SISTEM INFORMASI MANAJEMEN

BAB 9 KEAMANAN INFORMASI

Penulis : Raymond McLeod, Jr.

George P. Schell
Dosen : Dr. Wonny A. Ridwan, MM., SE.

Fakultas Ekonomi
Universitas Pakuan
 Nama Kelompok

Kurniawati ( 0211 12 127 )

Anisa Safitri ( 0211 12 131 )
Abdurochman Ramdani ( 0211 12 132 )
Rifki Rahmayadi ( 0211 12 163 )
 Tujuan Belajar

Memahami kebutuhan organisasi akan keamanan dan

pengendalian.
Memahami bahwa keamanan informasi berkaitan
dengan keamanan semua sumberdaya informasi.
Memahami tiga tujuan utama keamanan informasi
Melihat hubungan yang logis antara ancaman, resiko
dan pengendalian.
Memahami apa saja ancaman keamanan yang utama.
Memahami apa saja risiko keamanan yang utama.
Mengenali berbagai kekhawatiran keamanan e-
commerce dan bagaimana perusahaan-perusahaan
kartu kredit mengatasinya.
 Tujuan Belajar

Mengenali cara formal melakukan manajemen risiko.

Mengetahui proses implementasi kebijakan keamanan
informasi.
Mengenali cara-cara pengendalian keamanan yang
populer.
Mengetahui tindakan-tindakan pemerintah dan kalangan
industri yang memengaruhi keamanan informasi.
Mengetahui cara mendapatkan srtifikasi profesional
keamanan dan pengrndalian.
Mengetahui jenis-jenis rencana yang termasuk dalam
perencanaan kontijensi.
 KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN
PENGENDALIAN

Dalam dunia masa kini, banyak organisasi semakin

dasar akan pentingnya menjaga seluruh sumber daya
mereka, baik yang bersifat virtual maupun fisik, agar
aman dari ancaman baik dalam dan luar sistem
komputer yang pertama hanya memiliki sedikit
perlindungan keamanan, namun hal ini berubah pada
saat perang Vietnam ketika sejumlah instansi komputer
di rusak oleh para pemrotes.
 KEAMANAN INFORMASI

Saat pemerintah dan kalangan industri mulai menyadari

kebutuhan untuk mengamankan sumber daya informasi
mereka, perhatian nyaris terpukul secara eksklusif pada
perlindungan perantik keras dab data, maka istilah
keamanan sistem (Sistem security) pun di gunakan.
Fokus sempit ini kemudian di perluas sehingga
mencangkup bukan hanya perantik keras dan data,
namun juga peranti lunak, fasilitas komputer, dan
personel.
 Tujuan Keamanan Informasi

Kerahasian. Perusahaan berusaha untuk melindungi

data dan informasinya dari pengungkapan kepada
orang-orang yang tidak berwenang.
Ketersediaan. Tujuannya dari infrastrukstur informasi
perusahaan adalah menyediakan data dan informasi
sedia bagi pihak-pihak yang memiliki wewenang untuk
menggunakannya.
Integritas. Semua sistem informasi harus memberikan
representasi akurat dan atas sistem fisik yang
direpresentasikannya.
 Manajemen Keamanan Informasi

Seperti halnya cakupan keamanan informasi telah

meluas demikian juga pandangan akan tanggung jawab
manajemen tidak hanya di harapkan untuk menjaga agar
sumber daya informasi aman, namun juga di harapkan
untuk menjaga perusahaan tersebut agar tetap berfungsi
setelah suatu bencana atau jebolnya sistem keamanan.
Aktivitas untuk menjaga agar sumber daya informasi
tetap aman disebut manajemen keamanan informasi (
informatian security management ISM ).
 Strategi Manajemen Keamanan Informasi

Mengidentifi
kasi ancaman

Mengidentifik Tolok ukur

asi risiko

Menentukan Menentukan
kebijakan kebijakan
keamanan keamanan
informasi informasi

Mengimplemen Mengimplement
tasikan asikan informasi
pengendalian

Manajemen risiko Kepatuhan terhadap tolok ukur

 Ancaman

Ancaman Keamanan informasi (information security

threat) adalah orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan.
 Jenis Ancaman

Virus adalah program komputer yang dapat mereplikasi

dirinya sendiri tanpa dapat diamati oleh si pengguna dan
menempelkan salinan dirinya pada program-program
dan boot sector lain.
Selain virus ada terdapat pula worm, Trojan horse,
adware, dan spyware.
 Risiko

Risiko keamanan informasi (information security risk)

didefinisikan sebagai potensi output yang tidak
diharapkan dari pelanggaran keamanan informasi oleh
ancaman keamanan informasi.
Pengungkapan Informasi yang Terotorisasi dan Pencurian

Ketika suatu basis data dan perpustakaan peranti lunak

tersedia bagi orang-orang yang seharusnya tidak berhak
memilki akses, hasilnya adalah hilangnya informasi atau
atau uang . Sebagai contoh, mata-mata industri dapat
memperoleh informasi mengenai kompetisi yang
berharga, dan kriminal komputer dapat menyeludupkan
dana perusahaan.
 Persoalan E-Commerce

E-comerce (perdagangan elektronik) telah

memperkenalkan suatu perusahaan keamanan baru.
Masalah ini bukanlah perlindungan data, informasi, dan
perangkat lunak, tapi perlindungan dari pemalsuan kartu
kredit. Menurut sebuah survei yang dilakukan oleh
Gartner Group, pemalsuan kartu kredit 12 kali lebih
sering terjadi untuk para paritel e-commerce di
bandingkan dengan para pedagang yang berurusan
dengan pelanggan mereka secara langsung.
 Kartu Kredit Sekali Pakai
Pada september 2000, america ekspres mengumumkan
sebuak kartu kredit sekali pakai tindakan yang
ditunjukan bagi 60 hingga 70 persen konsumen yang
mengkhawatirkan pemalsuan kartu kredit dari
pengguanaa internet.
 Praktik Keamanan yang Diwajibkan oleh Visa
1. Memasang dan memelihara firewall.
2. Memperbaharui keamanan.
3. Melakukan ekskripsi pada data yang di simpan.
4. Melakukan ekskripsi pada data yang di kirimkan.
5. Menggunakan dan memperbarui peranti lunak antivirus
6. Membatasi akses data kepada orang-orang yang ingin
tahu.
7. Memberikan ID unik kepada setiap orang yang memiliki
kemudahan mengakses data.
8. Memantau akses data dengan ID unik.
9. Tidak menggunakan kata sandi default yang disediakan
oleh vendor.
10. Secara teratur menguji sistem keamanan.
 Manajemen Risiko

1. Menganalisis kelemahan perusahaan tersebut.

2. Identifikasi aset-aset bisnis yang harus dilindungi dari
risiko.
3. Menentukan tingkatan dampak pada perusahaan jika
risiko benar-benar terjadi.
4. Menyadari risikonya.
 Penyusunan Kebijakan Keamanan

Tiru proyek
Fase 1
Inisiasi proyek
Komite pengawas
proyek keamanan

Fase 2 Pihak-pihak
Penyusunan berminat dan
kebijakan terpengaruh

Fase 3
Konsultasi dan Manajemen
persetujuan

Fase 4
Kesadaran dan Unit organisasi
pendidikan
Fase 5
Penyebarlasan Unit organisasi
kebijkan
 Pengendalian

Pengendalian (control) adalah mekanisme yang

diterapkan baik untuk melindungi perusahaan dari risiko
atau untuk meminimalkan damak risiko tersebut pada
perusahaan jika risiko tersebut terjadi.
 Pengendalian Teknis

Pengendalian teknis (technical control) adalah

pengendalian yan menjadi satu di dalam sistem dan
dibuat oleh para penyusun sistem selama masa siklus
penyusunan sistem.
 Pengendalian Akses

1. Identifikasi pengguna. Para pengguna pertama

mengidentifikasi mereka dengan cara memberikan
sesuatu yang mereka ketahui, misalnya kata sandi.
2. Otentifikasi pengguna. Setelah identifikasi awal telah
dilakukan, para pengguna memverifikasi hak akses
dengan cara memberikan sesuatu yang mereka
ketahui.
3. Otorisasi pengguna. Setelah pemeriksaan identifikasi
dan autentikasidilalui, seseorang maka dapat
melakukan otorisasi untuk memasuki tingkat/derajat
penggunaan tertentu.
 Firewall

Sumber daya komputer selalu berada dalam resiko jika

terhubung ke jaringan. Salah satu pendekatan
keamanan adalah secara fisik memisahkan situs Web
perusahaan dengan jaringan internal perusahaan yang
berisikan data sensitif dan sistem informasi.
Fungsi Firewall sebagai penyaring dan penghalang yang
membatasi aliran data ke dan dari perusahaan tersebut
dan internet.
 Lokasi Fire Wall di Jaringan

Firewall
penyaring
paket

Jaringan
Internet Router Komputer
internal

Firewall Firewall
tingakat tingkat
sirkuit aplikasi
 Pengendalian Kriptografis

Data dan informasi yang tersimpan dan ditransmisikan

dapat dilindungi dari pengungkapan yang tidak
terotorisasi dengan kriptografi, yaitu penggunaan kode
yang menggunakan proses matematika. Data dan
informasi tersebut dapat dienkripsi dalam penyimpanan
dan juga di transmisikan ke dalam jaringan. Jika
seseorang yang tidak memiliki otorisasi memperoleh
akses, enkripsi tersebut akan membuat data dan
informasi yang dimaksud tidak berarti apa-apa dan
mencegah Kesalahan penggunaan.
 Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak
terotorisasi adalah mengunci pintu ruangan komputer.
Perkembangan seterusnya menghasilkan kunci-kunci
yang lebih canggih yang dibuka dengan cetakan telapak
tangan dan cetakan suara, serta kamera pengintai dan
alat penjaga keamanan. Perusahaan dapat
melaksanakan pengendaliian fisik hingga pada tahap
tertinggi dengan cara menempatkan pusat komputernya
ditempat terpencil yang jauh darikota dan jauh dari
wilayah yang sensitif terhadap bencana alam seperti
gempa bumi, banjir, dan badai.
 Pengendalian Formal

Pengendalian formal mecangkup penemuan cara

berprilaku, dokumentasi produsen dan praktik yang di
harapkan. Pengawasan serta pencegahan perilaku yang
berbeda dari panduan yang berlaku. Pengendalian ini
bersifat formal karena manajemen menghabiskan
banyak waktu untuk menyusunnya. Dokumentasikan
dalam bentuk tulisan, dan diharapkan untuk berlaku
dalam jangka panjang.
 MELETAKAN PENGENDALIAN TEKNIS PADA
TEMPATNYA

Pengendalian teknis dikenal sebagai yang terbaik untuk

keamanan.perusahaan biasanya memilih dari daftar ini
dan menetapkan kombinasi yang dianggap menawarkan
pengamanan yang paling realistis.
 Pengendalian Informal

Pengendalian informal mencangkup program-program

pelatihan dan edukasi serta program pembangunan dan
manajemen. Pengendalian ini di tujukan untuk menjaga
agar para karyawan perusahaan memahami serta
mendukung program keamanan tersebut.
 Mencapai Tingkat Pengendalian Yang Tepat

Ke tiga jenis pengendalian teknis, formal,dan informal

mengharuskan biaya. Karena bukanlah merupakan
praktik bisnis yang baik untuk menghabiskan lebih
banyak uang pada pengendalian dibandingkan biaya
yang diharapkan dari resiko yang akan terjadi, maka
pengendalian harus ditetapkan pada tingkatan yang
sesuai. Dengan demikian, keputusan pengendalian
harus ditetapkan pada tingkatan yang sesuai.
 Dukungan Pemerintah dan Industri

Beberapa organisasi pemerintahan dan internasional

telah menentukan standar-standar yang ditujukan untuk
menjadi panduan bagi organisasi yang ingin
mendapatkan keamanan informasi. Beberapa standar ini
berbentuk tolok ukur, yang telah diidentifikasi
sebelumnya sebagai penyedia strategi alternatif untuk
manajemen risiko.
 Contoh tingkat target keamanan

BS7799 milik Inggris

BSI IT Baseline Protection Manual
COBIT
GASSP
ISF Standard of Good Practice
 Peraturan Pemerintah

Pemerintah baik di Amerika Serikat maupun Inggris telah

menentukan standar dan menetapkan peraturan yang
ditujukan untuk menanggapi masalah pentingnya
keamanan informasi yang makin meningkat, terutama
setelah peristiwa 9/11 dan semakin meluasnya internet
serta peluang terjadinya kejahatan komputer.
Beberapa diantaranya:
1. Standar Keamanan Komputer Pemerintah
Amerika Serikat.
2. Undang-Undang Antiterorisme, kejahatan, dan
keamanan Inggris (ATSCA) 2001.
 Standar Industri

The Center for Internet Security (CIS) adalah organisasi

yang didedikasikan untuk membantu para pengguna
komputer guna membuat sistem mereka lebih aman.
Bantuan diberikan melalui dua produk yaitu: CIS
Benchmark dan CSI Scoring tools.
 Sertifikasi Profesional

Mulai tahun 1960-an, profesi TI mulai menawarkan

program sertifikasi. Tiga contoh berikut mengilustrasikan
cakupan dari program-program ini.
Asosiasi Audit Sistem dan Pengendalian.
Konsorsium Sertifikasi Keamanan Sistem Informasi
Internasional.
Institut SANS.
 Meletakan Manajemen Keamanan Informasi Pada
Tempatnya

Perusahaan harus mencanangkan kebijakan

manajemen keamanan informasi sebelum menempatkan
pengendalian. Kebijakan ini dapat dibuat berdasarkan
identifikasi ancaman dan risiko ataupun berdasarkan
panduan yang diberikan oleh pemerintah dan asosiasi
industri.
 Manajemen Keberlangsungan Bisnis

Aktivitas yang ditujukan untuk menentukan operasional

setelah terjadi gangguan sistem informasi disebut
dengan manajemen keberlangsungan Bisnis ( business
continuity management-BCM). Pada tahun-tahun awal
penggunaan komputer, aktifitas ini disebut perencanaan
besar (disaster planning), namun istilah yang lebih
positif, perencanaan kontinjensi (contingency plan),
menjadi populer.
Elemen penting dalam perencanaan kontinjensi
adalah rencana kontinjensi (contingency plan), yang
merupakan dokumen tertulis formal yang
menyebutkan secara detail tindakan-tindakan yang
harus dilakukan jika terjadi gangguan,atau ancaman
gangguan pada operasi komputasi perusahaan.
 Subrencana manajemen kelangsungan bisnis yang
umum mencakup:
Rencana darurat: menyebutkan cara-cara yang akan
menjaga keamanan karyawan jika bencana terjadi.
Rencana cadangan: perusahaan mengatur agar
fasilitas komputer cadangan tersedia seandainya
fasilitas yang biasa hancur atau rusak sehingga tidak
dapat digunakan.
Rencana catatan penting: catatan penting
perusahaan adalah dokumen kertas dan media
penyimpanan yang penting untukmeneruskan bisnis
perusahaan tersebut.
Terima Kasih