KEAMANAN SISTEM INFORMASI

DISUSUN OLEH

VERONIKA LAURENTIA SIBORO

18220575

Sekolah Tinggi Manajemen Informatika Dan KomputerRoyal

STMIK ROYAL
KISARAN

2023

1
 PENDAHULUAN

Masalah Keamanan merupakan salah satu aspek penting dari sebuah

sistem informasi. Namun, masalah keamanan ini sering sekali kurang mendapat
perhatian dari pemilik dan pengelola sistem informasi. Bahkan masalah ini berada
di urutan kedua, atau di urutan terakhir dalam daftar hal-hal yang dianggap
penting. Bila terdapat gangguan dalam performansi dari sistem, keamanan lebih
banyak ditiadakan. Makalah ini diharapkan dapat memberikan gambaran dan
informasi tentang keamanan sistem informasi.

Saat ini informasi sudah menjadi sebuah komoditi yang sangat penting.
Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “Information-
based society”. Kemampuan untuk mengakses dan menyediakan informasi secara
tepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa
organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan,
maupun individual (pribadi). Hal ini dumungkinkan dengan perkembangan pesat
di bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer
sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang bersifat
sensitif. Penggunaan komputer untuk menyimpan informasi yang sifatnya
classified baru dilakukan di sekitar tahun 1950-an.

Sangat pentingnya nilai sebuah informasi menyebabkan sering sekali

informasi hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke
tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi
pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan
yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam
perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang
dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk
menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang
digunakan harus terjamin dalam batas yang dapat diterima.

Jaringan komputer, sepeti LAN dan Internet, memungkinkan untuk

menyediakan informasi secara cepat. Ini salah satu alasan perusahaan atau
organisasi mulai berbondong-berbondong membuat LAN untuk sistem
informasinya dan menghubungkan LAN tersebut ke internet. Terhubungnya LAN
atau komputer ke Internet membuka potensi adanya lubang keamanan (security
hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik. Ini
sesuai dengan pepatah bahwa kemudahan (kenyamanan) mengakses informasi
berbanding terbalik dengan tingkat keamanan sistem informasi itu sendiri.
Semakin tinggi tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses
informasi.

Menurut G.J. simons, keamanan informasi adalah bagaimana kita dapat

mencegah penipuan (cheating) atau, paling tidak mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak
memiliki arti fisik.
 KATA PENGANTAR

Segala Puji dan Syukur saya panjatkan kepada Tuhan Yang Maha Kuasa
karena atas berkat dan rahmat-Nya maka saya bisa menyelesaikan makalah ini.
Berikut ini penulis mempersembahkan sebuah makalah dengan judul “Keamanan
Sistem Informasi” . Saran diperlukan untuk membangun. Mudah-mudahan
makalah ini bermanfaat bagi yang membacanya.

Saya ucapkan terimakasih kepada pihak yang telah bersedia membantu

dalam pembuatan makalah ini. Dan tidak lupa pula saya ucapkan terimakasih
kepada Pak Riki Andri Yusda, M. Kom selaku dosen mata kuliah Keamanan
Sistem Informasi yang telah memberikan dorongan kepada saya untuk membuat
makalah ini

Kisaran, 12 April 2023

Penulis
 BAB I
PENDAHULUAN
1.1 Latar Belakang
Perkembangan teknologi informasi pada abad ke 21 ini telah memberikan
kepraktisan bagi masyarakat modern untuk melakukan berbagai kegiatan
komunikasi secara elektronik salah satunya dalam bidang seperti perdagangan
pendidikan dan perbankan. Kegiatan berbisnis secara elektronik ini dikenal
dengan nama e-commerce. Dengan teknologi informasi khususnya dengan
jaringan computer yang luas seperti internet. Barang dan jasa dapat dipromosikan
secara luas dalam skala global.

Kepada calon konsumen pun diberikan kemudahan-kemudahan yang

memungkinkan mereka mengakses dan membeli produk dan jasa yang dimaksud
secara praktis. Urian Misalnya pelayanan kartu kredit. Perkembangan ini rupanya
membawa serta dampak negative dalam hal keamanan. Praktek-praktek kejahatan
dalam jaringan computer kerap terjadi dan meresahkan masyarakat, misalnya
pencurian sandi lewat dan nomor rahasia kartu kredit. Akibat dari hal seperti ini
aspek keamanan dan penggunaan jaringan computer menjadi hal yang krusial.

Terdapat teknik serangan yang mendasarkan pada bunyi yang dihasilkan

dari peralatan seperti keyboard PC. Yaitu dengan membedakan bunyi yang
dikeluarkan. Sehingga metode ini dapat mengetahui tombol-tombol yang ditekan.
Dalam pengaplikasian lebih lanjut dapat diterapkan pada mesin computer
notebook, telepon, sampai mesin ATM. Serangan menggunakan metode ini murah
dan tidak langsung. Murah karena selain tambahan computer, yang dibutuhkan
hanyalah sebuah microphone parabolic. Disebut tidak langsung karena tidak
membutuhkan adanya serangan fisik langsung ke system bunyi dapat direkam
menggunakan peralatan tamabahan.

1.2 Rumusan Masalah

Berdasarkan latar belakang yang ada diatas saya merumuskan masalah
yang akan dibahas yaitu:
1. Apa pengertian keamanan sistem informasi ?
2. Apa yang menjadi ancaman keamanan sistem informasi ?
3. Apa kelemahan keamanan sistem informasi ?
4. Apa saja sasaran utama keamanan sistem informasi ?
5. Apa saja ancaman virus keamanan sistem informasi ?
6. Bagaimana cara pengamanan sistem informasi ?
7. Apa saja kebijakan keamanan sistem informasi ?
1.3 Tujuan
Tujuan dalam penyusunan makalah ini adalah untuk mengetahui salah satu
tugas mata kuliah Sistem Informasi Manajemen. Adapun tujuan dari penyusunan
makalah ini adalah :
1. Untuk mengetahui apa pengertian keamanan sistem informasi.
2. Untuk mengetahui apa yang menjadi ancaman sistem informasi.
3. Untuk mengetahui apa kelemahan keamanan sistem informasi.
4. Untuk mengetahui sasaran utama keamanan sistem informasi.
5. Untuk mengetahui ancaman virus keamanan sistem informasi.
6. Untuk mengetahui bagaimana cara mengamankan sistem informasi.
7. Untuk mengetahui kebijakan keamanan sistem informasi.
 BAB II
PEMBAHASAN

2.1 Pengertian Keamanan Sistem Informasi

Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat
mencegah penipuan (cheating) atau, paling tidak, mendeteksi adanya penipuan di
sebuah sistem yang berbasis informasi, dimana informasinya sendiri tidak
memiliki arti fisik. Selain itu keamanan sistem informasi bisa diartikan sebagai
kebijakan, prosedur, dan pengukuran teknis yang digunakan untuk mencegah
akses yang tidak sah, perubahan program, pencurian, atau kerusakan fisik
terhadap sistem informasi. Sistem pengamanan terhadap teknologi informasi dapat
ditingkatkan dengan menggunakan teknik-teknik dan peralatan-peralatan untuk
mengamankan perangkat keras dan lunak komputer, jaringan komunikasi, dan
data. keamanan jaringan internet adalah Manajemen pengelolaan keamanan yang
bertujuan mencegah, mengatasi, dan melindungi berbagai sistem informasi dari
resiko terjadinya tindakan ilegal seperti penggunaan tanpa izin, penyusupan, dan
perusakan terhadap berbagai informasi yang di miliki. Resiko terhadap keamanan
sistem informasi mencakup dua hal utama yaitu ancaman terhadap keamanan
system informasi dan kelemahan keamanan system informasi.

Masalah tersebut pada gilirannya berdampak kepada 6 hal yang utama dalam
sistem informasi yaitu :
• Efektifitas
• Efisiensi
• Kerahaasiaan
• Integritas
• Keberadaan (availability)
• Kepatuhan (compliance)
• Keandalan (reliability)

Untuk menjamin hal tersebut maka keamanan sistem informasi baru dapat
terkriteriakan dengan baik. Adapun kriteria yag perlu di perhatikan dalam masalah
keamanan sistem informasi membutuhkan 10 domain keamanan yang perlu di
perhatikan yaitu :
1. Akses kontrol sistem yang digunakan
2. Telekomunikasi dan jaringan yang dipakai
3. Manajemen praktis yang di pakai
4. Pengembangan sistem aplikasi yang digunakan
5. Cryptographs yang diterapkan
6. Arsitektur dari sistem informasi yang diterapkan
7. Pengoperasian yang ada
8. Busineess Continuity Plan (BCP) dan Disaster Recovery Plan (DRP)
9. Kebutuhan Hukum, bentuk investigasi dan kode etik yang diterapkan
10. Tata letak fisik dari sistem yang ada

Dari domain tersebutlah isu keamanan sistem informasi dapat kita

klasifikasikan berdasarkan ancaman dan kelemahan sistem yang dimiliki.
2.2 MANFAAT KEAMANAN SISEM INFORMASI
Pada perusahaan yang memiliki sumberdaya yang besar berupa bahan
baku, sumberdaya manusia, maupun barang jadi sudah saatnya menggunakan
sistem komputerisasi yang terintegrasi agar lebih effisien
dan effektif dalam memproses data yang dibutuhkan. Sistem Informasi dalam
suatu perusahaan bertujuan untuk mencapai tiga manfaat utama: kerahasiaan,
ketersediaaan, dan integrasi.
1. Kerahasiaan. Untuk melindungi data dan informasi dari penggunaan yang tidak
semestinya oleh orang-orang yang tidak memiliki otoritas. Sistem informasi
eksekutif, sumber daya manusia, dan sistem pengolahan transaksi, adalah
sistem-sistem yang terutama harus mendapat perhatian dalam keamanan
informasi.
2. Ketersediaan. Supaya data dan informasi perusahaan tersedia bagi pihak-pihak
yang memiliki otoritas untuk menggunakannya.
3. Integritas. Seluruh sistem informasi harus memberikan atau menyediakan
gambaran yang akurat mengenai sistem fisik yang mereka wakili

2.3 JENIS UKURAN-UKURAN KEAMANAN SISTEM INFORMASI

Untuk melindungi sumberdaya organisasi, suatu perusahaan harus
menerapkan beragam jenis ukuran keamanan. Ukuran keamanan yang memadai
memungkinkan perusahaan:
1. melindungi fasilitas komputernya dan fasilitas fisik lainnya.
2. Menjaga integritas dan kerahasiaan file data.
3. Menghindari kerusakan serius atau kerugian-kerugian karena bencana

Ukuran keamanan fokus pada:

1. keamanan fisik dan
2. keamanan data/informasi.

Kemanan fisik dikelompokkan atas:

1. Kemanan untuk sumberdaya fisik selain fasilitas komputer
2. Keamanan untuk fasilitas perangkat keras komputer.

Ukuran keamanan spesifik

Untuk setiap keamanan fisik dan keamanan data/informasi, maka ukuran-ukuran
keamanan harus ditetapkan untuk:
1. Melindungi dari akses yang tidak diotorisasi/diijinkan
2. Perlindungan terhadap bencana
3. Perlindungan terhadap kerusakan atau kemacetan
4. Perlindungan dari akses yang tidak terdeteksi
5. Perlindungan terhadap kehilangan atau perubahan-prubahan yang tidak
seharusnya
6. Pemulihan atau rekonstruksi data yang hilang

2.4 KEAMANAN UNTUK SUMBER DAYA FISIK NON KOMPUTER

1. Sumberdaya fisik nonkomputer misalnya kas, sediaan, surat-surat berharga
sekuritas, aktiva tetap perusahaan, atau arsip-arsip dalam lemari arsip.
2. Perlindungan dari akses yang tidak diijinkan
 a) Akses ke aktiva fisik non komputer harus dibatasi atau dijaga dari pihak-
pihak yang tidak diijinkan/diotorisasi.
b) Kas harus disimpan dalam kotak terkunci (brankas) dan hanya boleh diakses
oleh orang-orang yang diijinkan.
c) Menetapkan penjaga untuk sediaan yang disimpan digudang atau aktiva
yang ada digedung administrasi atau pabrik.
d) Membuat pagar untuk wilayah-wilayah tempat penyimpanan aktiva.
e) Membuat alarm, monitor TV atau lemari arsip yang terkunci.

3. Perlindungan dari Bencana

Melengkapi gudang dengan peralatan-peralatan pencegah api dan menyimpan
kas pada tempat yang tahan api
4. Perlindungan dari kerusakan dan kemacetan
Melakukan pemeliharaan rutin atas aktiva-aktiva operasi, seperti mesin, mobli
dan lain-lain

2.5 KEAMANAN UNTUK PERANGKAT KERAS KOMPUTER

1. Perlindungan dari akses orang yang tidak diijinkan
a) Pusat fasilitas komputer harus diisolasi, lokasi tidak bisa dipublikasi dan
tidak tampak dari jalan umum.
b) Akses fisik ke fasilitas komputer dibatasi pada orang yang diotorisasi,
misalnya operator komputer, pustakawan, penyelia pemrosesan data atau
manajemen sistem informasi.
c) Penjaga keamanan dan resepsionis ditempatkan pada titik-titik strategis.
d) Memakai alat scanning elektronik
e) Pintu terkunci ke ruangan komputer dan titik pemasukan data yang hanya
bisa dibuka dengan kartu berkode magnetik.
f) Alarm, apabila ada pihak yang tidak diotorisasi masuk.
2. Perlindungan dari bencana
a) Fasilitas komputer diatur kelembaban dan suhu ruangannya.
b) Untuk menghindari kerusajkan karena air, maka lantai, dinding dan atap
harus tahan air.
c) Membuat detektor asap atau detektor api
d) Untuk mainframe, maka sebaiknya disediakan generator ataupun UPS
3. Perlindungan dari kerusakan dan kemacetan
Membuat rencana backup file

2.6 KEAMANAN UNTUK DATA DAN INFORMASI

1. Perlindungan dari akses orang yang tidak diotorisasi terhadap data
a) Isolasi, data dan informasi yang rahasia dan penting bagi operasi perusahaan
diisolasi secara fisik untuk melindungi dari akses yang tidak diotorisasi.
b) Otentifikasi dan otorisasi pengguna. Misalnya dengan membuat daftar
pengendalian akses (ACL), membuat password, Automatic lockout,
Callback procedure, keyboard lock.
c) Peralatan komputer dan terminal dibatasi penggunaannya. MIsalnya: suatu
terminal dibatasi hanya bisa memasukkan transaksi tertentu sesuai dengan
fungsinya. Bagian gudang hanya bisa memasukkan dan memutakhirkan data
sediaan setelah memasukkan password atau
 username. Peralatan komputer dan terminal juga akan terkunci otomatis bila
jam kerja telah selesai.
d) Enskripsi. Untuk mencegah pengganggu (intruder) memasuki jaringan
komunikasi data dan menyadap data, maka data rahasia yang ditransmisikan
melalui jaringan dilindungi dengan enkripsi (data dikodekan dan apabila
telah sampai kode tersebut dibuka ditempat tujuan). Terdapat dua jenis
enskripsi:private key encryption & Public Key Encryption.
e) Destruksi. Untuk mencegah pihak yang tidak diijinkan mengakses data, data
rahasia harus segera dihancurkan ketika masa penggunaannya selesai. Untuk
hasil cetakan, segera dihancurkan melalui alat penghancur kertas.
2. Perlindungan dari akses data dan informasi yang tidak bisa dideteksi
a) Membuat access log (log akses), merupakan komponen keamanan sistem
pengoperasian, mencatat seluruh upaya untuk berinteraksi dengan basis
data/database. Log ini menampilkan waktu, tanggal dan kode orang yang
melakukan akses ke basis data. Log ini menghasilkan jejak audit yang harus
diperiksa oleh auditor internal atau administratur keamanan untuk
menetapkan ancaman-ancaman yang mungkin terhadap keamanan sistem
informasi.
b) Console log Cocok bagi komputer mainframe yang menggunakan
pemrosesan tumpuk. Console log mencatat semua tindakan yang dilakukan
sistem operasi dan operator komputer.Console log mencatat seluruh
tindakan yang dilakukan sistem operasi dan operator komputer, seperti
permintaan dan tanggapan yang dibuat selama pelaksanaan pemrosesan dan
aktivitas lainnya.
c) Perangkat lunak pengendalian akses, Beberapa perangkat lunak berinteraksi
dengan sistem operasi komputer untuk membatasi dan memantau akses
terhadap file dan data.
d) Logperubahan program dan sistem. Log perubahan program dan sistem
dapat memantau perubahan terhadap program, file dan pengendalian.
Manajer pengembangan sistem memasukkan kedalam log ini seluruh
perubahan dan tambahan yang diijinkan terhadap program. Perubahan dan
tambahan yang diijinkan terhadap program harus diperiksa internal auditor
untuk memeriksa kesesuaian dengan prosedur perubahan yang disarankan.

2.7 PERLINDUNGAN DARI KERUGIAN ATAU PERUBAHAN YANG

TIDAK DIHARAPKAN TERHADAP DATA ATAU PROGRAM
1. Log (catatan) perpustakaan, memperlihatkan pergerakan dari file data,
program, dan dokumentasi yang digunakan dalam pemrosesan atau aktivitas
lainnya.
2. Log transaksi, mencatat transaksi individual ketika transaksi itu dimasukkan ke
dalam sistem on-line untuk pemrosesan. Log ini memberikan jejak audit dalam
sistem pemrosesan online. Termasuk dalam log ini adalah tempat pemasukan
transaksi, waktu dan data yang dimasukkan, nomor identifikasi orang yang
memasukkan data, kode transaksi, dan jumlah. Perangkat lunak sistem juga
meminta nomor transaksi. Secara teratur daftar log transaksi ini harus dicetak.
3. Tombol perlindungan^pada 3 ^ floppy disk
4. Label file
5. Memori hanya-baca (Read -Only Memory)
6. Penguncian (lockout), merupakan perlindungan khusus yang diperlukan untuk
melindungi basis data/database, karena beragam pengguna dan program
biasanya mengakses data secara bergantian dan terus menerus. Penguncian
mencegah dua program mengakses data secara bersamaan. Akibatnya, satu
program harus ditunda sampai program lain selesai mengakses. Jika kedua
program diijinkan untuk memutakhirkan record yang sama, maka satu data
dapat dicatat berlebihan dan hilang.

2.8 PEMULIHAN DAN REKONSTRUKSI DATA YANG HILANG

1. Program pencatatan vital, yaitu program yang dibuat untuk mengidentifikasi
dan melindungi catatan komputer dan nonkomputer yang penting untuk operasi
perusahaan, seperti catatan pemegang saham, catatan karyawan, catatan
pelanggan, catatan pajak dan bursa, atau catatan sediaan.
2. Prosedur backup dan rekonstruksi. Backup merupakan tindasan (copy) duplikasi
dari dokumen, file, kumpulan data, program dan dokumentasi lainnya yang
sangat penting bagi perusahaan. Prosedur rekonstruksi terdiri dari
penggunaanbackup untuk mencipta ulang data atau program yang hilang.

2.9 Ancaman pada Sistem Informasi

Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik
dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan
sistem informasi.Ancaman terhadap keamanan informasi berasal dari individu,
organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan
kerusakan pada sumber-sumber informasi.Pada kenyataannya ancaman dapat
bersifat internal, yaitu berasal dari dalam perusahaan, maupun eksternal atau
berasal dari luar perusahaan. Ancaman juga dapat terjadi secara sengaja ataupun
tidak sengaja..Ancaman selama ini hanya banyak di bahas dikalangan akademis
saja.Tidak banyak masyarakat yang mengerti tentang ancaman bagi keamanan
sistem informasi mereka. Masyarakat hanya mengenal kejahatan teknologi dan
dunia maya hanya apabila sudah terjadi “serangan“ atau “attack”. Sebuah hal yang
perlu disosialisasikan dalam pembahasan tentang keamanan sistem terhadap
masyarakat adalah mengenalkan “ancaman” kemudian baru mengenalkan
„serangan‟ kepada masyarakat. Perlu di ketahui bahwa serangan dimulai dengan
ancaman, dan tidak akan ada serangan sebelum adanya ancaman. Serangan dapat
diminimalisir apabila ancaman sudah diprediksi dan dipersiapkan antisipasi
sebelumnya atau mungkin sudah dihitung terlebih dahulu melalui metode -metode
penilaian resiko dari sebuah ancaman. Ada beberapa metode yang digunakan
dalam mengklasifikasikan ancaman, salah satunya adalah Stride Method ( metode
stride ) . STRIDE merupakan singkatan dari:
-Spoofing yaitu menggunakan hak akses / Mengakses sistem dengan
menggunakan identitas orang lain .
-Tampering yaitu tanpa mempunyai hak akses namun dapat mengubah data
yang ada didalam database.
-Repudiation yaitu membuat sebuah sistem atau database dengan sengaja
salah, atau sengaja menyisipkan bugs, atau menyertakan virus tertentu
didalam aplikasi sehingga dapat digunakan untuk mengakses sistem pada
suatu saat.
 -Information disclosure yaitu membuka atau membaca sebuah informasi
tanpa memiliki hak akses atau membaca sesuatu tanpa mempunyai hak
otorisasi.
-Denial of service yaitu membuat sebuah sistem tidak bekerja atau tidak dapat
digunakan oleh orang lain.
-Elevation of priviledge yaitu menyalahgunakan wewenang yang dimiliki
untuk mengakses sebuah sistemuntuk kepentingan pribadi.

Dalam hal ancaman ini dapat diberikan contoh didalam dunia nyata apabila
seseorang diketahui membawa senjata tajam kemanapun dia pergi maka dapat
dikatakan orang tersebut dapat merupakan ancaman bagi orang lain. Hal lain
didunia nyata adalah pada saat diketahui seseorang membawa kunci T di sakunya
maka dapat disimpulkan orang tersebut adalah merupakan ancaman bagi orang
lain yang membawa kendaraan bermotor. Didalam dunia keamanan sistem atau
dunia teknologi informasi seseorang dapat dikatakan berpotensi sebagai ancaman
apabila memiliki hal sebagai berikut:

Kewenangan tinggi untuk login kedalam sebuah

a)
sistem.

Memiliki hak akses ( password ) seseorang yang

b)
dia ketahui dari berbagai sumber.

c) Memiliki banyak sekali koleksi tools untuk

meretas sebuah sistem dan keahlian dibidang itu.

Orang yang membangun sebuah sistem dapat

d)
pula menjadi ancaman bagi sistem tersebut.

Ancaman adalah aksi yang terjadi baik dari dalam sistem maupun dari
luar�sistem yang dapat mengganggu keseimbangan sistem informasi. Ancaman
yang mungkin timbul dari kegiatan pengolahan informasi berasal
dari 3 hal utama, yaitu :
1. Ancaman Alam
2. Ancaman Manusia
3. Ancaman Lingkungan Ancaman Alam

Yang termasuk dalam kategori ancaman alam terdiri atas :

• Ancaman air, seperti : Banjir, Stunami, Intrusi air laut, kelembaban tinggi, badai,
pencairan salju
• Ancaman Tanah, seperti : Longsor, Gempa bumi, gunung meletus
• Ancaman Alam lain, seperti : Kebakaran hutan, Petir, tornado, angin ribut
Ancaman Manusia
Yang dapat dikategorikan sebagai ancaman manusia, diantaranya adalah :
• Malicious code
• Virus, Logic bombs, Trojan horse, Worm, active contents, Countermeasures
• Social engineering
• Hacking, cracking, akses ke sistem oleh orang yang tidak berhak, DDOS,
backdoor
• Kriminal
• Pencurian, penipuan, penyuapan, pengkopian tanpa ijin, perusakan
• Teroris
• Peledakan, Surat kaleng, perang informasi, perusakan Ancaman Lingkungan

Yang dapat dikategorikan sebagai ancaman lingkungan seperti :

• Penurunan tegangan listrik atau kenaikan tegangan listrik secara tiba-tiba dan
dalam jangka waktu yang cukup lama
• Polusi
• Efek bahan kimia seperti semprotan obat pembunuh serangga, semprotan anti
api, dll
• Kebocoran seperti A/C, atap bocor saat hujan

Besar kecilnya suatu ancaman dari sumber ancaman yang teridentifikasi

atau belum teridentifikasi dengan jelas tersebut, perlu di klasifikasikan secara
matriks ancaman sehingga kemungkinan yang timbul dari ancaman tersebut dapat
di minimalisir dengan pasti. Setiap ancaman tersebut memiliki probabilitas
serangan yang beragam baik dapat terprediksi maupun tidak dapat terprediksikan
seperti terjadinya gempa bumi yang mengakibatkan sistem informasi mengalami
mall function.

2.10 Kelemahan Sistem Informasi

Kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain,
menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem
kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang
mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada
prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin
terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari
luar, atau Seting VPN yang tidak di ikuti oleh penerapan kerberos atau NAT.
Suatu pendekatan keamanan sistem informasi minimal menggunakan 3
pendekatan, yaitu :
1. Pendekatan preventif yang bersifat mencegah dari kemungkinan terjadikan
ancaman dan kelemahan
2. Pendekatan detective yang bersifat mendeteksi dari adanya penyusupan dan
proses yang mengubah sistem dari keadaan normal menjadi keadaan
abnormal
3. Pendekatan Corrective yang bersifat mengkoreksi keadaan sistem yang sudah
tidak seimbang untuk dikembalikan dalam keadaan normal Tindakan
tersebutlah menjadikan bahwa keamanan sistem informasi tidak dilihat hanya
dari kaca mata timbulnya serangan dari virus, mallware, spy ware dan masalah
 lain, akan tetapi dilihat dari berbagai segi sesuai dengan domain keamanan
sistem itu sendiri.

2.10 Sasaran Utama Keamanan Sistem Informasi

Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem
informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi
dimaksudkan untuk mencapai tiga sasaran utama yaitu:
1. Kerahasiaan
Melindungi data dan informasi perusahaan dari penyingkapan orang-orang
yang tidak berhak. Inti utama dari aspek kerahasiaan adalah usaha untuk
menjaga informasi dari orang-orang yang tidak berhak mengakses.Privacy
lebih kearah data-data yang sifatnya privat.Serangan terhadap aspek privacy
misalnya usaha untuk melakukan penyadapan.Usaha-usaha yang dapat
dilakukan untuk meningkatkan privacy adalah dengan menggunakan
teknologi kriptografi.Kriptografi adalah ilmu yang mempelajari teknik-
teknik matematika yang berhubungan dengan aspek keamanan informasi
seperti keabsahan, integritas data, serta autentikasi data.
2. Ketersediaan
Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi
benar-benar asli, atau orang yang mengakses atau memberikan informasi
adalah betul-betul orang yang dimaksud. Masalah pertama untuk
membuktikan keaslian dokumen dapat dilakukan dengan teknologi
watermarking dan digital signature.Watermarking juga dapat digunakan
untuk menjaga intelektual property, yaitu dengan menandatangani dokumen
atau hasil karya pembuat. Masalah kedua biasanya berhubungan dengan
akses control, yaitu berkaitan dengan pembatasan orang-orang yang dapat
mengakses informasi. Dalam hal ini pengguna harus menunjukkan bahwa
memang dia adalah pengguna yang sah atau yang berhak menggunakannya.
3. Integritas
Aspek ini menekankan bahwa informasi tidak boleh diubah tanpa seijin
pemilik informasi. Adanya virus, trojan horse, atau pemakai lain yang
mengubah informasi tanpa izin. Sistem informasi perlu menyediakan
representasi yang akurat dari sistem fisik yang direpresentasikan.

2.11 Ancaman Virus Keamanan Sistem Informasi

Ancaman yang paling terkenal dalam keamanan sistem informasi adalah
virus. Virus adalah sebuah program komputer yang dapat mereplikasi dirinya
sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem informasi
merupakan serangan yang dapat muncul pada sistem yang digunakan. Serangan
dapat diartikan sebagai “tindakan yang dilakukan denganmenggunakan metode
dan teknik tertentu dengan berbagai tools yang diperlukansesuai dengan
kebutuhan yang disesuaikan dengan objek serangan tertentu baikmenggunakan
serangan terarah maupun acak“. Serangan yang terjadi terhadapsebuah sistem
jaringan dikalangan praktisi lazim sering disebut dengan penetration.Dalam materi
keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap
sebuah sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin
lama semakin canggih dan sangat sulit di prediksi dan dideteksi.Beberapa contoh
serangan yang dapat mengancam sebuah sistem adalah sebagai berikut :
- Virus
Virus dikenal sejak kemunculannya pertama kali pada pertengahan tahun
1980-an, virus berkembang pesat seiring dengan pesatnya perkembangan
teknologi komputer. Virus selalu menemukan dan menyesuaikan diri untuk
menyebarkan dirinya dengan berbagai macam cara. Pada dasarnya, virus
merupakan program komputer yang bersifat “malicious” (memiliki tujuan
merugikan maupun bersifat mengganggu pengguna sistem) yang dapat
menginfeksi satu atau lebih sistem komputer melalui berbagai cara penularan
yang dipicu oleh otorasisasi atau keterlibatan “user” sebagai pengguna komputer.
Kerusakan yang dapat ditimbulkan pun bermacam-macam mulai dari yang
mengesalkan sampai kepada jenis kerusakan yang bersifat merugikan dalam hal
finansial. Dilihat dari cara kerjanya, virus dapat dikelompokkan sebagai berikut:
u Overwriting Virus - merupakan penggalan program yang dibuat sedemikian
rupa untuk menggantikan program utama (baca: host) dari sebuah program besar
sehingga dapat menjalankan perintah yang tidak semestinya.
u Prepending Virus - merupakan tambahan program yang disisipkan pada bagian
awal dari program utama atau “host” sehingga pada saat dieksekusi, program
virus akan dijalankan terlebih dahulu sebelum program yang sebenarnya
dijalankan.
u Appending Virus - merupakan program tambahan yang disisipkan pada bagian
akhir dari program (host) sehingga akan dijalankan setelah program sebenarnya
tereksekusi.
u File Infector Virus - merupakan penggalan program yang mampu memiliki
kemampuan untuk melekatkan diri (baca: attached) pada sebuah file lain, yang
biasanya merupakan file “executable”, sehingga sistem yang menjalankan file
tersebut akan langsung terinfeksi.
u Boot Sector Virus - merupakan program yang bekerja memodifikasi program
yang berada di dalam boot sector pada cakram penyimpan (baca: disc) atau disket
yang telah diformat. Pada umumnya, sebuah boot sector virus akan terlebih
dahulu mengeksekusi dirinya sendiri sebelum proses “boot-up” pada komputer
terjadi, sehingga seluruh “floppy disk” yang digunakan pada komputer tersebut
akan terjangkiti pula, hal ini sering terjadi pada USB Flashdisk.
u Multipartite Virus - merupakan kombinasi dari Infector Virus dan Boot Sector
Virus dalam arti kata ketika sebuah file yang terinfeksi oleh virus jenis ini
dieksekusi, maka virus akan menjangkiti boot sector dari hard disk atau partition
sector dari computer tersebut, dan sebaliknya.
u Macro Virus - menjangkiti program “macro” dari sebuah file data atau dokumen
(yang biasanya digunakan untuk “global setting” seperti pada template Microsoft
Word) sehingga dokumen berikutnya yang diedit oleh program aplikasi tersebut
akan terinfeksi pula oleh penggalan program macro yang telah terinfeksi
sebelumnya.
Agar selalu diperhatikan bahwa sebuah sistem dapat terjangkit virus adalah
disebabkan oleh campur tangan pengguna. Campur tangan yang dimaksud
misalnya dilakukan melalui penekanan tombol pada keyboard, penekanan tombol
pada mouse, penggunaan USB pada komputer, pengiriman file via email, dan lain
sebagainya. (Richardus eko indrajit : seri artikel “aneka serangan didunia maya).
- Worms
Istilah “worms” yang tepatnya diperkenalkan kurang lebih setahun setelah
“virus” merupakan program malicious yang dirancang terutama untuk
menginfeksi komputer yang berada dalam sebuah sistem jaringan. Walaupun
sama-sama sebagai sebuah penggalan program, perbedaan prinsip yang
membedakan worms dengan virus adalah bahwa penyebaran worm tidak
tergantung pada campur tangan manusia atau pengguna. Worms merupakan
program yang dibangun dengan algoritma tertentu sehingga mampu untuk
mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa melalui
bantuan maupun keterlibatan pengguna. Pada mulanya worms diciptakan dengan
tujuan untuk mematikan sebuah sistem atau jaringan komputer. Namun
belakangan ini telah tercipta worms yang mampu menimbulkan kerusakan luar
biasa pada sebuah sistem maupun jaringan komputer, seperti merusak file-file
penting dalam sistem operasi, menghapus data pada hard disk, menghentikan
aktivitas komputer , dan hal-hal destruktif lainnya. Karena karakteristiknya yang
tidak melibatkan manusia, maka jika sudah menyebar sangat sulit untuk
mengontrol atau mengendalikannya. Usaha penanganan yang salah justru akan
membuat
pergerakan worms menjadi semakin liar tak terkendali untuk itulah dipergunakan
penanganan khusus dalam menghadapinya.
- Trojan Horse
Istilah “Trojan Horse” atau Kuda Troya diambil dari sebuah taktik perang
yang digunakan untuk merebut kota Troy yang dikelilingi benteng yang kuat.
Pihak penyerang membuat sebuah patung kuda raksasa yang di dalamnya memuat
beberapa prajurit yang nantinya ketika sudah berada di dalam wilayah benteng
akan keluar untuk melakukan peretasan dari dalam. Ide ini mengilhami sejumlah
hacker dan cracker dalam membuat virus atau worms yang cara kerjanya mirip
dengan fenomena taktik perang ini, mengingat banyaknya antivirus yang
bermunculan maka mereka menciptakan sesuatu yang tidak dapat terdeteksi oleh
antivirus.
Berdasarkan teknik dan metode yang digunakan, terdapat beberapa jenis Trojan
Horse, antara lain:
u Remote Access Trojan - kerugian yang ditimbulkan adalah komputer korban
dapat diakses menggunakan remote program.
u Password Sending Trojan - kerugian yang ditimbulkan adalah password yang
diketik oleh komputer korban akan dikirimkan melalui email tanpa sepengetahuan
dari korban serangan.
u Keylogger - kerugian yang ditimbulkan adalah ketikan atau input melalui
keyboard akan dicatat dan dikirimkan via email kepada hacker yang memasang
keylogger.
u Destructive Trojan - kerugian yang ditimbulkan adalah file-file yang terhapus
atau hard disk yang diformat oleh Trojan jenis ini.
u FTP Trojan - kerugian yang terjadi adalah dibukanya port 21 dalam sistem
komputer tempat dilakukannya download dan upload file.
u Software Detection Killer - kerugiannya dapat mencium adanya
programprogram keamanan seperti zone alarm, anti-virus, dan aplikasi keamanan
lainnya.
u Proxy Trojan - kerugian yang ditimbulkan adalah di-“settingnya” komputer
korban menjadi “proxy server” agar digunakan untuk melakukan “anonymous
telnet”, sehingga dimungkinkan dilakukan aktivitas belanja online dengan kartu
kredit curian dimana yang terlacak nantinya adalah komputer korban, bukan
komputer pelaku kejahatan.

2.12 Pengamanan Sistem Informasi

Pada umumnya, pengamanan dapat dikategorikan menjadi dua jenis:
pencegahan (preventif) dan pengobatan (recovery). Usaha
pencegahandilakukan agar sistem informasi tidak memiliki lubang
keamanan,sementara usaha-usaha pengobatan dilakukan apabila
lubangkeamanan sudah dieksploitasi.Pengamanan sistem informasi dapat
dilakukan melalui beberapalayer yang berbeda.Misalnya di layer “transport”,
dapat digunakan“Secure Socket Layer” (SSL).Metoda ini misalnya umum
digunakanuntuk Web Site. Secara fisik, sistem anda dapat juga diamankan dengan
menggunakan “firewall” yang memisahkan sistem andadengan Internet.
Penggunaan teknik enkripsi dapat dilakukan ditingkat aplikasi sehingga data-data
anda atau e-mail anda tidakdapat dibaca oleh orang yang tidak berhak.

- Mengatur akses (Access Control)

Salah satu cara yang umum digunakan untuk mengamankaninformasi
adalah dengan mengatur akses ke informasi melaluimekanisme “access control”.
Implementasi dari mekanisme ini antaralain dengan menggunakan
“password”.Di sistem UNIX, untuk menggunakan sebuah sistem atau
komputer,pemakai diharuskan melalui
proses authentication denganmenuliskan “userid” dan “password”. Informasi yang
diberikan ini
dibandingkan dengan userid dan password yang berada di sistem.Apabila
keduanya valid, pemakai yang bersangkutan diperbolehkanmenggunakan
sistem.Apabila ada yang salah, pemakai tidak dapatmenggunakan sistem.
Informasi tentang kesalahan ini biasanyadicatat dalam berkas log. Besarnya
informasi yang dicatat bergantung kepada konfigurasi dari sistem
setempat.Misalnya, adayang menuliskan informasi apabila pemakai
memasukkanuseriddan password yang salah sebanyak tiga kali. Ada juga yang
langsungmenuliskan informasi ke dalam berkas log meskipun baru satu kalisalah.
Informasi tentang waktu kejadian juga dicatat.Selain itu asal hubungan
(connection) juga dicatat sehingga administrator dapatmemeriksa keabsahan
hubungan.

- Memilih password
Dengan adanya kemungkinan password ditebak, misalnya
denganmenggunakan program password cracker, maka memilih
passwordmemerlukan perhatian khusus.Berikut ini adalah daftar hal-hal yang
sebaiknya tidak digunakan sebagai password.
• Nama anda, nama istri / suami anda, nama anak, ataupun nama kawan.
• Nama komputer yang anda gunakan.
• Nomor telepon atau plat nomor kendaran anda.
• Tanggal lahir.
• Alamat rumah.
Nama tempat yang terkenal.
• Kata-kata yang terdapat dalam kamus (bahasa Indonesia maupun bahasa Inggris)
Hal-hal di atas ditambah satu angka
Password dengan karakter yang sama diulang-ulang.

- Memasang Proteksi
Untuk lebih meningkatkan keamanan sistem informasi, proteksidapat
ditambahkan. Proteksi ini dapat berupa filter (secara umum)dan yang lebih
spesifik adalah firewall. Filter dapat digunakanuntuk memfilter e-mail, informasi,
akses, atau bahkan dalam level packet. Sebagai contoh, di sistem UNIX ada paket
program“tcpwrapper” yang dapat digunakan untuk membatasi akses kepadaservis
atau aplikasi tertentu. Misalnya, servis untuk “telnet” dapatdibatasi untuk untuk
sistem yang memiliki nomor IP tertentu, atau memiliki domain tertentu.
Sementara firewall dapat digunakanuntuk melakukan filter secara umum.Untuk
mengetahui apakah server anda menggunakan tcpwrapperatau tidak, periksa isi
berkas /etc/inetd.conf.Biasanya tcpwrapperdirakit menjadi “tcpd”.Apabila servis
di server anda (misalnyatelnet atau ftp) dijalankan melalui tcpd, maka server
andamenggunakan tcpwrapper.Biasanya,
konfigurasi tcpwrapper (tcpd)diletakkan di berkas /etc/hosts.allow dan
/etc/hosts.deny.

Firewall
Firewall merupakan sebuah perangkat yang diletakkan antara Internet
dengan jaringan internal (Lihat Figure 4.1 on page 55).Informasi yang keluar atau
masuk harus melalui firewall ini.Tujuan utama dari firewall adalah untuk menjaga
(prevent) agarakses (ke dalam maupun ke luar) dari orang yang tidak
berwenang(unauthorized access) tidak dapat dilakukan. Konfigurasi dari
firewallbergantung kepada kebijaksanaan (policy) dari organisasi
yangbersangkutan, yang dapat dibagi menjadi dua jenis:
• apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan
(prohibitted)
• apa-apa yang tidak dilarang secara eksplisit dianggapdiperbolehkan (permitted)
Firewall bekerja dengan mengamati paket IP (Internet Protocol) yang
melewatinya. Berdasarkan konfigurasi dari firewall makaakses dapat diatur
berdasarkan IP address, port, dan arah informasi.Detail dari konfigurasi
bergantung kepada masing-masing firewall.Firewall dapat berupa sebuah
perangkat keras yang sudahdilengkapi dengan perangkat lunak tertentu, sehingga
pemakai(administrator) tinggal melakukan konfigurasi dari firewall
tersebut.Firewall juga dapat berupa perangkat lunak yang ditambahkankepada
sebuah server (baik UNIX maupun Windows NT), yang dikonfigurasi menjadi
firewall.Dalam hal ini, sebetulnya perangkatkomputer dengan prosesor Intel
80486 sudah cukup untuk menjadifirewall yang sederhana.
Firewall biasanya melakukan dua fungsi; fungsi (IP) filtering danfungsi proxy.
Keduanya dapat dilakukan pada sebuah perangkatkomputer (device) atau
dilakukan secara terpisah.Beberapa perangkat lunak berbasis UNIX yang dapat
digunakanuntuk melakukan IP filtering antara lain:
• ipfwadm: merupakan standar dari sistem Linux yang dapatdiaktifkan
pada level kernel
• ipchains: versi baru dari Linux kernel packet filtering yang diharapkan dapat
menggantikan fungsi ipfwadm
Fungsi proxy dapat dilakukan oleh berbagai software tergantungkepada jenis
proxy yang dibutuhkan, misalnya web proxy, rloginproxy, ftp proxy dan
seterusnya. Di sisi client sering kalaidibutuhkan software tertentu agar dapat
menggunakan proxyserver ini, seperti misalnya dengan menggunakan SOCKS.
Beberapaperangkat lunak berbasis UNIX untuk proxy antara lain:
• Socks: proxy server oleh NEC Network Systems Labs
• Squid: web proxy server
Informasi mengenai firewall secara lebih lengkap dapat dibaca padareferensi [19,
24] atau untuk sistem Linux dapat dilakukan denganmengunjungi web site
berikut: <http://www.gnatbox.com>.

- Pemantau adanya serangan

Sistem pemantau (monitoring system) digunakan untuk mengetahuiadanya
tamu tak diundang (intruder) atau adanya serangan (attack).Nama lain dari sistem
ini adalah “intruder detection system” (IDS).Sistem ini dapat memberitahu
administrator melalui e-mail maupunmelalui mekanisme lain seperti melalui
pager.Ada berbagai cara untuk memantau adanya intruder. Ada yang sifatnya aktif
dan pasif. IDS cara yang pasif misalnya denganmemonitor logfile. Contoh
software IDS antara lain:
• Autobuse, mendeteksi probing dengan memonitor logfile.
• Courtney, mendeteksi probing dengan memonitor packet yang lalu lalang
• Shadow dari SANS

- Pemantau integritas sistem

Pemantau integritas sistem dijalankan secara berkala untuk
mengujiintegratitas sistem. Salah satu contoh program yang umumdigunakan di
sistem UNIX adalah program Tripwire. Program paketTripwire dapat digunakan
untuk memantau adanya perubahan padaberkas. Pada mulanya, tripwire
dijalankan dan membuat databasemengenai berkas-berkas atau direktori yang
ingin kita amati beserta“signature” dari berkas tersebut. Signature berisi informasi
mengenaibesarnya berkas, kapan dibuatnya, pemiliknya, hasil checksum
atauhash(misalnya dengan menggunakan program MD5), dansebagainya. Apabila
ada perubahan pada berkas tersebut, makakeluaran dari hash function akan
berbeda dengan yang ada didatabase sehingga ketahuan adanya perubahan.

- Audit: Mengamati Berkas Log

Segala (sebagian besar) kegiatan penggunaan sistem dapat dicatatdalam
berkas yang biasanya disebut “logfile” atau “log” saja. Berkaslog ini sangat
berguna untuk mengamati penyimpangan yangterjadi. Kegagalan untuk masuk ke
sistem (login), misalnya,tersimpan di dalam berkas log. Untuk itu para
administratordiwajibkan untuk rajin memelihara dan menganalisa berkas logyang
dimilikinya.
Backup secara rutin
Seringkali tamu tak diundang (intruder) masuk ke dalam sistem
danmerusak sistem dengan menghapus berkas-berkas yang dapatditemui.Jika
intruder ini berhasil menjebol sistem dan masuksebagai super user (administrator),
maka ada kemungkinan diadapat menghapus seluruh berkas.Untuk itu, adanya
backup yangdilakukan secara rutin merupakan sebuah hal yang
esensial.Bayangkan apabila yang dihapus oleh tamu ini adalah berkaspenelitian,
tugas akhir, skripsi, yang telah dikerjakan bertahun-tahun.Untuk sistem yang
sangat esensial, secara berkala perlu dibuat backup yang letaknya berjauhan
secara fisik.Hal ini dilakukan untuk menghindari hilangnya data akibat bencana
seperti kebakaran, banjir, dan lain sebagainya. Apabila data-data dibackupakan
tetapi diletakkan pada lokasi yang sama, kemungkinan dataakan hilang jika
tempat yang bersangkutan mengalami bencanaseperti kebakaran.Untuk
menghindari hal ini, enkripsi dapat digunakan untukmelindungi adanya sniffing.
Paket yang dikirimkan dienkripsi dengan RSA atau IDEA sehingga tidak dapat
dibaca oleh orangyang tidak berhak. Salah satu implementasi mekanisme ini
adalahSSH (Secure Shell). Ada beberapa implementasi SSH ini, antara lain:
• SSH untuk UNIX (dalam bentuk source code, gratis)
SSH untuk Windows95 dari Data Fellows
(komersial)http://www.datafellows.com/
• TTSSH, yaitu skrip yang dibuat untuk Tera Term Pro (gratis,untuk Windows 95)
http://www.paume.itb.ac.id/rahard/koleksi
• SecureCRT untuk Windows95 (shareware / komersial)

Penggunaan Enkripsi untuk meningkatkan keamanan

Salah satau mekanisme untuk meningkatkan keamanan adalahdengan
menggunakan teknologi enkripsi.Data-data yang andakirimkan diubah sedemikian
rupa sehingga tidak mudah disadap.Banyak servis di Internet yang masih
menggunakan “plain text‟‟untuk authentication, seperti penggunaan pasangan
userid danpassword.Informasi ini dapat dilihat dengan mudah oleh
programpenyadap (sniffer).Contoh servis yang menggunakan plain text antara
lain:
• akses jarak jauh dengan menggunakan telnet dan rlogin
• transfer file dengan menggunakan FTP
• akses email melalui POP3 dan IMAP4
• pengiriman email melalui SMTP
• akses web melalui HTTP

Penggunaan enkripsi untuk remote akses (misalnya melalui sshsebagai

penggani telnet atau rlogin) akan dibahas di bagian tersendiri. Telnet atau remote
login digunakan untuk mengakses sebuah “remotesite” atau komputer melalui
sebuah jaringan komputer.Akses inidilakukan dengan menggunakan hubungan
TCP/IP denganmenggunakan userid dan password.Informasi tentang userid
danpassword ini dikirimkan melalui jaringan komputer secara terbuka.Akibatnya
ada kemungkinan seorang yang nakal melakukan“sniffing” dan mengumpulkan
informasi tentang pasangan useriddan password ini.
2.13 Kebijakan Keamanan Sistem Informasi
Setiap organisasi akan selalu memiliki pedoman bagi karyawannya untuk
mencapai sasarannya. Setiap karyawan tidak dapat bertindak semaunya sendiri
dan tidak berdisiplin dalam melaksanakan tugasnya.Setiap organisasi akan selalu
memiliki pedoman bagi karyawannya untuk mencapai sasarannya. Setiap
karyawan tidak dapat bertindak semaunya sendiri dan tidak berdisiplin dalam
melaksanakan tugasnya.Kebijakan keamanan sistem informasi biasanya disusun
oleh pimpinan operasi beserta pimpinan ICT (Information Communication
Technology) dnegan pengarahan dari pimpinan organisasi.

Rangkaian konsep secara garis besar dan dasar bagi prosedur keamanan sistem
informasi adalah:
- Kemanan sistem informasi merupakan urusan dan tanggung jawab semua
karyawan Karyawan diwajibkan untuk memiliki “melek” keamanan
informasi.Mereka harus mengetahui dan dapat membayangkan dampak apabila
peraturan keamanan sistem informasi diabaikan.Semua manajer bertanggung
jawab untuk mengkomunikasikan kepada semua bawahannya mengenai
pengamanan yang dilakukan di perusahaan dan meyakinkan bahwa mereka
mengetahui dan memahami semua peraturan yang diterapkan di perusahaan dan
bagiannya.
- Penetapan pemilik sistem informasi
Akan berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem (atau
sistem) yang bertanggung jawab atas keamanan sistem dan data yang
dipakainya.Ia berhak untuk mengajukan permintaan atas pengembangan sistem
lebih lanjut atau pembetulan di dalam sistem yang menyangkut bagiannya.
Personel ini merupakan contact person dengan bagian ICT (Information
Communication Technology).
- Langkah keamanan harus sesuai dengan peraturan dan undang-undang
Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undang-
undang yang telah ditetapkan yang berkaitan dengan proteksi data, computer
crime, dan hak cipta.

Antisipasi terhadap kesalahan

Dengan meningkatkan proes transaksi secara online dan ral time dan
terkoneksi sistem jaringan internaisonal, transaksi akan terlaksanaka hanya dalam
hitunngan beberapa detik dan tidak melibatkan manusia. Transaksi semacam ini
apabila terjadi kesalahan tidak dapat langsung diperbaiki atau akan menyita
banyak waktu dan upaya untuk memperbaikinya. Antisipasi dan pencegahan
dengan tindakan keamanan yang ketat akan memberikan garansi atas integritas,
kelanjutan, dan kerahasiaan transaksi yang terjadi. Tindakan pecegahan tambahan
harus diimplementasikan agar dapat mendeteksi dan melaporkan kesalahan yang
terjadi sehingga kejanggalan dapat ikoreksi secepat mungkin.
- Pengaksesan ke dalam sistem harus berdasarkan kebutuhan fungsi
User harus dapat meyakinkan kebutuhannya untuk dapat mengakses ke sistem
sesuai dnegan prinsip “need to know”. Pemilik sistem harus bertanggung jawab
atas pemberian akses ini.
- Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses
di sistem informasi Sistem computer milik perusahaan beserta jaringannya hanya
 diperbolehkan untuk dipakai demi kepentingan bisnis perusahaan.Data
perusahaan hanya diperbolehkan dipakai untuk bisnis perusahaan dan pemilik
sistem bertanggung jawab penuh atas pemberian pengaksesan terhadap data
tersebut.
- Pekerjaan yang dilakukan oleh pihak ketiga
Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh
perusahaan, maka perusahaan harus dilindungi oleh keamanan atas informasi
perusahaan.Di dalam kontrak harus didefinisikan agar pihak ketiga mematuhi
peraturan dan keamanan sistm informasi perusahaan.Manajemen harus
bertanggung jawab agar pihak ketiga mematuhi dan mengikuti peraturan
keamanan yang telah ditentukan.
- Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan
pemakai akhir sistem informasi Untuk menjaga kestabilan sistem informasi di
lingkungan perusahaan, dianjurkan agar diadakan pemisahan secara fungsional
antara pengembang sistem, pengoperasian sistem harian dan pemakai akhir.
Untuk mencapai tujuan ini, pihak ICT terutama bagian pengembangan sistem
tidak dibenarkan apabila ia menangani administrasi yang menyangkut keamanan
sistem.
- Implementasi sistem baru atau permintaan perubahan terhadap sistem yang
sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem
akseptasi dan permintaan perubahan (change request)
Perubahan terhadap sistem informasi hanya melalui prosedur yang berlaku untuk
pengembangan dan implementasi sistem baru. Setiap permintaan perubahan
program harus disertai alasan yang kuat serta keuntungan yang akan didapatkan
dan pemohon harus dapat meyakini manajer terkait dan pemilik sistem mengenai
perubahan ini. Oleh karena itu, sangat penting apabila semua pihak yang terkait
harus menandatangani “change request” sebelum kegiatan ini dimulai.
- Sistem yang akan dikembangkan harus sesuai dengan standart metode
pengembangan sistem yang diemban oleh organisasi
Sistem yang akan dibangun harus memakai bahasa pemograman yang telah
ditetapkan. Tidak dibenarkan apabila programer membuatnya dengan
bermacam-macam bahasa pemograman.Patut dipertimbangkan semua risiko
keamanan beserta penanggulannya di dalam sistem.Sebelum sistem aplikasi
diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keadaan
keamanan di dalam aplikasi tersebut.
- Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan
memakai kode identiitasnya (user-ID)
Semua pemakai harus berhati-hati menyimpan password User-ID-nya. Semua
aktivitas yang dilakukan dengan ID ini akan terekam di dalam audit-trial.
Pemakai tidak dapat memungkiri bukti ini, apabila terjadi kesalahan fatal yang
mengakibatkan kerugian terhadap perusahaan. Kesalahan yang berdampak akan
mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik
user-ID ini.
2.14 Pengendalian Dalam menejeman Keamanan Informasi Pengendalian
(Control)
Merupakan mekanisme yang diterapkan, baik untuk melindungi
perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada
perusahaan jika risiko tersebut terjadi.
Pengendalian terbagi menjadi tiga kategori, yakni:
1. Pengendalian Teknis
2. Pengendalian Formal
3. Pengendalian Informal

Pengendalian Teknis
Adalah pengendalian yang menjadi satu di dalam system dan dibuat oleh
para penyususn system selama masa siklus penyusunan system.Dilakukan melalui
tiga tahap:
1. Identifikasi Pengguna.
Memberikan informasi yang mereka ketahui seperti kata sandi dan nomor
telepon.nomor telepon.
2. Otentikasi Pengguna
Pengguna memverivikasi hak akses dengan cara memberikan sesuatu yang
mereka miliki, seperti chip identifikasi atau tanda tertentu.
3. Otorisasi Pengguna
Pengguna dapat mendapatkan wewenang untuk memasuki tingkat penggunaan
tertentu.
Setelah pengguna memenuhi tiga tahap tersebut, mereka dapat menggunakan
sumber daya informasi yang terdapat di dalam batasan file akses.

Sistem Deteksi Gangguan

Logika dasar dari sistem deteksi gangguan adalah mengenali upaya
pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan
perusakan.
Contoh:
Peranti lunak proteksi virus (virus protection software).Peranti lunak yang
didesain untuk mencegah rusaknya keamanan sebelum terjadi.

Firewall
Suatu Filter yang membatasi aliran data antara titik-titik pada suatu
jaringan-biasanya antara jaringan internal perusahaan dan Internet.
Berfungsi sebagai:
1. Penyaring aliran data
2. Penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan
internet.
Jenis:
Firewall Paket Firewall Tingkat Sirkuit Firewall Tingkat Aplikasi

Pengendalian Kriptografis
Merupakan penggunaan kode yang menggunakan proses-proses
matematika.Meningkatkan keamanan data dengan cara menyamarkan data dalam
bentuk yang tidak dapat dibaca. Berfungsi untuk melindungi data dan informasi
yang tersimpan dan ditransmisikan, dari pengungkapan yang tidak terotorisasi.
- Enkripsi: merubah data asli menjadi data tersamar.
- Deksipsi: merubah data tersamar menjadi data asli.

Kriptografi terbagi menjadi:

1. Kriptografi Simetris
Dalam kriptografi ini, kunci enkripsi sama dengan kunci dekripsi.
2. Kriptografi Asimetris
Dalam kriptografi ini, kunci enkripsi tidak sama dengan kunci dekripsi. Contoh:
EnkripsiO kunci public DekripsiO Kunci Privat
3. Kriptografi Hybrid

Menggabungkan antara kriptografi simetris dan Asimetris, sehingga mendapatkan

kelebihan dari dua metode tersebut.
Contoh:
SET (Secure Electronic Transactions) pada E-Commerce

Pengendalian Fisik
Peringatan yang pertama terhadap gangguan yang tidak terotorisasi adalah
mengunci pintu ruangan computer.Perkembangan seterusnya menghasilkan
kunci-kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan
cetakan suara, serta kamera pengintai dan alat penjaga keamanan.

Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku,dokumentasi
prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku
yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk menyusunnya,
mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku
dalam jangka panjang.

Pengendalian Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi
serta program pembangunan manajemen.Pengendalian ini ditunjukan untuk
menjaga agar para karyawan perusahaan memahami serta mendukung program
keamanan tersebut.

Pentingnya Keamanan system

Sistem Informasi diperlukan karena:
1. Teknologi Komunikasi Modern yang membawa beragam dinamika dari dunia
nyata ke dunia virtual
Contohnya adalah: dalam bentuk transaksi elektronik seperti e-banking, dan
pembawa aspek positif maupun negative, misalnya: pencurian, pemalsuan, dan
penggelapan menggunakan internet.
2. Kurangnya Keterampilan Pengamanan yang dimiliki oleh Pemakai Contoh:
Pemakai kurang menguasai computer.
3. Untuk menjaga objek kepemilikan dari informasi yang memiliki nilai
ekonomis.
Contoh: dokumen rancangan produk baru, kartu kredit, dan laporan keuangan
perusahaan PERLINDUNGAN DARI KERUGIAN ATAU PERUBAHAN
YANG TIDAK DIHARAPKAN TERHADAP DATA ATAU PROGRAM
1. Log (catatan) perpustakaan, memperlihatkan pergerakan dari file
data, program, dan dokumentasi yang digunakan dalam pemrosesan atau
aktivitas lainnya.
2. Log transaksi, mencatat transaksi individual ketika transaksi itu dimasukkan ke
dalam sistem on-line untuk pemrosesan. Log ini memberikan jejak audit dalam
sistem pemrosesan online. Termasuk dalam log ini adalah tempat pemasukan
transaksi, waktu dan data yang dimasukkan, nomor identifikasi orang yang
memasukkan data, kode transaksi, dan jumlah. Perangkat lunak sistem juga
meminta nomor transaksi. Secara teratur daftar log transaksi ini harus dicetak.
3. Tombol perlindungan(pada 3 'A floppy disk
4. Label file
5. Memori hanya-baca (Read -Only Memory)
6. Penguncian (lockout), merupakan perlindungan khusus yang diperlukan untuk
melindungi basis data/database, karena beragam pengguna dan program
biasanya mengakses data secara bergantian dan terus menerus. Penguncian
mencegah dua program mengakses data secara bersamaan. Akibatnya, satu
program harus ditunda sampai program lain selesai mengakses. Jika kedua
program diijinkan untuk memutakhirkan record yang sama, maka satu data
dapat dicatat berlebihan dan hilang.
 BAB III
PENUTUP
3.1 Kesimpulan
Keamanan informasi adalah bagaimana kita dapat mencegah penipuan
(cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang
berbasis informasi, dimana informasinya sendiri tidak memiliki arti fisik. Selain
itu keamanan sistem informasi bisa diartikan sebagai kebijakan, prosedur, dan
pengukuran teknis yang digunakan untuk mencegah akses yang tidak sah,
perubahan program, pencurian, atau kerusakan fisik terhadap sistem informasi.
Sistem pengamanan terhadap teknologi informasi dapat ditingkatkan dengan
menggunakan teknik-teknik dan peralatan-peralatan untuk mengamankan
perangkat keras dan lunak komputer, jaringan komunikasi, dan data-data yang
tersimpan.
Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik
dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan
sistem informasi.Ancaman terhadap keamanan informasi berasal dari individu,
organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan
kerusakan pada sumber-sumber informasi
Kelemahan dari suatu sistem yang mungkin timbul pada saat mendesain,
menetapkan prosedur, mengimplementasikan maupun kelemahan atas sistem
kontrol yang ada sehingga memicu tindakan pelanggaran oleh pelaku yang
mencoba menyusup terhadap sistem tersebut. Cacat sistem bisa terjadi pada
prosedur, peralatan, maupun perangkat lunak yang dimiliki, contoh yang mungkin
terjadi seperti : Seting firewall yang membuka telnet sehingga dapat diakses dari
luar, atau Seting VPN yang tidak di ikuti oleh penerapankerberos atau NAT.
Suatu perusahaan memiliki sederetan tujuan dengan diadakannya sistem
informasi yang berbasis komputer di dalam perusahaan. Keamanan informasi
dimaksudkan untuk mencapai tiga sasaran utama yaitu : Kerahasiaan,Ketersediaan
dan Intregitas. Ancaman yang paling terkenal dalam keamanan sistem informasi
adalah virus.Virus adalah sebuah program komputer yang dapat mereplikasi
dirinya sendiri tanpa pengetahuan pengguna. Ancaman dalam sistem informasi
merupakan serangan yang dapat muncul pada sistem yang digunakan. Serangan
dapat diartikan sebagai “tindakan yang dilakukan denganmenggunakan metode
dan teknik tertentu dengan berbagai tools yang diperlukansesuai dengan
kebutuhan yang disesuaikan dengan objek serangan tertentu baikmenggunakan
serangan terarah maupun acak“. Serangan yang terjadi terhadapsebuah sistem
jaringan dikalangan praktisi lazim sering disebut dengan penetration.Dalam materi
keamanan sistem dikenal sangat banyak dan beragam teknik serangan terhadap
sebuah sistem sesuai dengan sifat dan karakteristiknya. Teknik serangan semakin
lama semakin canggih dan sangat sulit di prediksi dan dideteksi.
Rangkaian konsep secara garis besar dan dasar bagi prosedur keamanan
sistem informasi adalah :
- Kemanan sistem informasi merupakan urusan dan tanggung jawab semua
karyawan
- Penetapan pemilik sistem informasi
- Langkah keamanan harus sesuai dengan peraturan dan undang-undang
- Antisipasi terhadap kesalahan
- Pengaksesan ke dalam sistem harus berdasarkan kebutuhan fungsi
- Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan untuk diproses
di sistem informasi
- Pekerjaan yang dilakukan oleh pihak ketiga
- Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem, dan
pemakai akhir sistem informasi
- Implementasi sistem baru atau permintaan perubahan terhadap sistem yang
sudah ada harus melalui pengontrolan yang ketat melalui prosedur sistem
akseptasi dan permintaan perubahan (change request)
- Sistem yang akan dikembangkan harus sesuai dengan standart metode
pengembangan sistem yang diemban oleh organisasi
- Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan
memakai kode identiitasnya (user-ID)

3.2 Saran
Keamanan sistem informasi sangat perlu untuk diketahui dipahami dan
dipelajari oleh seorang sekretaris karena tugas harian seorang sekretaris yang
berhubungan dengan system informasi sehingga hal demikian penting untuk
diketahui sorang sekretaris termasuk apa itu system informasi, pengamana,
ancaman, dan kelemahan serta kebijakan keamanan system informasi.
 DAFTAR PUSTAKA
file:/// WebMahasiswa.html
file:///KEAMANANSISTEMINFORMASIAPADANBAGAIMANAkeHendr
adhy.htm
file:///MAKALAHhamidisisteminformasi.htm
file:///pengertiankeamanansisteminformasi.htm