Sistem keamanan informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis-komputer. Sistem keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database, prosedur, dan pelaporan. Siklus Hidup Sistem Keamanan Informasi Sistem keamanan elektronik merupakan sebuah sistem informasi. Oleh karena itu, pengembangan Sistem keamanan juga perlu mengacu pada pendekatan siklus hidup sistem. Tujuan setiap tahap siklus hidup ini adalah sebagai berikut. Fase Siklus Hidup Tujuan Analisis sistem Analisis kerentanan sistem dalam arti ancaman yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut. Desain sistem Desain ukuran keamanan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi. Implementasi sistem Menerapkan ukuran keamanan seperti yang telah didesain. Operasi, evaluasi, dan Mengoperasikan sistem dan menaksir efektivitas dan efisiensi. pengendalian sistem Membuat perubahan sebagaimana diperlukan sesuai dengan kondisi yang ada. Tujuan fase pertama siklus hidup sistem keamanan adalah untuk menghasilkan laporan analisis kerentanan dan ancaman. Tujuan fase kedua adalah untuk mendesain serangkaian ukuran pengendalian risiko yang komprehensif, termasuk ukuran keamanan untuk mencegah kerugian dan rencana kontingensi untuk menangani kerugian pada saat kerugian tersebut harus terjadi. Secara kolektif, keempat fase tersebut disebut manajemen risiko sistem informasi. Manajemen risiko sistem informasi merupakan proses untuk menaksir dan mengendalikan risiko sistem komputer. System Keamanan Informasi dalam Organisasi Fase Siklus Hidup Laporan Kepada Dewan Direksi Analisis sistem Sebuah ringkasan terkait dengan semua eksposur kerugian yang relevan. Desain sistem Rencana detail mengenai pengendalian dan pengelolaan kerugian, termasuk anggaran sistem keamanan secara lengkap. Implementasi sistem Mengungkapkan secara spesifik kinerja sistem keamanan, termasuk kerugian dan pelanggaran keamanan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan. Menganalisis Kerentanan dan Ancaman Terdapat dua pendekatan dasar untuk menganalisis kerentanan dan ancaman system yaitu: 1. Pendekatan kuantitatif untuk menaksir resiko menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugiaan setiap item eksposur dengan kemungkinan terjadinya eksposur tersebut. 2. Pendekatan kualitatif secara sederhana merinci daftar kerentanan dan ancaman terhadap system, kemudian secara subjektif meranking item-item tersebut berdasarkan kontribusi setiap item tersebut terhadap total eksposur kerugian perusaan.
B. KERENTANAN DAN ANCAMAN
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada. Ada dua kelompok ancaman. Ancaman aktif mencakup kecurangan sistem informasi dan sabotase komputer. Ancaman pasif mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran, dan angin badai. Kegagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan harddisk, matinya aliran listrik, dan lain sebagainya. Tingkat Keseriusan Kecurangan Sistem Informasi Statistik menunjukkan bahwa kerugian perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat suap, perampokan, dan pencurian. Hal ini mungkin mengejutkan karena kita jarang membaca kejahatan semacam ini di dalam media massa. Hal ini terjadi karena di sebagian besar kasus, kecurangan yang terdeteksi jarang diajukar ke meja hijau karena bisa membuat publik mengetahui kelemahan pengendalian internal perusahaan Manajer enggan berhadapan dengan sisi negatif publisitas yang bisa menimbulkan penghakiman masyarakat. Individu yang Dapat Menjadi Ancaman bagi Sistem Informasi Keberhasilan serangan terhadap system informasi memerlukan akses terhadap hardware , file data yang sensitive, atau program yang kritis. Tiga kelompok individu yaitu: 1. Personel Sistem Komputer Personel system meliputi, personel pemeliharaan system menginstal perangkat keras dan perangkat lunak, memperbaiki perangkat keras, dan membetulkan kesalahan kecil di dalam perangkat lunak; progremer sistem sering menulis program untuk memodifikasi dan memperluas sistem operasi jaringan; operator jaringan adalah individu yang mengamati dan memonitor operasi komputer dan jaringan komunikasi; Personel Administrasi Sistem Informasi Supervisor sistem menempati posisi kepercayaan yang sangat tinggi; dan Karyawan Pengendali Data adalah mereka yang bertanggung jawab terhadap penginputan data ke dalam computer. 2. Pengguna Pengguna terdiri dari sekelompok orang yang heterogen dan dapat dibedakan dengan yang lain karena area fungsional mereka bukan merupakan bagian dari pengolahan data. Banyak pengguna memiliki akses ke data yang sensitif yang dapat mereka bocorkan kepada pesaing perusahaan. 3. Penyusup Penyusup merupakan setiap orang yang memiliki akses ke peralatan, data elektronik, atau file tanpa hak yang legal. Penyusup yang menyerang system informasi sebagai sebuah kesenangan dan tantangan dikenal dengan nama hacker. Tipe lain dari penyusup mencakup, unnoticed intruder, wiretapper, piggybacker, impersonating intruder, eavesdroppers. Ancaman Aktif pada Sistem Informasi Enam metode yang dapat digunakan untuk melakukan kecurangan system informasi yang meliputi: 1. Manipulasi input 2. Mengubah program 3. Mengubah file secara langsung 4. Pencurian data 5. Sabotase 6. Penyalahgunaan atau pencurian sumber daya informasi
C. SISTEM KEAMANAN SISTEM INFORMASI
Lingkungan Pengendalian Lingkungan pengendali merupakan dasar keefektifan seluruh system pengendali. Factor yang terkait dengan system keamanan computer yaitu: 1. Filosofi Manajemen dan Gaya Operasi. Aktivitas pertama dan terpenting dalam keamanan system adalah menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk mendukung terwujudnya keamanan. 2. Struktur organisasi. Dalam banyak organisasi, akuntansi, komputasi dan pemrosesan data semuanya di organisasi di bawah chief information officier (CIO). 3. Dewan Dereksi dan Komitenya. Dewan dereksi harus menunjuk komite audit. Dalam situasi apapun individu-individu tersebut harus melapor secara periodic kepada komite audit mengenai semua fase system keamanan computer. 4. Aktivitas Pengendalian Manajemen. Penting untuk membangun pengendalian terkait dengan penggunaan dan pertanggungjawaban semua sumber daya system computer dan informasi. 5. Fungsi Audit Internal. 6. Kebijakan dan Praktik Personalia. Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, vokasi wajib, dan pengecekan ganda semua merupakan praktik personalia yang penting. 7. Pengaruh Eksternal. System informasi perusahaan harus sesuai dengan hukum dan regulasi local, federal, dan Negara bagian. Pengendalian Ancaman Aktif Cara utama untuk mencegah ancaman aktif terkait dengan kecurangan dan sabotase adalah dengan menerapkan tahap-tahap pengendalian akses. Filosofi dibalik pendekatan berlapis untuk pengendalian akses melibatkan pembangunan banyak tahap pengendalian yang memisahkan calon penyusup dari sasaran potensial mereka. 1. Tahap pengendalian Akses Lokasi yang bertujuan untuk memisahkan secara fisik individu yang tidak berwenang dari sumber daya computer. 2. Tahap Pengendalian Akses Sistem merupakan suatu pengendalain dalam perangkat lunak yang didesain untuk mencegah penggunaan system oleh pengguna yang illegal. Tujuannya adalah untuk mengecek keabsahan pengguna dengan menggunakan sarana seperti ID pengguna, password, alamat Internet Protocol (IP), dan perangkat keras. 3. Tahap Pengendalian Akses File mencegah akses illegal ke data dan file program. Pengendalian Ancaman Pasif Ancaman pasif mencakup masalah seperti kegagalan keras dan mati listrik. Pengendalian terhadap ancaman semacam ini dapat berupa pengendalian preventif maupun korektif. Keamanan Internet Topik mengenai keamanan internet menuntut perhatian khusus karena koneksi perusahaan dengan internet memberi peluang bagi perusahaan untuk menjadi sasaran setiap hecker yang ada di dunia. 1. Kerentanan Web Server. Pengelolaan web server perlu selalu memonitor bulletin terkait dengan informasi dan pembaharuan keamanan perihal konfigurasi Web Server. 2. Kerentanan Jaringan Privat. 3. Kerentanan berbagai Program Server 4. Prosedur keamanan Umum
D. PENGELOALAAN RESIKO BENCANA
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan kontingensi. Mencegah Terjadinya Bencana Mencegah terjadinya bencana merupakan langkah awal pengelolaan resiko akibat suatu bencana. Studi menunjukan frekuensi penyebab terjadinya bencana adalah: Bencana alam 30% Tindakan kejahatan yang terencana 45% Kesalahan manusia 25% Perencanaan Kontingensi untuk Mengatasi Bencana Diimplementasikan pada level tertinggi di dalam perusahaan. Langkah mengembangkan rencana pemulihan dari bencana yaitu: pertama, adanya dukungan dari manajer senior dan penetapan komite perencanaa. Kedua, harus didokumentasi dengan hati-hati dan disetujui oleh kedua pihak tersebut . selanjutnya terdapat 3 komponen utama desain perencanaan yaitu: 1. Evaluasi terhadap kebutuhan penting perusahaan 2. Daftar prioritas pemulihan berdasarkan kebutuhan perusahaan 3. Penetapan strategi dan prosedur pemulihan. DAFTAR PUSTAKA Bodnar,George.H dan William S. Hopwood.2004.Sistem Informasi Akuntansi Edisi 9. Yogyakarta: Andy Yogyakarta.