanaan pemrosesan dan aktivitas lainnya.

c) Perangkat lunak pengendalian akses, Beberapa perangkat lunak berinteraksi dengan

sistem operasi komputer untuk membatasi dan memantau akses terhadap file dan
data.

d) Logperubahan program dan sistem. Log perubahan program dan sistem dapat
memantau perubahan terhadap program, file dan pengendalian. Manajer
pengembangan sistem memasukkan kedalam log ini seluruh perubahan dan
tambahan yang diijinkan terhadap program. Perubahan dan tambahan yang diijinkan
terhadap program harus diperiksa internal auditor untuk memeriksa kesesuaian
dengan prosedur perubahan yang disarankan.

1.4 PERLINDUNGAN DARI KERUGIAN ATAU PERUBAHAN YANG TIDAK DIHARAPKAN TERHADAP
DATA ATAU PROGRAM
1.5
 1. Log (catatan) perpustakaan, memperlihatkan pergerakan dari file data, program, dan
dokumentasi yang digunakan dalam pemrosesan atau aktivitas lainnya.

2. Log transaksi, mencatat transaksi individual ketika transaksi itu dimasukkan ke dalam sistem
on-line untuk pemrosesan. Log ini memberikan jejak audit dalam sistem pemrosesan online.
Termasuk dalam log ini adalah tempat pemasukan transaksi, waktu dan data yang
dimasukkan, nomor identifikasi orang yang memasukkan data, kode transaksi, dan jumlah.
Perangkat lunak sistem juga meminta nomor transaksi. Secara teratur daftar log transaksi ini
harus dicetak.

3. Tombol perlindungan^pada 3 ^ floppy disk

4. Label file

5. Memori hanya-baca (Read -Only Memory)

6. Penguncian (lockout), merupakan perlindungan khusus yang diperlukan untuk melindungi

basis data/database, karena beragam pengguna dan program biasanya mengakses data
secara bergantian dan terus menerus. Penguncian mencegah dua program mengakses data
secara bersamaan. Akibatnya, satu program harus ditunda sampai program lain selesai
mengakses. Jika kedua program diijinkan untuk

Memutakhirkan record yang sama, maka satu data dapat dicatat berlebihan dan hilang.

1.8 PEMULIHAN DAN REKONSTRUKSI DATA YANG HILANG

1.9
1. Program pencatatan vital, yaitu program yang dibuat untuk mengidentifikasi dan melindungi
catatan komputer dan nonkomputer yang penting untuk operasi perusahaan, seperti catatan
pemegang saham, catatan karyawan, catatan pelanggan, catatan pajak dan bursa, atau
catatan sediaan.

2. Prosedur backup dan rekonstruksi. Backup merupakan tindasan (copy) duplikasi dari
dokumen, file, kumpulan data, program dan dokumentasi lainnya yang sangat penting bagi
perusahaan. Prosedur rekonstruksi terdiri dari penggunaanbackup untuk mencipta ulang
data atau program yang hilang.
 2.9 Ancaman pada Sistem Informasi
2.10

Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem
maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.Ancaman
terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang
memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi.Pada kenyataannya
ancaman dapat bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau
berasal dari luar perusahaan. Ancaman juga dapat terjadi secara sengaja ataupun tidak
sengaja..Ancaman selama ini hanya banyak di bahas dikalangan akademis saja.Tidak banyak
masyarakat yang mengerti tentang ancaman bagi keamanan sistem informasi mereka. Masyarakat
hanya mengenal

Kejahatan teknologi dan dunia maya hanya apabila sudah terjadi “serangan“ atau “attack”. Sebuah
hal yang perlu disosialisasikan dalam pembahasan tentang keamanan sistem terhadap masyarakat
adalah mengenalkan “ancaman” kemudian baru mengenalkan ‘serangan’ kepada masyarakat. Perlu
di ketahui bahwa serangan dimulai dengan ancaman, dan tidak akan ada serangan sebelum adanya
ancaman. Serangan dapat diminimalisir apabila ancaman sudah diprediksi dan dipersiapkan
antisipasi sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui metode -metode
penilaian resiko dari sebuah ancaman. Ada beberapa metode yang digunakan dalam
mengklasifikasikan ancaman, salah satunya adalah Stride Method ( metode stride ) . STRIDE
merupakan singkatan dari:

-Spoofing yaitu menggunakan hak akses / Mengakses sistem dengan menggunakan identitas orang
lain .

-Tampering yaitu tanpa mempunyai hak akses namun dapat mengubah data yang ada didalam
database.

-Repudiation yaitu membuat sebuah sistem atau database dengan sengaja salah, atau sengaja
menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi sehingga dapat digunakan
untuk mengakses sistem pada suatu saat.

-Information disclosure yaitu membuka atau membaca sebuah informasi tanpa memiliki hak akses
atau membaca sesuatu tanpa mempunyai hak otorisasi.

-Denial of service yaitu membuat sebuah sistem tidak bekerja atau tidak dapat digunakan oleh orang
lain.
-Elevation of priviledge yaitu menyalahgunakan wewenang yang dimiliki untuk mengakses sebuah
sistemuntuk kepentingan pribadi.

Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila seseorang diketahui
membawa senjata tajam kemanapun dia pergi maka dapat dikatakan orang tersebut dapat
merupakan ancaman bagi orang lain. Hal lain didunia nyata adalah pada saat diketahui seseorang
membawa kunci T di sakunya maka dapat disimpulkan orang tersebut adalah merupakan ancaman
bagi orang lain yang membawa kendaraan bermotor. Didalam dunia keamanan sistem atau dunia
teknologi informasi seseorang dapat dikatakan berpotensi sebagai ancaman apabila memiliki hal
sebagai berikut:

a)

Kewenangan tinggi untuk login kedalam sebuah sistem.

b)

Memiliki hak akses ( password ) seseorang yang dia ketahui dari berbagai sumber.

c)

Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian dibidang itu.

d)

Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem tersebut.
Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari luar

Sistem yang dapat mengganggu keseimbangan sistem informasi.

Ancaman yang mungkin timbul dari kegiatan pengolahan informasi berasal

Dari 3 hal utama, yaitu :

1. Ancaman Alam

2. Ancaman Manusia

3. Ancaman Lingkungan Ancaman Alam

Yang termasuk dalam kategori ancaman alam terdiri atas :

• Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai, pencairan salju

• Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus

• Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut Ancaman Manusia

Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :

• Malicious code

• Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures

• Social engineering
• Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS, backdoor

• Kriminal

• Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan

• Teroris

• Peledakan, Surat kaleng, perang informasi, perusakan Ancaman Lingkungan

Yang dapat dikategorikan sebagai ancaman lingkungan seperti :

• Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan dalam jangka waktu
yang cukup lama

• Polusi

• Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti api, dll

• Kebocoran seperti A/C, atap bocor saat hujan

Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi atau belum teridentifikasi
dengan jelas tersebut, perlu di klasifikasikan secara matriks ancaman sehingga kemungkinan yang
timbul dari ancaman tersebut dapat di minimalisir dengan pasti. Setiap ancaman tersebut memiliki
probabilitas serangan yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan
seperti terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami mall function.

1.9 Kelemahan Sistem Informasi

1.10

Kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur,
mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan
pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa
terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin
terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting
VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.
Suatu pendekatan keamanan sistem informasi minimal menggunakan 3 pendekatan, yaitu :

1. Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan ancaman dan
kelemahan

2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan proses yang
mengubah sistem dari keadaan normal menjadi keadaan abnormal

3. Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah tidak
seimbang untuk dikembalikan dalam keadaan normal

Tindakan tersebutlah menjadikan bahwa keamanan sistem informasi tidak dilihat hanya dari kaca
mata timbulnya serangan dari virus, mallware, spy ware dan masalah lain, akan tetapi dilihat dari
berbagai segi sesuai dengan domain keamanan sistem itu sendiri.

1.8 Sasaran Utama Keamanan Sistem Informasi

1.9

Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis
komputer di dalam perusahaan. Keamanan informasi dimaksudkan untuk mencapai tiga sasaran
utama yaitu:

1. Kerahasiaan

Melindungi data dan informasi perusahaan dari penyingkapan orang-orang yang tidak berhak. Inti
utama dari aspek kerahasiaan adalah usaha untuk menjaga informasi dari orang-orang yang tidak
berhak mengakses.Privacy lebih kearah data-data yang sifatnya privat.Serangan terhadap aspek
privacy misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang dapat dilakukan untuk
meningkatkan privacy adalah dengan menggunakan teknologi kriptografi.Kriptografi adalah ilmu
yang mempelajari teknik-teknik matematika yang berhubungan dengan aspek keamanan informasi
seperti keabsahan, integritas data, serta autentikasi data.

2. Ketersediaan

Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi benar-benar asli, atau
orang yang mengakses atau memberikan informasi adalah betul-betul orang yang dimaksud.
Masalah pertama untuk membuktikan keaslian dokumen dapat dilakukan dengan teknologi
watermarking dan digital signature.Watermarking juga dapat digunakan untuk menjaga intelektual
property, yaitu dengan menandatangani dokumen atau hasil karya pembuat. Masalah kedua
biasanya berhubungan dengan akses control, yaitu berkaitan dengan pembatasan orang-orang yang
dapat mengakses informasi. Dalam hal ini pengguna harus menunjukkan bahwa memang dia adalah
pengguna yang sah atau yang berhak menggunakannya.

3. Integritas

Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin pemilik informasi. Adanya
virus, trojan horse, atau pemakai lain yang mengubah informasi tanpa izin. Sistem informasi perlu
menyediakan representasi yang akurat dari sistem fisik yang direpresentasikan.

1.8 Ancaman Virus Keamanan Sistem Informasi

1.9

Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus. Virus adalah sebuah
program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman
dalam sistem informasi merupakan serangan yang dapat muncul pada sistem yang digunakan.
Serangan dapat diartikan sebagai “tindakan yang dilakukan denganmenggunakan metode dan teknik
tertentu dengan berbagai tools yang diperlukansesuai dengan kebutuhan yang disesuaikan dengan
objek serangan tertentu baikmenggunakan serangan terarah maupun acak“. Serangan yang terjadi
terhadapsebuah sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration.Dalam
materi keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah
sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin canggih dan
sangat sulit di prediksi dan dideteksi.Beberapa contoh serangan yang dapat mengancam sebuah
sistem adalah sebagai berikut :

- Virus

Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun 1980-an, virus
berkembang pesat seiring dengan pesatnya perkembangan teknologi komputer. Virus selalu
menemukan dan menyesuaikan diri untuk menyebarkan dirinya dengan berbagai macam cara. Pada
dasarnya, virus merupakan program komputer yang bersifat “malicious” (memiliki tujuan merugikan
maupun bersifat mengganggu pengguna sistem) yang dapat menginfeksi satu atau lebih sistem
komputer melalui berbagai cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user”
sebagai pengguna komputer. Kerusakan yang dapat ditimbulkan pun bermacam-macam mulai dari
yang

Mengesalkan sampai kepada jenis kerusakan yang bersifat merugikan dalam hal finansial. Dilihat dari
cara kerjanya, virus dapat dikelompokkan sebagai berikut:
U Overwriting Virus – merupakan penggalan program yang dibuat sedemikian rupa untuk
menggantikan program utama (baca: host) dari sebuah program besar sehingga dapat menjalankan
perintah yang tidak semestinya.

U Prepending Virus – merupakan tambahan program yang disisipkan pada bagian awal dari program
utama atau “host” sehingga pada saat dieksekusi, program virus akan dijalankan terlebih dahulu
sebelum program yang sebenarnya dijalankan.

U Appending Virus – merupakan program tambahan yang disisipkan pada bagian akhir dari program
(host) sehingga akan dijalankan setelah program sebenarnya tereksekusi.

U File Infector Virus – merupakan penggalan program yang mampu memiliki kemampuan untuk
melekatkan diri (baca: attached) pada sebuah file lain, yang biasanya merupakan file “executable”,
sehingga sistem yang menjalankan file tersebut akan langsung terinfeksi.

U Boot Sector Virus – merupakan program yang bekerja memodifikasi program yang berada di dalam
boot sector pada cakram penyimpan (baca: disc) atau disket yang telah diformat. Pada umumnya,
sebuah boot sector virus akan terlebih dahulu mengeksekusi dirinya sendiri sebelum proses “boot-
up” pada komputer terjadi, sehingga seluruh “floppy disk” yang digunakan pada komputer tersebut
akan terjangkiti pula, hal ini sering terjadi pada USB Flashdisk.

U Multipartite Virus – merupakan kombinasi dari Infector Virus dan Boot Sector Virus dalam arti kata
ketika sebuah file yang terinfeksi oleh virus jenis ini dieksekusi, maka virus akan menjangkiti boot
sector dari hard disk atau partition sector dari computer tersebut, dan sebaliknya.

U Macro Virus – menjangkiti program “macro” dari sebuah file data atau dokumen (yang biasanya
digunakan untuk “global setting” seperti pada template Microsoft Word) sehingga dokumen
berikutnya yang diedit oleh program aplikasi tersebut akan terinfeksi pula oleh penggalan program
macro yang telah terinfeksi sebelumnya.

Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah disebabkan oleh campur
tangan pengguna. Campur tangan yang dimaksud misalnya dilakukan melalui penekanan tombol
pada keyboard, penekanan tombol pada mouse, penggunaan USB pada komputer, pengiriman file
via email, dan lain sebagainya. (Richardus eko indrajit : seri artikel “aneka serangan didunia maya).

- Worms
Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah “virus” merupakan
program malicious yang dirancang terutama untuk menginfeksi komputer yang berada dalam
sebuah sistem jaringan. Walaupun sama-sama sebagai sebuah penggalan program, perbedaan
prinsip yang membedakan worms dengan virus adalah bahwa penyebaran worm tidak tergantung
pada campur tangan manusia atau pengguna. Worms merupakan program yang dibangun dengan
algoritma tertentu sehingga mampu untuk mereplikasikan dirinya sendiri pada sebuah jaringan
komputer tanpa melalui bantuan maupun keterlibatan pengguna. Pada mulanya worms diciptakan
dengan tujuan untuk mematikan sebuah sistem atau jaringan komputer. Namun belakangan ini telah
tercipta worms yang mampu menimbulkan kerusakan luar biasa pada sebuah sistem maupun
jaringan komputer, seperti merusak file-file penting dalam sistem operasi, menghapus data pada
hard disk, menghentikan aktivitas komputer , dan hal-hal destruktif lainnya. Karena karakteristiknya
yang tidak melibatkan manusia, maka jika sudah menyebar sangat sulit untuk mengontrol atau
mengendalikannya. Usaha penanganan yang salah justru akan membuat

Pergerakan worms menjadi semakin liar tak terkendali untuk itulah dipergunakan penanganan
khusus dalam menghadapinya.

- Trojan Horse

Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang yang digunakan untuk
merebut kota Troy yang dikelilingi benteng yang kuat. Pihak penyerang membuat sebuah patung
kuda raksasa yang di dalamnya memuat beberapa prajurit yang nantinya ketika sudah berada di
dalam wilayah benteng akan keluar untuk melakukan peretasan dari dalam. Ide ini mengilhami
sejumlah hacker dan cracker dalam membuat virus atau worms yang cara kerjanya mirip dengan
fenomena taktik perang ini, mengingat banyaknya antivirus yang bermunculan maka mereka
menciptakan sesuatu yang tidak dapat terdeteksi oleh antivirus.

Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis Trojan Horse, antara lain:

U Remote Access Trojan – kerugian yang ditimbulkan adalah komputer korban dapat diakses
menggunakan remote program.

U Password Sending Trojan – kerugian yang ditimbulkan adalah password yang diketik oleh
komputer korban akan dikirimkan melalui email tanpa sepengetahuan dari korban serangan.

U Keylogger – kerugian yang ditimbulkan adalah ketikan atau input melalui keyboard akan dicatat
dan dikirimkan via email kepada hacker yang memasang keylogger.
U Destructive Trojan – kerugian yang ditimbulkan adalah file-file yang terhapus atau hard disk yang
diformat oleh Trojan jenis ini.

U FTP Trojan – kerugian yang terjadi adalah dibukanya port 21 dalam sistem komputer tempat
dilakukannya download dan upload file.

U Software Detection Killer – kerugiannya dapat mencium adanya programprogram keamanan

seperti zone alarm, anti-virus, dan aplikasi keamanan lainnya.

U Proxy Trojan – kerugian yang ditimbulkan adalah di-“settingnya” komputer korban menjadi “proxy
server” agar digunakan untuk melakukan “anonymous telnet”, sehingga dimungkinkan dilakukan
aktivitas belanja online dengan kartu kredit curian dimana yang terlacak nantinya adalah komputer
korban, bukan komputer pelaku kejahatan.

1.9 Pengamanan Sistem Informasi

1.10

Pada umumnya, pengamanan dapat dikategorikan menjadi dua jenis: pencegahan (preventif) dan
pengobatan (recovery). Usaha

Pencegahandilakukan agar sistem informasi tidak memiliki lubang keamanan,sementara usaha-

usaha pengobatan dilakukan apabila

Lubangkeamanan sudah dieksploitasi.Pengamanan sistem informasi dapat dilakukan melalui

beberapalayer yang berbeda.Misalnya di layer “transport”, dapat digunakan“Secure Socket Layer”
(SSL).Metoda ini misalnya umum digunakanuntuk Web Site. Secara fisik, sistem anda dapat juga
diamankan dengan menggunakan “firewall” yang memisahkan sistem andadengan Internet.
Penggunaan teknik enkripsi dapat dilakukan ditingkat aplikasi sehingga data-data anda atau e-mail
anda tidakdapat dibaca oleh orang yang tidak berhak.

- Mengatur akses (Access Control)

Salah satu cara yang umum digunakan untuk mengamankaninformasi adalah dengan mengatur
akses ke informasi melaluimekanisme “access control”. Implementasi dari mekanisme ini antaralain
dengan menggunakan

“password”.Di sistem UNIX, untuk menggunakan sebuah sistem atau komputer,pemakai diharuskan
melalui
Proses authentication denganmenuliskan “userid” dan “password”. Informasi yang diberikan ini

Dibandingkan dengan userid dan password yang berada di sistem.Apabila keduanya valid, pemakai
yang bersangkutan diperbolehkanmenggunakan sistem.Apabila ada yang salah, pemakai tidak
dapatmenggunakan sistem. Informasi tentang kesalahan ini biasanyadicatat dalam berkas log.
Besarnya informasi yang dicatat bergantung kepada konfigurasi dari sistem setempat.Misalnya,
adayang menuliskan informasi apabila pemakai memasukkanuseriddan password yang salah
sebanyak tiga kali. Ada juga yang langsungmenuliskan informasi ke dalam berkas log meskipun baru
satu kalisalah. Informasi tentang waktu kejadian juga dicatat.Selain itu asal hubungan (connection)
juga dicatat sehingga administrator dapatmemeriksa keabsahan hubungan.

- Memilih password

Dengan adanya kemungkinan password ditebak, misalnya denganmenggunakan program password

cracker, maka memilih passwordmemerlukan perhatian khusus.Berikut ini adalah daftar hal-hal yang
sebaiknya tidak digunakan sebagai password.

• Nama anda, nama istri / suami anda, nama anak, ataupun nama kawan.

• Nama komputer yang anda gunakan.

• Nomor telepon atau plat nomor kendaran anda.

• Tanggal lahir.

• Alamat rumah.

Nama tempat yang terkenal.

• Kata-kata yang terdapat dalam kamus (bahasa Indonesia maupun bahasa Inggris)

Hal-hal di atas ditambah satu angka

Password dengan karakter yang sama diulang-ulang.

- Memasang Proteksi

Untuk lebih meningkatkan keamanan sistem informasi, proteksidapat ditambahkan. Proteksi ini
dapat berupa filter (secara umum)dan yang lebih spesifik adalah firewall. Filter dapat
digunakanuntuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet. Sebagai contoh,
di sistem UNIX ada paket program“tcpwrapper” yang dapat digunakan untuk membatasi akses
kepadaservis atau aplikasi tertentu. Misalnya, servis untuk “telnet” dapatdibatasi untuk untuk sistem
yang memiliki nomor IP tertentu, atau memiliki domain tertentu. Sementara firewall dapat
digunakanuntuk melakukan filter secara umum.Untuk mengetahui apakah server anda
menggunakan tcpwrapperatau tidak, periksa isi berkas /etc/inetd.conf.Biasanya tcpwrapperdirakit
menjadi “tcpd”.Apabila servis di server anda (misalnyatelnet atau ftp) dijalankan melalui tcpd, maka
server andamenggunakan tcpwrapper.Biasanya,

Konfigurasi tcpwrapper (tcpd)diletakkan di berkas /etc/hosts.allow dan /etc/hosts.deny.

Firewall

Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal
(Lihat Figure 4.1 on page 55).Informasi yang keluar atau masuk harus melalui firewall ini.Tujuan
utama dari firewall adalah untuk menjaga (prevent) agarakses (ke dalam maupun ke luar) dari orang
yang tidak berwenang(unauthorized access) tidak dapat dilakukan. Konfigurasi dari
firewallbergantung kepada kebijaksanaan (policy) dari organisasi yangbersangkutan, yang dapat
dibagi menjadi dua jenis:

• apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan (prohibitted)

• apa-apa yang tidak dilarang secara eksplisit dianggapdiperbolehkan (permitted)

Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang melewatinya. Berdasarkan
konfigurasi dari firewall makaakses dapat diatur berdasarkan IP address, port, dan arah
informasi.Detail dari konfigurasi bergantung kepada masing-masing firewall.Firewall dapat berupa
sebuah perangkat keras yang sudahdilengkapi dengan perangkat lunak tertentu, sehingga
pemakai(administrator) tinggal melakukan konfigurasi dari firewall tersebut.Firewall juga dapat
berupa perangkat lunak yang ditambahkankepada sebuah server (baik UNIX maupun Windows NT),
yang dikonfigurasi menjadi firewall.Dalam hal ini, sebetulnya perangkatkomputer dengan prosesor
Intel 80486 sudah cukup untuk menjadifirewall yang sederhana.
Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering danfungsi proxy. Keduanya dapat
dilakukan pada sebuah perangkatkomputer (device) atau dilakukan secara terpisah.Beberapa
perangkat lunak berbasis UNIX yang dapat digunakanuntuk melakukan IP filtering antara lain:

• ipfwadm: merupakan standar dari sistem Linux yang dapatdiaktifkan

Pada level kernel

• ipchains: versi baru dari Linux kernel packet filtering yang diharapkan dapat menggantikan fungsi
ipfwadm

Fungsi proxy dapat dilakukan oleh berbagai software tergantungkepada jenis proxy yang dibutuhkan,
misalnya web proxy, rloginproxy, ftp proxy dan seterusnya. Di sisi client sering kalaidibutuhkan
software tertentu agar dapat menggunakan proxyserver ini, seperti misalnya dengan menggunakan
SOCKS. Beberapaperangkat lunak berbasis UNIX untuk proxy antara lain:

• Socks: proxy server oleh NEC Network Systems Labs

• Squid: web proxy server

Informasi mengenai firewall secara lebih lengkap dapat dibaca padareferensi [19, 24] atau untuk
sistem Linux dapat dilakukan denganmengunjungi web site berikut: http://www.gnatbox.com.

- Pemantau adanya serangan

Sistem pemantau (monitoring system) digunakan untuk mengetahuiadanya tamu tak diundang
(intruder) atau adanya serangan (attack).Nama lain dari sistem ini adalah “intruder detection
system” (IDS).Sistem ini dapat memberitahu administrator melalui e-mail maupunmelalui
mekanisme lain seperti melalui pager.Ada berbagai cara untuk memantau adanya intruder. Ada yang
sifatnya aktif dan pasif. IDS cara yang pasif misalnya denganmemonitor logfile. Contoh software IDS
antara lain:

• Autobuse, mendeteksi probing dengan memonitor logfile.

• Courtney, mendeteksi probing dengan memonitor packet yang lalu lalang

• Shadow dari SANS

- Pemantau integritas sistem

Pemantau integritas sistem dijalankan secara berkala untuk mengujiintegratitas sistem. Salah satu
contoh program yang umumdigunakan di sistem UNIX adalah program Tripwire. Program
paketTripwire dapat digunakan untuk memantau adanya perubahan padaberkas. Pada mulanya,
tripwire dijalankan dan membuat databasemengenai berkas-berkas atau direktori yang ingin kita
amati beserta“signature” dari berkas tersebut. Signature berisi informasi mengenaibesarnya berkas,
kapan dibuatnya, pemiliknya, hasil checksum atauhash(misalnya dengan menggunakan program
MD5), dansebagainya. Apabila ada perubahan pada berkas tersebut, makakeluaran dari hash
function akan berbeda dengan yang ada didatabase sehingga ketahuan adanya perubahan.

- Audit: Mengamati Berkas Log

Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatatdalam berkas yang biasanya
disebut “logfile” atau “log” saja. Berkaslog ini sangat berguna untuk mengamati penyimpangan
yangterjadi. Kegagalan untuk masuk ke sistem (login), misalnya,tersimpan di dalam berkas log.
Untuk itu para administratordiwajibkan untuk rajin memelihara dan menganalisa berkas logyang
dimilikinya.

Backup secara rutin

Seringkali tamu tak diundang (intruder) masuk ke dalam sistem danmerusak sistem dengan
menghapus berkas-berkas yang dapatditemui.Jika intruder ini berhasil menjebol sistem dan
masuksebagai super user (administrator), maka ada kemungkinan diadapat menghapus seluruh
berkas.Untuk itu, adanya backup yangdilakukan secara rutin merupakan sebuah hal yang
esensial.Bayangkan apabila yang dihapus oleh tamu ini adalah berkaspenelitian, tugas akhir, skripsi,
yang telah dikerjakan bertahun-tahun.Untuk sistem yang sangat esensial, secara berkala perlu dibuat
backup yang letaknya berjauhan secara fisik.Hal ini dilakukan untuk menghindari hilangnya data
akibat bencana seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackupakan
tetapi diletakkan pada lokasi yang sama, kemungkinan dataakan hilang jika tempat yang
bersangkutan mengalami bencanaseperti kebakaran.Untuk menghindari hal ini, enkripsi dapat
digunakan untukmelindungi adanya sniffing. Paket yang dikirimkan dienkripsi dengan RSA atau IDEA
sehingga tidak dapat dibaca oleh orangyang tidak berhak. Salah satu implementasi mekanisme ini
adalahSSH (Secure Shell). Ada beberapa implementasi SSH ini, antara lain:

• SSH untuk UNIX (dalam bentuk source code, gratis)

SSH untuk Windows95 dari Data Fellows (komersial)http://www.datafellows.com/

• TTSSH, yaitu skrip yang dibuat untuk Tera Term Pro (gratis,untuk Windows 95)

http://www.paume.itb.ac.id/rahard/koleksi

• SecureCRT untuk Windows95 (shareware / komersial)

Penggunaan Enkripsi untuk meningkatkan keamanan

Salah satau mekanisme untuk meningkatkan keamanan adalahdengan menggunakan teknologi

enkripsi.Data-data yang andakirimkan diubah sedemikian rupa sehingga tidak mudah
disadap.Banyak servis di Internet yang masih menggunakan “plain text’’untuk authentication, seperti
penggunaan pasangan userid danpassword.Informasi ini dapat dilihat dengan mudah oleh
programpenyadap (sniffer).Contoh servis yang menggunakan plain text antara lain:

• akses jarak jauh dengan menggunakan telnet dan rlogin

• transfer file dengan menggunakan FTP

• akses email melalui POP3 dan IMAP4

• pengiriman email melalui SMTP

• akses web melalui HTTP

Penggunaan enkripsi untuk remote akses (misalnya melalui sshsebagai penggani telnet atau rlogin)
akan dibahas di bagian tersendiri. Telnet atau remote login digunakan untuk mengakses sebuah
“remotesite” atau komputer melalui sebuah jaringan komputer.Akses inidilakukan dengan
menggunakan hubungan TCP/IP denganmenggunakan userid dan password.Informasi tentang userid
danpassword ini dikirimkan melalui jaringan komputer secara terbuka.Akibatnya ada kemungkinan
seorang yang nakal melakukan“sniffing” dan mengumpulkan informasi tentang pasangan useriddan
password ini.
 1.8 Kebijakan Keamanan Sistem Informasi
1.9

Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai sasarannya.
Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam melaksanakan
tugasnya.Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk mencapai

Sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam
melaksanakan tugasnya.Kebijakan keamanan sistem informasi biasanya disusun oleh pimpinan
operasi beserta pimpinan ICT (Information Communication Technology) dnegan pengarahan dari
pimpinan organisasi. Rangkaian konsep secara garis besar dan dasar bagi prosedur keamanan sistem
informasi adalah:

- Kemanan sistem informasi merupakan urusan dan tanggung jawab semua karyawan

Karyawan diwajibkan untuk memiliki “melek” keamanan informasi.Mereka harus mengetahui dan
dapat membayangkan dampak apabila peraturan keamanan sistem informasi diabaikan.Semua
manajer bertanggung jawab untuk mengkomunikasikan kepada semua bawahannya mengenai
pengamanan yang dilakukan di perusahaan dan meyakinkan bahwa mereka mengetahui dan
memahami semua peraturan yang diterapkan di perusahaan dan bagiannya.

- Penetapan pemilik sistem informasi

Akan berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem (atau sistem) yang
bertanggung jawab atas keamanan sistem dan data yang dipakainya.Ia berhak untuk mengajukan
permintaan atas pengembangan sistem lebih lanjut atau pembetulan di dalam sistem yang
menyangkut bagiannya. Personel ini merupakan contact person dengan bagian ICT (Information
Communication Technology).

- Langkah keamanan harus sesuai dengan peraturan dan undang-undang

Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undang-undang yang telah
ditetapkan yang berkaitan dengan proteksi data, computer crime, dan hak cipta.

Antisipasi terhadap kesalahan

Dengan meningkatkan proes transaksi secara online dan ral time dan terkoneksi sistem jaringan
internaisonal, transaksi akan terlaksanaka hanya dalam hitunngan beberapa detik dan tidak
melibatkan manusia. Transaksi semacam ini apabila terjadi kesalahan tidak dapat langsung
diperbaiki atau akan menyita banyak waktu dan upaya untuk memperbaikinya. Antisipasi dan
pencegahan dengan tindakan keamanan yang ketat akan memberikan garansi atas integritas,
kelanjutan, dan kerahasiaan transaksi yang terjadi. Tindakan pecegahan tambahan harus
diimplementasikan agar dapat mendeteksi dan melaporkan kesalahan yang terjadi sehingga
kejanggalan dapat ikoreksi secepat mungkin.

- Pengaksesan ke dalam sistem harus berdasarkan kebutuhan fungsi

User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem sesuai dnegan
prinsip “need to know”. Pemilik sistem harus bertanggung jawab atas pemberian akses ini.

- Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di
sistem informasi

Sistem computer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai demi
kepentingan bisnis perusahaan.Data perusahaan hanya diperbolehkan dipakai untuk bisnis
perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan terhadap
data tersebut.

- Pekerjaan yang dilakukan oleh pihak ketiga

Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh perusahaan, maka
perusahaan harus dilindungi oleh keamanan atas informasi perusahaan.Di dalam kontrak harus
didefinisikan agar pihak ketiga mematuhi

Peraturan dan keamanan sistm informasi perusahaan.Manajemen harus bertanggung jawab agar
pihak ketiga mematuhi dan mengikuti peraturan keamanan yang telah ditentukan.

- Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai

akhir sistem informasi

Untuk menjaga kestabilan sistem informasi di lingkungan perusahaan, dianjurkan agar diadakan
pemisahan secara fungsional antara pengembang sistem, pengoperasian sistem harian dan pemakai
akhir. Untuk mencapai tujuan ini, pihak ICT terutama bagian pengembangan sistem tidak dibenarkan
apabila ia menangani administrasi yang menyangkut keamanan sistem.
 - Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah
ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan
permintaan perubahan (change request)

Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk pengembangan
dan implementasi sistem baru. Setiap permintaan perubahan program harus disertai alasan yang
kuat serta keuntungan yang akan didapatkan dan pemohon harus dapat meyakini manajer terkait
dan pemilik sistem mengenai perubahan ini. Oleh karena itu, sangat penting apabila semua pihak
yang terkait harus menandatangani “change request” sebelum kegiatan ini dimulai.

- Sistem yang akan dikembangkan harus sesuai dengan standart metode

pengembangan sistem yang diemban oleh organisasi

Sistem yang akan dibangun harus memakai bahasa pemograman yang telah ditetapkan. Tidak
dibenarkan apabila programer membuatnya dengan bermacam-macam bahasa pemograman.Patut
dipertimbangkan semua risiko keamanan beserta penanggulannya di dalam sistem.Sebelum sistem
aplikasi

Diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keadaan keamanan di dalam
aplikasi tersebut.

- Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan
memakai kode identiitasnya (user-ID)

Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua aktivitas yang
dilakukan dengan ID ini akan terekam di dalam audit-trial. Pemakai tidak dapat memungkiri bukti ini,
apabila terjadi kesalahan fatal yang mengakibatkan kerugian terhadap perusahaan. Kesalahan yang
berdampak akan mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik user-
ID ini.

1.9 Pengendalian Dalam menejeman Keamanan Informasi Pengendalian (Control)

1.10

Merupakan mekanisme yang diterapkan, baik untuk melindungi perusahaan dari risiko atau untuk
meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadi.

Pengendalian terbagi menjadi tiga kategori, yakni:

1. Pengendalian Teknis
 2. Pengendalian Formal

3. Pengendalian Informal

Pengendalian Teknis

Adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh para penyususn system
selama masa siklus penyusunan system.Dilakukan melalui tiga tahap:

1. Identifikasi Pengguna.

Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor telepon.nomor telepon.

2. Otentikasi Pengguna

Pengguna memverivikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti
chip identifikasi atau tanda tertentu.

3. Otorisasi Pengguna

Pengguna dapat mendapatkan wewenang untuk memasuki tingkat penggunaan tertentu.

Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat menggunakan sumber daya
informasi yang terdapat di dalam batasan file akses.

Sistem Deteksi Gangguan

Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum
memiliki kesempatan untuk melakukan perusakan.

Contoh:
Peranti lunak proteksi virus (virus protection software).Peranti lunak yang didesain untuk mencegah
rusaknya keamanan sebelum terjadi.

Firewall

Suatu Filter yang membatasi aliran data antara titik-titik pada suatu jaringan-biasanya antara
jaringan internal perusahaan dan Internet.

Berfungsi sebagai:

1. Penyaring aliran data

2. Penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet.

Jenis:

Firewall Paket Firewall Tingkat Sirkuit Firewall Tingkat Aplikasi

Pengendalian Kriptografis

Merupakan penggunaan kode yang menggunakan proses-proses matematika.Meningkatkan

keamanan data dengan cara menyamarkan data dalam bentuk yang tidak dapat dibaca. Berfungsi
untuk melindungi data dan informasi yang tersimpan dan ditransmisikan, dari pengungkapan yang
tidak terotorisasi.

- Enkripsi: merubah data asli menjadi data tersamar.

- Deksipsi: merubah data tersamar menjadi data asli.

Kriptografi terbagi menjadi:

 1. Kriptografi Simetris

Dalam kriptografi ini, kunci enkripsi sama dengan kunci dekripsi.

2. Kriptografi Asimetris

Dalam kriptografi ini, kunci enkripsi tidak sama dengan kunci dekripsi. Contoh:

EnkripsiO kunci public DekripsiO Kunci Privat

3. Kriptografi Hybrid

Menggabungkan antara kriptografi simetris dan Asimetris, sehingga mendapatkan kelebihan dari
dua metode tersebut.

Contoh:

SET (Secure Electronic Transactions) pada E-Commerce Pengendalian Fisik

Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
computer.Perkembangan seterusnya menghasilkan

Kunci-kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta
kamera pengintai dan alat penjaga keamanan. Pengendalian Formal

Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi prosedur dan praktik yang
diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku.
Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk
menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam
jangka panjang.

Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta program
pembangunan manajemen.Pengendalian ini ditunjukan untuk menjaga agar para karyawan
perusahaan memahami serta mendukung program keamanan tersebut.

Pentingnya Keamanan system

Sistem Informasi diperlukan karena:

1. Teknologi Komunikasi Modern yang membawa beragam dinamika dari dunia nyata ke dunia
virtual

Contohnya adalah: dalam bentuk transaksi elektronik seperti e-banking, dan pembawa aspek positif
maupun negative, misalnya: pencurian, pemalsuan, dan penggelapan menggunakan internet.

2. Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai Contoh: Pemakai kurang
menguasai computer.

3. Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai ekonomis.

Contoh: dokumen rancangan produk baru, kartu kredit, dan laporan keuangan perusahaan

PERLINDUNGAN DARI KERUGIAN ATAU PERUBAHAN YANG TIDAK DIHARAPKAN TERHADAP DATA
ATAU PROGRAM

1. Log (catatan) perpustakaan, memperlihatkan pergerakan dari file

Data, program, dan dokumentasi yang digunakan dalam pemrosesan atau aktivitas lainnya.

2. Log transaksi, mencatat transaksi individual ketika transaksi itu dimasukkan ke dalam sistem
on-line untuk pemrosesan. Log ini memberikan jejak audit dalam sistem pemrosesan online.
Termasuk dalam log ini adalah tempat pemasukan transaksi, waktu dan data yang
dimasukkan, nomor identifikasi orang yang memasukkan data, kode transaksi, dan jumlah.
Perangkat lunak sistem juga meminta nomor transaksi. Secara teratur daftar log transaksi ini
harus dicetak.
 3. Tombol perlindungan(pada 3 ‘A floppy disk

4. Label file

5. Memori hanya-baca (Read -Only Memory)

6. Penguncian (lockout), merupakan perlindungan khusus yang diperlukan untuk melindungi

basis data/database, karena beragam pengguna dan program biasanya mengakses data
secara bergantian dan terus menerus. Penguncian mencegah dua program mengakses data
secara bersamaan. Akibatnya, satu program harus ditunda sampai program lain selesai
mengakses. Jika kedua program diijinkan untuk memutakhirkan record yang sama, maka
satu data dapat dicatat berlebihan dan hilang.

BAB III

PENUTUP

1.1 Kesimpulan
1.2

Keamanan informasi adalah bagaimana kita dapat mencegah penipuan (cheating) atau, paling tidak,
mendeteksi adanya penipuan di sebuah sistem yang berbasis informasi, dimana informasinya sendiri
tidak memiliki arti fisik. Selain itu keamanan sistem informasi bisa diartikan sebagai kebijakan,
prosedur, dan pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah, perubahan
program, pencurian, atau kerusakan fisik terhadap sistem informasi. Sistem pengamanan terhadap
teknologi informasi dapat ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan
untuk mengamankan perangkat keras dan lunak komputer, jaringan komunikasi, dan data-data yang
tersimpan.

Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem
maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.Ancaman
terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang
memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi

Kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain, menetapkan prosedur,
mengimplementasikan maupun kelemahan atas sistem kontrol yang ada sehingga memicu tindakan
pelanggaran oleh pelaku yang mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa
terjadi pada prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin
terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari luar, atau Seting
VPN yang tidak di ikuti oleh penerapankerberos atau NAT.

Suatu perusahaan memiliki sederetan tujuan dengan diadakannya

Sistem informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi dimaksudkan
untuk mencapai tiga sasaran utama yaitu : Kerahasiaan,Ketersediaan dan Intregitas. .

Ancaman yang paling terkenal dalam keamanan sistem informasi adalah virus.Virus adalah sebuah
program komputer yang dapat mereplikasi dirinya sendiri tanpa pengetahuan pengguna. Ancaman
dalam sistem informasi merupakan serangan yang dapat muncul pada sistem yang digunakan.
Serangan dapat diartikan sebagai “tindakan yang dilakukan denganmenggunakan metode dan teknik
tertentu dengan berbagai tools yang diperlukansesuai dengan kebutuhan yang disesuaikan dengan
objek serangan tertentu baikmenggunakan serangan terarah maupun acak“. Serangan yang terjadi
terhadapsebuah sistem jaringan dikalangan praktisi lazim sering disebut dengan penetration.Dalam
materi keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap sebuah
sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin lama semakin canggih dan
sangat sulit di prediksi dan dideteksi.

Rangkaian konsep secara garis besar dan dasar bagi prosedur keamanan sistem informasi adalah :

- Kemanan sistem informasi merupakan urusan dan tanggung jawab semua karyawan

- Penetapan pemilik sistem informasi

- Langkah keamanan harus sesuai dengan peraturan dan undang-undang

- Antisipasi terhadap kesalahan

- Pengaksesan ke dalam sistem harus berdasarkan kebutuhan fungsi

- Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses di
sistem informasi
 - Pekerjaan yang dilakukan oleh pihak ketiga

- Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan pemakai

akhir sistem informasi

- Implementasi sistem baru atau permintaan perubahan terhadap sistem yang sudah
ada harus melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan
permintaan perubahan (change request)

- Sistem yang akan dikembangkan harus sesuai dengan standart metode

pengembangan sistem yang diemban oleh organisasi

- Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan
memakai kode identiitasnya (user-ID)

1.1 Saran
1.2

Keamanan sistem informasi sangat perlu untuk diketahui dipahami dan dipelajari oleh seorang
sekretaris karena tugas harian seorang sekretaris yang berhubungan dengan system informasi
sehingga hal demikian penting untuk diketahui sorang sekretaris termasuk apa itu system informasi,
pengamana, ancaman, dan kelemahan serta kebijakan keamanan system informasi