net/publication/337337372
CITATIONS READS
0 197
1 author:
Siti Aisyah
Universitas Mercu Buana
16 PUBLICATIONS 0 CITATIONS
SEE PROFILE
Some of the authors of this publication are also working on these related projects:
All content following this page was uploaded by Siti Aisyah on 19 November 2019.
Disusun oleh :
Siti Aisyah
Dosen Pengampu :
Akuntansi
Jakarta
2019
Abstrak
Pada era pertumbuhan sistem informasi yang sangat cepat saat ini
keamanan sebuah informasi merupakan suatu hal yang harus diperhatikan, karena jika
sebuah informasi dapat di akses oleh orang yang tidak berhak atau tidak bertanggung
jawab, maka keakuratan informasi tersebut akan diragukan, bahkan akan menjadi
sebuah informasi yang menyesatkan.
Pada dasarnya suatu sistem yang aman akan melindungi data didalamnya seperti
identifikasi pemakai (user identification), pembuktian keaslian pemakai (user authentication),
otorisasi pemakai (user authorization). Beberapa kemungkinan serangan (Hacking) yang dapat
dilakukan, seperti Intrusion , denial of services. joyrider, vandal, hijacking, sniffing, spoofing
dan lain-lain. Ancaman terhadap sistem informasi banyak macamnya, antara lain : pencurian
data, penggunaan sistem secara ilegal, penghancuran data secara ilegal, modifikasi data secara
ilegal, kegagalan pada sistem, kesalahan manusia (SDM-sumber daya manusia), bencana alam.
Tujuan dari keamanan sistem informasi yaitu mencegah ancaman terhadap sistem serta
mendeteksi dan memperbaiki kerusakan yang terjadi pada sistem.
PENDAHULUAN
LATAR BELAKANG
Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi.
Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik
dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau
bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu
performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan. Makalah ini
diharapkan dapat memberikan gambaran dan informasi tentang keamanan sistem informasi.
Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada
yang mengatakan bahwa kita sudah berada di sebuah “information-based society”.
Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi
sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan),
perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Hal ini dimungkinkan
dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah
komputer sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang sifatnya
sensitif. Penggunaan komputer untuk menyimpan informasi yang sifatnya classified baru
dilakukan di sekitar tahun 1950-an. Sangat pentingnya nilai sebuah informasi menyebabkan
seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya
informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi
pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya
diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti
misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan
teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari
sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Menurut G. J. Simons, keamanan informasi adalah bagaimana kita dapat mencegah penipuan
(cheating) atau, paling tidak, mendeteksi adanya penipuan di sebuah sistem yang berbasis
informasi, dimana informasinya sendiri tidak memiliki arti fisik. Karena itu, dalam kesempatan
kali ini, penulis ingin membahas lebih lanjut tentang keamanan sisem informasi.
PEMBAHASAN
KEAMANAN INFORMASI
Keamanan Informasi
1. Kerahasiaan
Perusahaan berusaha untuk melindungi data informasinya dari pengungkapan kepada
orang-orang yang tidak berwenang.
2. Ketersediaan
Tujuan infrastruktur informasi perusahaan adalah menyediakan data dan informasi
sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
3. Integritas
Semua sistem informasi harus memberikan representasi akurat atas sistem fisik yang
dipresentasikan.
Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap
yaitu:
2. Tolak ukur (benchmark) adalah tingkat kinerja yag disarankan. Tolak ukur keamanan
informasi (information security benchmark) adalah tingkat kemanan yang disarankan
yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap
gangguan yang tidak terotorisasi.standar atau tolak ukur semacam ini ditentukan oleh
pemerintah dan asosiasi industri serta mencerminkan komponen-komponen program
keamanan informais yang baik menurut otoritas tersebut.
3. Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolak
ukur (benchmark compliance) dapat diasumsikan bahwa pemerintah dan otoritas
industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai
ancaman serta risiko dan tolak ukur tersebut menawarkan perlindungan yang baik.
4.
ANCAMAN
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang,
organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal
serta eksternal dan bersifat disengaja dan tidak disengaja.
a) Virus. Adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa
dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-
program dan boot sector lain
b) Worm. Program yang tidak dapat mereplikasikan dirinya sendiri di dalam
sistem, tetapi dapat menyebarkan salinannya melalui e-mail.
c) Trojan Horse. Program yang tidak dapat mereplikasi atau mendistribusikan
dirinya sendiri, namun disebarkan sebagai perangkat.
d) Adware. Program yang memunculkan pesan-pesan iklan yang mengganggu.
e) Spyware. Program yang mengumpulkan data dari mesin pengguna.
RESIKO
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi
output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman
keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-
risiko seperti ini dibagi menjadi empat jenis yaitu:
PERSOALAN E-COMMERCE
E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah
ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari
pemalsuan kartu kredit.
Kartu Kredit “Sekali pakai”
Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu ingin
membeli sesuatu seccar online, ia akan memperleh angka yang acak dari situs web
perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit
pelannggan tersebut, yang diberikan kepada pedadang e-commerce, yang kemudian
melaporkannya ke perusahaan kartu kredit untuk pembayaran.
Praktik keamanan yang diwajibkan oleh Visa
Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel
dalam mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang
berhubungan dengan e-commerce:
1. dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau
sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
2. dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya
yang signifikan, tetapi perusahaan tersebut tetap selamat
3. dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan
yang terjadi dalam operasional sehari-hari.
1. diskripsi risiko
2. sumber risiko
PENGENDALIAN
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk
melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut
pada perusahaan jika resiko tersebut terjadi. pengendalian dibagi menjadi tiga kategori,
yaitu :
A. Pengenalian Teknis
Pengendalian teknis (technical control) adalah pengendalian yang
menjadi satu di dalam system dan dibuat oleh para penyusun system selam masa
siklus penyusunan system. Didalam pengendalian teknis, jika melibatkan seorang
auditor internal didalam tim proyek merupakan satu cara yang amat baik untuk
menjaga agar pengendalian semacam ini menjadi bagian dari desain system.
Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras
dan lunak.
B. Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-
orang yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana:
Jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap
sumber daya informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian Informal
A. ISO/IEC27001
ISO/IEC27001 dirilis pada tahun 2005. ISO/IEC27001 ini terus mengalami
pembaharuan. Standar ini dibuat sebagai model untuk penetapan, penerapan,
pengoperasian, pemantauan, pengkajian, pemeliharaan dan perbaikan ISMS. ISO/IEC
27001 memberikan gambaran umum mengenai kebutuhan yang dibutuhkan
perusahaan/organisasi dalam usahanya untuk mengimplementasikan konsep-konsep
keamanan informasi. Penerapan ISO/IEC27001 disesuaikan dengan tujuan, sasaran dan
kebutuhan organisasi. Pendekatan proses ini menekankan pada beberapa hal sebagai
berikut :
1) pemahaman persyaratan keamanan informasi organisasi dan kebutuhan
terhadap kebijakan serta sasaran keamanan informasi,
2) penerapan dan pengoperasian kontrol untuk mengelola resiko keamanan
informasi dalam bentuk konteks resiko bisnis organisasi secara keseluruhan,
3) pemantauan dan tinjau ulang kinerja dan efektivitas ISMS, dan
4) peningkatan berkelanjutan berdasarkan pada pengukuran tingkat ketercapaian
sasaran.
1) Plan (Establish ISMS) Pada tahapan ini dilakukan dengan menetapkan kebijakan
ISMS, sasaran, proses dan prosedur yang relevan untuk mengelola resiko dan
meningkatkan keamanan informasi agar memberikan hasil sesuai dengan kebijakan dan
sasaran.
2) Do (Maintain and improve the ISMS), Tahapan ini dilakukan dengan menetapkan cara
pengoperasian kebijakan ISMS, kontrol, proses dan prosedur-prosedur.
3) Check (Monitor dan review the ISMS), Tahapan ini dilakukan dengan mengkaji dan
mengukur kinerja proses terhadap kebijakan, sasaran, praktek-praktek dalam
menjalankan ISMS dan melaporkan hasilnya untuk penilaian.
4) Act (Implement and operate the ISMS) Tahapan ini dilakukan dengan melakukan
tindakan perbaikan dan pencegahan berdasarkan hasil evaluasi, audit internal dan
tinjauan manajemen tentang ISMS atau kegiatan pemantauan lainya untuk mencapai
peningkatan yang berkelanjutan.
Standar ini juga menjelaskan beberapa syarat utama yang harus dipenuhi, antara lain:
Sistem manajemen keamanan informasi (kerangka kerja proses dan dokumentasi)
Tanggung jawab manajemen
Audit internal ISMS
Peninjauan ulang terhadap manajemen ISMS
Peningkatan berkelanjutan
Disamping syarat diatas, standar ini juga menberikan persyaratan untuk penetapan sasaran
kontrol dan kontrol-kontrol keamanan sistem informasi, yang meliputi 11 area pengamanan,
yaitu :
Kebijakan keamanan informasi
Organisasi keamanan informasi
Manajemen aset
Sumber daya manusia menyangkut keamanan informasi
Keamanan fisik dan lingkungan
Komunikasi dan manajemen operasi
Akses kontrol
Pengadaan/akuisisi, pengembangan dan pemeliharaan sistem informasi
Pengelolaan insiden keamanan informasi
Manajemen kelangsungan usaha (business continuity management)
Kepatuhan
Meskipun keamanan sistem informasi tidak dapat secara langsung dinilai dengan uang
(intangible), sebetulnya keamanan sistem informasi dapat diukur dengan besaran uang
(tangible). Penerapan ISO/IEC 27001 dapat dijadikan sebagai acuan penilaian keamanan
sistem informasi. Penilaian ini biasanya digunakan untuk meyakinkan pihak stakeholder
terhadap pentingnya keamanan sistem informasi.
CONTOH PERUSAHAAN PENERAPAN MANAJEMEN KEAMANAN INFORMASI
Bank Cental Asia baru serius menggunakan teknologi informasi sekitar tahun 1989
dengan tujuan untuk membedakan pelayanan dengan bank lain. Untuk itu Bank Cental Asia
harus menginvestasikan dana yang besar untuk membangun sistem informasinya. Dengan
menggunakan VSAT, BCA mampu menghubungkan antar cabangnya secara on line.
Produk BCA yang selama ini memanfaatkan teknologi informasi meliputi telegraphic tansfer,
mail transfer, ATM dan phone banking. Sampai tahun 1995 jumlah ATM BCA mencapai 500
unit. Hal ini berkat kemudahan yang selama ini ditawarkan BCA.
Agar perusahaan mampu selalu adaptif terhadap perubahan yang muncul, maka
perusahaan harus mempersiapkan diri terhadap berbagai kemungkinan yang dapat terjadi.
Untuk itu perusahaan harus mempunyai berbagai data dan informasi tentang segala sesuatu
yang ada di sekitar perusahaan. Dengan data-data yang ada tersebut, perusahaan
dapat membuat berbagai macam alternatif skenario strategi. Selanjutnya dengan pengolahan
informasi yang terus menerus dari data yang masuk dari hari ke hari, perusahaan dapat
melakukan analisis atas alternatif-alternatif skenarionya, untuk mencapai skenario terbaik bagi
pelaksanaan kegiatan di waktu-waktu mendatang, demikian seterusnya. Hal seperti ini tentu
saja memerlukan dukungan suatu sistem informasi yang baik.
Pengguna internet di Indonesia dan di seluruh dunia dalam satu dasawarsa terakhir,
mengalami perkembangan sangat pesat. Bahkan kini, internet telah menjadi sarana bisnis dan
digunakan lebih dari 1,5 miliar orang di dunia. Pesatnya jumlah pengguna internet, memacu
PT. Bank Central Asia.Tbk (BCA) meluncurkan E-Commerce BCA, yakni sebuah layanan
pemrosesan transaksi online kartu kredit di website merchant BCA.
E-Commerce BCA terlihat dari item pelayanan yang terdapat pada I-Banking bank
BCA terdapat 10 Service yang bisa digunakan oleh nasabahnya, yaitu: Pembelian,
Pembayaran, Transfer Dana, Informasi Rekening, Informasi Kartu Kredit, Informasi Lainnya,
Status Transaksi, Historis Transaksi, Administrasi, dan E-mail.
Dengan klik BCA, menyediakan bagi individu maupun pemilik bisnis berbagai layanan
perbankan yang sesuai dengan kebutuhan mereka masing-masing melalui Internet. Sementara
itu, bagi mereka yang selalu bepergian, disediakan jasa mobile banking melalui saluran-saluran
m-BCA, SMS Top Up BCA, BCA by Phone dan Halo BCA. BCA telah mengembangkan
infrastruktur broadband nirkabel untuk menjamin komunikasi data berkecepatan tinggi di
antara kantor pusat dan kantor-kantor cabang.
Di tanggal 31 Maret 2010, para nasabah BCA dapat menghubungi 889 kantor cabang
di seluruh Indonesia di samping dua kantor perwakilan di Hong Kong dan Singapura. Jasa-jasa
khusus bagi pelanggan premium BCA Prioritas BCA juga tersedia di 130 kantor cabang. Di
tingkat international, kami bekerja sama dengan lebih dari 1.831 bank koresponden di 108
negara guna menyediakan jasa-jasa seperti Perintah Pembayaran (Payment Order).
Dengan memanfaatkan teknologi dan sumber daya manusia yang sangat terlatih, BCA
telah berhasil memperluas jaringannya baik jaringan konvensional maupun elektronis untuk
memberikan pengalaman perbankan yang paling nyaman bagi para nasabah
Kemudahan Nasabah dalam Mengaksses informasi: Bank BCA telah memakai
teknologi yang strategis, dan penggunaan teknologi yang canggih secara tepat telah menjadi
unsur penting dalam kekuatan kompetitif Bank BCA. Dengan teknologi ini, Bank BCA
mengupayakan kemudahan nasabah Bank BCA untuk mengakses informasi tentang apa saja
mengenai Bank BCA, sehingga nasabah dengan mudahnya memperoleh informasi yang
mereka ingnkan tersebut.
Dengan sistem intranet dan ekstranet yang diterapkan BCA. Sebagai contoh, melalui
layanan I-Banking BCA atau melalui ATM BCA para nasabah dapat secara langsung
membayar rekening listrik atau telepon tanpa harus mendatangi PLN atau pun Telkom.
Selain dampak positif, dampak negatif akan ditimbulkan oleh penggunaan SIM pada
Bank BCA, ini biasanya terjadi diantaranya Bank BCA akan kehilangan kepercayaan dari para
konsumen yang disebabkan karena berbagai macam, diantaranya penggunaan teknologi
internet yang kerap dengan namanya pembobolan sistem oleh seorang hacker, pembobolan
sistem informasi manajemen ini bisa berlangsung dan berdampak yang besar bagi perusahaan
karena sumber-smber informasi penting telah dicuri,
Yang kedua, Bank BCA bisa kehilangan kepercayaan dari para pelangan karena
kesalahan sistem pada website miliknya, biasanya karena website yang kurang diupdate atau
karena gangguan sistem, sehingga konsumen akan kesulitan untuk mendapatkan informasi
yang jelas serta up to date dari Bank BCA. Padahal informasi ini sangat penting untuk menarik
para konsumen.
Yang terakhir dampak negatif dari penggunaan sistem informasi manajemen pada Bank
BCA adalah kerugian yang tidak terduga, disebabkan oleh ganguan yang disebabkan secara
sengaja, ketidakjujuran, praktek bisnis yang tidak benar, kesalahan faktor manusia atau
kesalahan sistem elektronik. Ekstranet merupakan Penerapan teknologi internet dalam ruang
lingkup beberapa perusahaan yang merupakan mitra satu sama lain, dengan kata lain
Menghubungkan ke perusahaan partner dan supplier membutuhkan biaya yang tinggi dan
tingkat kesulitan yang tinggi pula. Selain itu, dibutuhkan sering terjadi masalah dengan
kompatibilitas device yang digunakan tiap perusahaan, ini merupakan dampak negative yang
ditimbulkan pada penggunaan system informasi manajemen pada Bank BCA.
Salah satu kesulitan melakukan authentication adalah biasanya kita hanya) yang
mengantarkan data dari sisi nasabah ke penyedia jasa Internet Banking. Penyadapan di
sisi komputer dapat dilakukan dengan memasang program keylogger yang dapat
mencatat kunci yang diketikkan oleh pengguna. Penggunaan keylogger ini tidak
terpengaruh oleh pengamanan di sisi jaringan karena apa yang diketikkan oleh nasabah
(sebelum terenkripsi) tercatat dalam sebuah berkas. Penyadapan di sisi jaringan dapat
dilakukan dengan memasang program sniffer yang dapat menyadap data-data yang
dikirimkan melalui jaringan Internet. Pengamanan di sisi network dilakukan dengan
menggunakan enkripsi. Teknologi yang umum digunakan adalah Secure Socket Layer
(SSL) dengan panjang kunci 128 bit
Pengamanan di sisi komputer yang digunakan nasabah sedikit lebih kompleks. Hal
ini disebabkan banyaknya kombinasi dari lingkungan nasabah. Jika nasabah mengakses
Internet Banking dari tempat yang dia tidak kenal atau yang meragukan integritasnya
seperti misalnya warnet yang tidak jelas, maka kemungkinan penyadapan di sisi
terminal dapat terjadi.
4. Non-repudiation
Aspek nonrepudiation menjamin bahwa jika nasabah melakukan transaksi maka dia
tidak dapat menolak telah melakukan transaksi. Hal ini dilakukan dengan menggunakan
digital signature yang diberikan oleh kripto kunci publik (public key cryptosystem).
Mekanisme konfirmasi (misal melalui telepon) juga merupakan salah satu cara untuk
mengurangi kasus. Penggunaan logging yang ekstensif juga dapat mendeteksi adanya
masalah. Seringkali logging tidak dilakukan secara ekstensif sehingga menyulitkan
pelacakan jika terjadi masalah. (Akses dari nomor IP berapa? Terminal yang mana?
Jam berapa? Apa saja yang dilakukan?)
5. Availability
Aspek availability difokuskan kepada ketersediaan layanan. Jika sebuah bank
menggelar layanan Internet Banking dan kemudian tidak dapat menyediakan layanan
tersebut ketika dibutuhkan oleh nasabah, maka nasabah akan mempertanyakan
keandalannya dan meninggalkan layanan tersebut. Bahkan dapat dimungkinkan
nasabah akan pindah ke bank yang dapat memberikan layanan lebih baik. Serangan
terhadap availability dikenal dengan istilah Denial of Service (DoS) attack. Sayangnya
serangan seperti ini mudah dilakukan di Internet dikarenakan teknologi yang ada saat
ini masih menggunakan IP (Internet Protocol) versi 4. Mekanisme pengamanan untuk
menjaga ketersediaan layanan antara lain menggunakan backup sites, DoS filter,
Intrusion Detection System (IDS), network monitoring, DisasterRecovery Plan (DRP),
Business Process Resumption. Istilah-istilah ini memang sering membingungkan (dan
menakutkan). Mereka adalah teknik dan mekanisme untuk meningkatkan keandalan.
6. Metode Keamanan
a. Layanan ini menggunakan beberapa metode keamanan terkini seperti:
Penggunaan protokol Hyper Text Transfer Protokol Secure (HTTPS), yang
membuat pengiriman data dari server ke ISP dan klien berupa data acak yang
terenkripsi.
b. Penggunaan teknologi enkripsi Secure Socket Layer (SSL) 128 bit, dari
Verisign. Dengan SSL inilah, transfer data yang terjadi harus melalui enkripsi
SSL pada komunikasi tingkat socket.
c. Penggunaan user ID dan PIN untuk login ke layanan Internet Banking ini.
d. Penggunaan metode time out session, yang menyebabkan bila setelah 10 menit
nasabah tidak melakukan aktivitas apapun, akses tidak berlaku lagi.
e. Penggunaan PIN untuk setiap aktivitas perbankan. PIN ini di-generate dari
Token PIN.
DAFTAR PUSKTAKA
Putra, Y. M., (2019). Analysis of Factors Affecting the Interests of SMEs Using Accounting
Applications. Journal of Economics and Business,2(3).
Arni, Uti Desi. 2018. Kelebihan dan Kekurangan Manajemen Sistem Informasi Terhadap
Organisasi Maupun Perusahaan. https://garudacyber.co.id/artikel/900-kelebihan-dan-
kekurangan-manajemen-sistem-informasi-terhadap-organisasi-maupun-perusahaan. Diakses
pada 17 November 2019.
Califa, Cazar. 2015. Standar Manajemen Keamanan Sistem Informasi Berbasi ISO/IEC
27001:2005. http://informasi.stmik-im.ac.id/wp-content/uploads/2016/05/04-Chalifa.pdf.
Diaskses pada 18, November 2019.
Anonim. 2017. Ancaman dan Keamanan Sistem Informasi Pada Bank BCA.
http://manajemen4b1.blogspot.com/2017/05/ancaman-dan-keamanan-sistem-informasi.html .
Diakses pada 19 November 2019.