Universitas Widyatama
Mata Kuliah
T. A. Ganjil 2022/2023
Ditulis Oleh :
Fakultas Teknik
Universitas Widyatama
INFORMATION SECURITY
1. Tujuan
Buku ini mengakui kebutuhan berkelanjutan bagi organisasi dan auditor untuk mengelola
secara efektif dan memeriksa sistem TI untuk memenuhi tujuan dan sasaran bisnis.
Prinsip dasar, pengetahuan, dan keterampilan tentang cara mengontrol dan menilai sistem TI
yang akan mempersiapkan pembaca untuk karier yang sukses dalam praktik publik, industri
swasta, atau pemerintah. Ditargetkan ke mahasiswa maupun praktisi industri di bidang IT
dan akuntansi,
2. IT Environment
Kebutuhan untuk meningkatkan kontrol atas TI, terutama dalam perdagangan, telah
meningkat selama bertahun-tahun dalam studi sebelumnya dan berkelanjutan oleh banyak
organisasi nasional dan internasional. Pada dasarnya, teknologi telah berdampak pada
berbagai bidang lingkungan bisnis yang signifikan, termasuk penggunaan dan pemrosesan
informasi, proses pengendalian, dan profesi audit.
3. Information Security
Informasi merupakan aset penting di banyak organisasi saat ini. Tanpa dapat diandalkan dan
benar informasi yang aman, organisasi kemungkinan besar akan gulung tikar. Anehnya,
meskipun berinvestasi dalam keamanan dapat memberi mereka banyak manfaat karena
membantu melindungi informasi berharga aset dan mencegah konsekuensi yang
menghancurkan lainnya; banyak organisasi tidak mengeluarkan cukup uang untuk
pengeluaran keamanan. Menurut banyak kepala petugas keamanan, sangat sulit untuk
membuktikan nilainya investasi dalam keamanan kecuali jika terjadi bencana.
- Confidentiality adalah perlindungan informasi dari akses yang tidak sah. Ini penting
dalam menjaga citra organisasi dan mematuhi undang-undang privasi. Mungkin risiko
yang terkait dengan kerahasiaan termasuk pelanggaran keamanan informasi yang
memungkinkan untuk akses tidak sah atau pengungkapan data perusahaan yang sensitif
atau berharga (misalnya, pemegang polis informasi atau rencana strategis perusahaan
kepada pesaing atau publik, dll).
- Integrity adalah kebenaran dan kelengkapan informasi. Ini penting dalam menjaga
kualitas informasi untuk pengambilan keputusan. Risiko potensial yang terkait dengan
informasi integritas termasuk akses tidak sah ke sistem informasi, yang mengakibatkan
rusaknya informasi dan penipuan atau penyalahgunaan informasi atau sistem perusahaan.
- Availability mengacu pada pemeliharaan sistem informasi dalam mendukung proses
bisnis.
Ini penting dalam menjaga efisiensi dan efektivitas operasional. Kemungkinan risiko
yang terkait dengan ketersediaan termasuk gangguan atau kegagalan sistem informasi,
hilangnya kemampuan untuk memproses transaksi bisnis, dan crash sistem informasi
karena sumber seperti bencana, virus, atau sabotase.
Teknologi terus berkembang dan menemukan cara untuk membentuk lingkungan TI saat ini
di
organisasi. Bagian berikut menjelaskan secara singkat teknologi terbaru yang telah dimulai
untuk merevolusi organisasi, bagaimana bisnis dilakukan, dan dinamika tempat kerja.
Dengan
teknologi ini, keamanan yang memadai harus tersedia untuk mengurangi risiko dan
melindungi informasi.
Menurut Apps Run the World edisi Juni 2016, sebuah perusahaan riset pasar teknologi
dikhususkan untuk ruang aplikasi, pasar sistem ERP di seluruh dunia akan mencapai $84,1
miliar pada tahun 2020 dibandingkan dengan $82,1 miliar pada tahun 2015. ERP adalah
perangkat lunak yang menyediakan standar bisnis fungsionalitas dalam sistem lingkungan TI
terintegrasi (misalnya, pengadaan, inventaris, akuntansi, dan sumber daya manusia). Intinya,
sistem ERP memungkinkan banyak fungsi untuk mengakses database—mengurangi biaya
penyimpanan dan meningkatkan konsistensi dan akurasi data dari satu sumber. Beberapa
pemasok ERP utama saat ini termasuk SAP, FIS Global, Oracle, Fiserv, Intuit, Inc., Cerner
Corporation, Microsoft, Ericsson, Infor, dan McKesson.
Technique Description
COBIT membantu organisasi memenuhi tantangan bisnis saat ini di bidang keamanan
informasi, kepatuhan terhadap peraturan, manajemen risiko, dan penyelarasan strategi TI
dengan organisasi tujuan antara lain. COBIT adalah perangkat IT resmi dan internasional
yang diterima secara umum standar, praktik, atau tujuan pengendalian yang dirancang untuk
membantu karyawan, manajer, eksekutif, dan auditor dalam: memahami sistem TI,
melaksanakan tanggung jawab fidusia, dan memutuskan tingkat keamanan dan kontrol yang
memadai.
8. ISO/IEC 27002
ISO/IEC 27002 adalah nama baru dari standar ISO 17799, dan merupakan kode praktik
untuk informasi keamanan. Ini menguraikan ratusan kontrol potensial dan mekanisme
kontrol di bagian utama seperti penilaian risiko; kebijakan keamanan; manajemen aset;
keamanan sumber daya manusia; fisik dan keamanan lingkungan; kontrol akses; akuisisi
sistem informasi, pengembangan, dan pemeliharaan; manajemen insiden keamanan
informasi; manajemen kelangsungan usaha; dan kepatuhan. Dasar dari standar ini awalnya
adalah dokumen yang diterbitkan oleh pemerintah Inggris.
Yang menjadi standar "layak" pada tahun 1995, ketika diterbitkan ulang oleh BSI sebagai
BS7799.
Pada tahun 2000, diterbitkan kembali, kali ini oleh ISO/IEC, sebagai ISO/IEC 17799. Versi
baru dari ini muncul pada tahun 2005, bersama dengan publikasi baru, ISO/IEC 27001.
Kedua dokumen ini adalah dimaksudkan untuk digunakan bersama-sama, dengan yang satu
melengkapi yang lain.
Toolkit ISO/IEC 27000 adalah sumber dukungan utama untuk ISO/IEC 27001 dan ISO/
standar IEC 27002. Ini berisi sejumlah item yang dirancang khusus untuk membantu
implementasi mentasi dan audit.
Pemilik informasi adalah manajer departemen, manajemen senior, atau orang yang ditunjuk
dalam organisasi yang memikul tanggung jawab untuk perolehan, pengembangan, dan
pemeliharaan aplikasi produksi yang memproses informasi. Aplikasi produksi adalah
program computer yang secara teratur memberikan laporan untuk mendukung pengambilan
keputusan dan kegiatan organisasi lainnya.
Semua informasi sistem aplikasi produksi harus memiliki pemilik yang ditunjuk. Untuk
setiap jenis informasi, pemilik menunjuk klasifikasi sensitivitas yang relevan, menunjuk
tingkat yang sesuai kritis, menentukan pengguna mana yang akan diberikan akses, serta
menyetujui permintaan dengan berbagai cara dimana informasi tersebut akan digunakan.
Penjaga secara fisik atau logis memiliki informasi atau informasi organisasi yang telah
dipercayakan kepada organisasi. Sedangkan anggota staf TI jelas adalah penjaga, local
administrator sistem juga penjaga. Setiap kali informasi disimpan hanya pada pribadi
komputer, pengguna juga harus menjadi pemelihara. Setiap jenis informasi sistem aplikasi
harus memiliki satu atau lebih penjaga yang ditunjuk. Penjaga bertanggung jawab untuk
menjaga informasi, termasuk menerapkan sistem kontrol akses untuk mencegah
pengungkapan yang tidak tepat dan membuat cadangan agar informasi penting tidak hilang.
Penjaga juga diharuskan untuk menerapkan, mengoperasikan, dan memelihara langkah-
langkah keamanan yang ditentukan oleh pemilik informasi.