Syamsu Hidayat,S.T,M.Kom
Ancaman Terhadap Keamanan Sistem
Informasi
Seiring peningkatan transaksi dan tersedianya bermacam-
macam teknik pemrosesan dengan penggunaan computer
yang memungkinkan untuk berinteraksi dengan sistem lain,
banyak perusahaan menjadi sangat tergantung dengan
komputerisasi
Perusahaan memiliki sederetan tujuan dengan diadakannya sistem informasi yang berbasis
computer didalam perusahaan. Agar tercipta sistem keamaan terhadap hardware maupun
software
Tujuan pengamanan :
Integritas (Integrity) Informasi
Kerahasiaan (Confidentiality) Informasi
Ketersediaan (Avaibility) Informasi
Tujuan Keamanan Terhadap Sistem Informasi
Integrasi : Data tidak dirubah dari aslinya oleh orang yang tidak berhak, sehingga konsistensi,
akurasi dan validitas data tersebut masih terjaga, dengan kata lain mencoba memastikan data
yang disimpan benar adanya, tidak ada pengguna yang berkepentingan atau software
berbahaya yang mengubahnya. Integrity berusaha memastikan data diproteksi dengan aman
dari ancaman yang disengaja(serangan Hacker) maupun ancaman yang tidak disengaja (mis.
Kecelakaan)
Integrity dapat dicapai dengan :
• Menerapkan strong encryption pada media penyimpanan dan transmisi data
• Menerapkan strong authentication dan validation pada setiap akses file/akun
login/action yang diterapkan . Authentication dan validation untuk menjamin legalitas
dari akses yang dilakukan
• Menerapkan acces control yang ketat ke sistem, yakni setiap akun yang ada harus
dibatasi hak aksesnya, Misal tidak semua memiliki hak akses untuk mengedit, lainnya
hanya bisa melihat saja
Tujuan Keamanan Terhadap Sistem Informasi
Kerahasiaan : Dalam hal ini adalah informasi yang kita miliki pada sistem/database kita, adalah
hal yang rahasi dan pengguna atau orang yang tidak berkepentingan tidak dapat
melihat/mengaksesnya. Atau dengan kata lain, hanya pihak yang berhak dan berwenang saja
yang dapat mengakses informasi tersebut. Untuk itu umumnya organisasi mengklasifikasikan
informasi / data untuk mencapai kerahasiaan (Confidentiality) yakni :
1. Internal use only, hanya digunakan dilingkungan internal perusahaan
2. Public, biasanya disebarkan melalui website atau media sosial perusahaan
3. Confidential (sangat rahasia), contoh data-data terkait planning,finansial, business process,
dll.
Ancaman terhadap aspek Confidentiality adalah :
1. Password Strenght (lemahnya password yang digunakan, sehingga mudah ditebak
ataupun di bruteforce)
2. Malware (masuknya virus yang dapat membuat backdoor ke sistem maupun
mengumpulkan informasi pengguna
3. Social Engineering (lemahnya security awareness pengguna dimana mudah sekali
dibohongi oleh attacker, yang biasanya adalah orang yang sudah dikenalnya
Tujuan Keamanan Terhadap Sistem Informasi
Avaibility : Memastikan sumber daya yang ada siap diakses kapanpun oleh
user/application/sistem yang membutuhkannya. Sama seperti aspek integrity, rusaknya aspek
avaibility dari sistem juga bisa diakibatkan karena faktor kesengajaan dan faktor accidental.
Faktor kesengajaan bisa dari serangan Denial of Services (DOS), malware, maupun
hacker/cracker, untuk faktor accidential bisa karena hardware failure, korsleting listrik,
kebakaran, banjir, gempa bumi dan bencana alam lainnya.
Adapun asset-asset yang dimasukan kedalam sistem informasi dapat dikategorikan sebagai
berikut :
• Personel, Misal Sistem analis, Programmer, Operatorm database administrator, spesialis
jaringan
• Hardware, Misal CPU, printer, terminal/monitor, routers,switch
• Software aplikasi, misal sistem debtors, creditors, penggajian, GL, ERP
• System software, Misal Operating System, compilers, utilities, database system
• Data, missal master file, backup file, file transaksi
• Fasilitas, missal mebel, ruang kantor, filling cabinet
• Penunjang, missal tapes, CD,DVD, disk pack,kertas, tinta printer atau pita printer
Ancaman
Ancaman adalah suatu aksi atau kejadian yang dapat merugikan perusahaan yang
mengakibatkan kerugian bisa berupa uang/biaya, tenaga upaya,kemungkinan
berbisnis(business opportunity), reputasi nama baik dan paling parah dapat membuat
organisasi pailit
Contoh : Penentuan jam kerja dari pukul 08:00 sampai pukuk 16:30 dengan waktu istirahat 30
menit, maka waktu ini harus secara disiplin dipegang. Karyawan tidak dapat mengatur jadwal
kerjanya sendiri, setiap output tugas merupakan input tugas untuk karyawan yang lain, hal ini
akan menjadi penghambat operasional dan tentunya akan merugikan organisasi
Prosedur organisasi biasanya disusun oleh pimpinan organisasi beserta pimpinan bagian
personalia yang kadangkali juga melibatkan senior manajer yang lain
Untuk kebijakan keaman sistem informasi biasanya disusun oleh pimpinan operasional beserta
pimpinan ICT (Information Communication Technology)
Konsep Dasar dari Prosedur Keamanan Informasi
Rangkaian konsep secara garis besar dan dasar dari prosedur keamanan sistem informasi adalah
1. Keamanan Sistem Informasi merupakan urusan tanggung jawab semua karyawan
Karyawan diwajibkan “melek” keamanan sistem informasi. Mereka harus mengetahui dan dapat
membayangkan dampak bila mengabaikan peraturan keamaanan, semua manager bertanggung
jawab untuk mengkomunikasikan kepada semua bawahannya mengenai pengamanan yang
dilalukan diperusahaan dan meyakinkan bahwa mereka mengetahui dan memahami semua
peraturan diperusahaan dan bagiannya
Contoh: tidak ada gunanya atau artinya apabila password untuk mengakses data dengan pertolongan
computer, diberikan kepada atau diketahui oleh pihak yang tidak berwenang. Misal menempelkan
passwordnya diatas keyboard atau monitor
Konsep Dasar dari Prosedur Keamanan Informasi
2. Penetapan pemilik sistem informasi
Alangkah berguna sekali apabila seseorang ditunjuk sebagai pemilik sistem (atau subsistem) yang
bertanggung jawab atas keamanan sistem dan data yang dipakainya. Ia berhak untuk mengajukan
permintaan diatas pengembangan sistem lebih lanjut atau pembetulan didalam sistem yang
menyangkut bagiannya
Contoh: pemilik dapat menentukan siapa saja yang dapat mengakases ke sistem informasi tertentu dan
sejauhmana wewenang otoritas yang dapat diberikan kepada yang berkepentingan, permohonan
pengaksesan ini harus dapat dijustifikasi oleh pemohon dan manajer terkait
Konsep Dasar dari Prosedur Keamanan Informasi
3. Langkah keamanan harus sesuai dengan peraturan dan undang-undang
Tergantung dari bidang yang ditekuni, perusahaan harus mematuhi undang-undang yang telah
ditetapkan yang berkaitan dengan proteksi data, computer crime, dan hak cipta
Contoh: bank yang menggunakan kompuyer harus mematuhi peraturan yang dikeluarkan oleh Bank
Sentral, misalnya untuk pengiriman uang
Konsep Dasar dari Prosedur Keamanan Informasi
4. Antisipasi terhadap kesalahan
Dengan meningkatnya proses transaksi secara online & realtime dan terkoneksi sistem jaringan
internasional, transaksi akan terlaksana hanya dalam hitungan beberapa detik dengan tidak
melibatkan manusia. Transaksi semacam ini apabila terjadi kesalahan tidak dapat langsung
diperbaiki atau akan menyita banyak waktu dan upaya untuk memperbaikinya
Antisipasi dan pencegahan dengan tindakan kemanan yang ketat akan memberikan
garansi atas integritas, kelanjutan dan kerahasian transaksi yang terjadi serta meyakinkan
untuk proses audit
Contoh: transaksi semacam ini biasanya terjadi pada perbankan misalnya pemindahan dana melalui
ATM (Automated Teller Machine/ Anjungan Tunai Mandiri). Apabila dibandingkan dengan misalnya
pemesanan barang yang tidak langsung dikirim, kesalahan pemesanan masih dapat dikoreksi misal
dengan telepon yang akan ditindaklanjuti dengan konfirmasi secara tertulis
Konsep Dasar dari Prosedur Keamanan Informasi
5. Pengaksesan ke dalam sistem harus berdasarkan fungsi
User harus dapat meyakinkan kebutuhannnya untuk mengakses ke sistem sesuai dengan prinsip
“Need to Know”. Pemilih sistem harus bertanggungjawab atas pemberian akses ini
Contoh: untuk pemrosesan sistem penggajian, personel bagian terkait, tidak diperbolehkan untuk
mengakses data hasil penjualan dari setiap pesonel bagian pemasaran. Atau tidak semua personel
bagian personalia diperbolehkan untuk memiliki akses ke dara penggajian karyawan
Konsep Dasar dari Prosedur Keamanan Informasi
6. Hanya data bisnis yang ditekuni perusahaan yang diperbolehkan
Sistem computer milik perusahaan beserta jaringannya hanya diperbolehkan untuk dipakai demi
kepentingan bisnis perusahaan. Data perusahaan hanya diperbolehkan dipakai untuk bisnis
perusahaan dan pemilik sistem bertanggung jawab penuh atas pemberian pengaksesan terhadap
data tersebut
Contoh: data atau informasi mengenai penjualan tidak diperkenankan untuk disebarluaskan kepada yang
tidak berkepentingan
Konsep Dasar dari Prosedur Keamanan Informasi
7. Pekerjaan yang dilakukan oleh pihak ketiga
Apabila pihak ketiga melakukan pekerjaan yang tidak dapat ditangani oleh perusahan, maka
perusahaan harus dilindungi oleh keamanan atas informasi perusahaan . Didalam kontrak harus
didefinisikan agar pihak ketiga mematuhi peraturan dan keamanan sistem informasi perusahaan.
Manajemen harus bertanggung jawab agar pihak ketiga mematuhi dan mengikuti peraturan keamanan
yang telah dirumuskan
Contoh:apabila pengembangan sistem informasi dilakukan oleh pihak ketiga / software house, sudah
tentu pada ujicoba akhir harus memakai data yang sesungguhnya. Data ini tidak diperbolehkan oleh pihak
ketiga di-copy dan disebarluaskan atau output baik yang berbentuk hardcopy maupun softcopy dipakai
sebagai contoh untuk perusahaan lain apalagi untuk pesaing
Konsep Dasar dari Prosedur Keamanan Informasi
8. Pemisahan aktivitas antara pengembang sistem, pengoperasian sistem dan pemakai akhir sistem
informasi
Untuk menjaga kestabolan sistem informasi dilingkungan perusahaan, dianjurkan agar diadakan
pemisahan secara fungsional antara pengembang sistem, pengoperasian sistem harian dan pemakai
akhir. Untuk mencapai tujuan ini,pihak ICTterutama bagian pengembangan sistem tidakdibenarkan
apabila ia menangani administrasi yang menyangkut keamanan sistem. Tugas ini agar diberikan kepada
bagian tersendiri yang disebut System Administrator yang secara organisasi struktur tidak dibawah ICT
Konsep Dasar dari Prosedur Keamanan Informasi
9. Implementasi Sistem baru atau permintaan perubahan terhadap sistem yang sudah ada harus
melalui pengontrolan yang ketat melalui prosedur sistem akseptasi dan permintaan perubahan
(Change Request)
Perubahan terhadap sistem informasi harus melalui prosedur yang berlaku utuk pengembagan dan
implementasi sistem baru , setiap permintaan perubahan program harus disertai alasan yang kuat serta
keuntungan yang ia akan dapatkan dan pemohon harus dapat meyakini manajer terkait dan pemilik
sistem mengenai perubahan ini
Contoh:tidak dibenarkan apabila pemakai secara individu meminta perubahan terhadap sistem dengan
tidak sepengetahuan dari pemilik sistem. Dalam praktiknya hal ini sangat sering terjadi. Semua
perubahan harus melalui prosedur change request, sehingga ICT memiliki dokumentasi dan bukti lengkap
untuk menghindari permasalahan dikemudian hari. Pihak ICT harus dapat dengan tegas menolak
permintaan user apabila permintaan tidak disertai dengan change request
Konsep Dasar dari Prosedur Keamanan Informasi
10. Sistem yang akan dikembangkan harus sesuai dengan standar metode pengembangan sistem yang
diemban oleh organisasi
Sistem yang akan dibangun harus memakai bahasa pemrograman yang telah ditetapkan. Tidak
dibenarkan apabila programmer membutannya dengan bermacam-macam bahasa pemrograman.
Begitu pula dengan sistem database yang digunakan, harus memiliki keseragaman. Patut
dipertimbangkan semua resiko keamaanan bersama penanggulangannya dalam sistem. Sebelum
sistem aplikasi diimplementasikan, pemilik sistem harus mengevaluasi dan menilai keandalan
keamanan didalam aplikasi tersebut
Konsep Dasar dari Prosedur Keamanan Informasi
11. Pemakai bertanggung jawab penuh atas semua aktivitas yang dilakukan dengan memakai kode
identitasnya (user-id)
Semua pemakai harus berhati-hati menyimpan password User-Idnya. Semua aktivitas yang
dilakukan dengan ID ini akan terekam di dalam audit trail. Pemakai tidak dapat memungkiri bukti ini,
apabila terjadi kesalahan fatal yang mengakibtkan kerugian terhadap perusahaan. Kesalahan beserta
bukti ini dapat mengakibatkan peringatan atau pemutusan hubungan kerja terhadap pemilik User-id ini
Mengapa Butuh Strategi Keamanan Sistem
Informasi
Keamanan Sistem Informasi
Dengan munculnya computer dilingkungan organisasi, asset perusahaan akan bertambah sehingga
diperlukan pemikiran untuk melindunginya merupakan sebuah keharusan atau kewajiban
Integritas, kerahasiaan, dan ketersediaan informasi menjadi penting apabila perusahaan masih tetap ingin
berkompetisi didalam dunia bisnis
Prinsip kedua , Kerahasiaan (confidentiality) informasi. Menurut ISO 17799, kerahasiaan adalah
memastikan informasi hanya dapat diakses oleh orang yang berwenang , atau bagi orang yang memiliki
otoritas. Untuk menjaga kerahasiaan , informasi yang bersifat rahasia harus tetap dilindungi. Apapun
alasannya informasi ini hanya diperuntukkan untuk orang-orang tertentu. Bagaimana perasaaan nasabah
Bank apabil informasi data perbankannya dapat diketahui oleh orang lain , atau bagaimana perasaan
seorang karyawan apabila semua rekan kerjanya mengetahui gaji yang ia terima
Keamanan Sistem Informasi
Prinsip ketiga, adalah ketersediaan (avaibility) informasi. ISO 17799 mendefinisikan ketersediaan
sebagai kepastian tersediannya informasi pada saaat yang dibutuhkan oleh orang yang memiliki
wewenang untuk mengetahuinnya atau mengakses data. Tampaknya sangat gampang namun banyak
faktir yang dapat mengganggunya. Beberapa faktor yang dapat dikemukanan misalanya kerusakan
hardware, user yang jahat (malicious users) . Penyusup dari luar perusahaan yang berusahana
mengahancurkan data perusahaan, virusn dan sebagainya.
ISO 17799
Diatas telah dibahas mengenai ISO 17799, dan sekarang jadi pertanyaan apa itu ISO 17799, ISO 17799
adalah standard keamanan sistem informasi yang diakui dunia dan disahkan pada tahun 2000, dimana ia
mengalami revisi pada tahun 2005 (ISO/IEC 17799 2005 yang juga disebut ISO/IEC 27002 2005)
Manfaat ISO 17799
Keuntungan yang dapat diambil dari standarisasi ini antara lain metodologi yang terstruktur dan telah
diakui oleh dunia internasional. Proses terdefinisikan dengan baik, kebijakan, dan prosedur dapat
disesuaikan dengan kondisi organisasi dan lain-lain
6. Personnel Security, adalah dengan mengurangi resiko kesalahan orang, kecurangan atau
penyalahgunaan fasilitas. Memastikan agars Users menyadari kemungkinan ancaman yang akan
terjadi terhadap keamanan sistem informasi serta membekali mereka dengan peraturan keamanan
sistem informasi dalam melaksanakan tugas mereka
10. Security Policy, tujuannya memberikan arahan dan bantuan kepada manajemen mengenai keamanan
sistem informasi
Dampak Pemanfaatan Komputer
Dampak dari penggunaan computer yang merupakan alat bantu di dunia bisnis demi meningkatkan
efisiensi dalam hal pemberian informasi yang lebih cepat dan akurat, telah menciptakan masalah
tambahan untuk pemeriksaan dan pengontrolan, yang sebelumnya belum pernah ada atau terpikirkan
1. Sentralisasi data
sebelum zaman computer, masing-masing department bertanggung jawab sendiri atas masing-
masing informasi yang masih berupa kertas-kertas akan disimpan kedalam lemari arsip atau lebih
parah lagi disimpan didalam laci masing-masing karyawan yang menanganinya
Saat ini data karyawan telah berupa dokumen digital disimpan dikomputer departem/pusat computer.
Namun ada juga departemen yang telah memiliki sistem sendiri dan menyimpan datanya didalam
sistem computer departemen terkait. Apabila pada saat itu setiap departemen memiliki sistem yang
berdiri sendri, maka akan sulit untuk mengintegrasi data mereka kedalam satu sistem terpadu, yang
mengakibatkan terjadinya redundansi data
2. Pengaksesan data
Dengan kemajuan teknologi informasi , semua informasi dapat diakses oleh karyawan organisasi yang
bersangkutan (tergantung kewenangan) dengan memanfaatkan terminal-terminal didalam jaringan
organisasi tersebut. Oleh karena itu pengontrolan akses terhadap informasi perusahaan sekarang
merupakan suatu pekerjaan sendiri dan sangat rumit
Dampak Pemanfaatan Komputer
3. Pemisahan tugas/segregation of duties
Pemisahan tugas dan tanggung jawab yang secara tradisional tidak dapat diterapkan dan
diimplementasikan lagi , sehingga pemisahan tugas dan tanggung jawab merupakan pekerjaan yang
tidak mudah