Bab 5 Hopwood

Keamanan Sistem Informasi
Bab 5
 2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6-1
Tinjauan Sekilas
 Sistim keamanan informasi adalah

subsistem organisasi yang mengendalikan
risiko-risiko khusus yang berhubungan
dengan sistim informasi berbasis-komputer
 Sistim keamanan komputer mempunyai
unsur-unsur dasar setiap sistem informasi,
seperti perangkat keras, database, prosedur-
prosedur, dan laporan-laporan.
Hasil Sasaran Belajar
1 Mampu menguraikan pendekatan umum

untuk menganalisis kerawanan dan
ancaman-ancaman di dalam sistim
informasi.
2 Mampu mengidentifikasi ancaman-
ancaman pasif dan aktif sistem informasi .
Hasil Sasaran Belajar
3 Mampu mengidentifikasi aspek kunci sistim

keamanan informasi .
4 Mampu membahas kontingensi
perencanaan dan praktek pengelolaan risiko
bencana lainnya.
Sasaran Belajar 1
Mampu menguraikan pendekatan umum

untuk menganalisis kerawanan dan
ancaman-ancaman di dalam sistim
informasi
Daur hidup Sistim Sekuritas
Informasi
 Sistem keamanan komputer dikembangkan
dengan menerapkan metoda-metoda yang
telah mapan yang terdiri dari : analisis
sistem; desain; implementasi; dan operasi,
evaluasi, serta kendali.
Siklus Hidup Sistem Keamanan
Informasi
Fase Siklus Hidup Sasaran
Analisis Sistem Analisis kerentanan sistem
informasi terutama yang
berhubungan dengan hambatan
dan kerugian yang mungkin
timbul.
Perancangan Sistem Perancangan pengukuran
keamanan dan rencana
kontigensi untuk mengatasi
kerugian.
Siklus Hidup Sistem Keamanan
Informasi
Fase Siklus Hidup Sasaran
Implementasi Sistem Implementasi ukuran

keamanan seperti rancangan
Operasi, evaluasi, Operasi sistem dan

dan pengendalian penilaian efektifitas dan
sistem efisiensinya.
Perubahan sesuai dengan
kondisi yang dibutuhkan.
Sistim Keamanan Informasi di
dalam Organisasi
 Sistim keamanan informasi harus diatur oleh
seorang kepala petugas keamanan (Chief
Security Officer).
 Untuk menjaga independensinya, CSO harus
bertanggungjawab secara langsung kepada
dewan direktur.
 Laporan-laporan CSO harus meliputi semua
tahap siklus daur hidup.
Analisa Kerentanan dan
Ancaman
 Ada dua pendekatan dasar yang dipakai
untuk meneliti kerentanan dan ancaman-
ancaman sistem informasi:
1. Pendekatan kwantitatif untuk penaksiran
risiko
2. Pendekatan kwalitatif
 2001 Prentice Hall Business Publishing, Accounting Information Systems, 8/E, Bodnar/Hopwood 6 - 10
Ancaman
 Di dalam pendekatan kwantitatif untuk
penaksiran risiko, setiap kemungkinan
kerugian dihitung sesuai hasil biaya
kerugian perorangan dikalikan dengan
kemungkinan munculnya.
 Terdapat beberapa kesulitan di dalam
menerapkan pendekatan kwantitatif untuk
menaksir kerugian.
Ancaman
1. Kesulitan mengidentifikasi biaya relevan

per kerugian dan kemungkinan-
kemungkinan yang terkait.
2. Kesulitan menaksir kemungkinan dari
suatu kegagalan yang memerlukan
peramalan masa depan.
Ancaman
 Pendekatan kwalitatif untuk penaksiran risiko
dilakukan dengan mengurutkan kerentanan dan
ancaman sistim, dan menyusun secara subyektif
menurut sumbangan mereka terhadap
kemungkinan total kerugian perusahaan.
 Terlepas metoda yang digunakan, setiap analisa
harus mencakup kemungkinan kerugian untuk
masalah berikut ini:
Ancaman
1. gangguan bisnis
2. kehilangan perangkat lunak
3. kehilangan data
4. kehilangan perangkat keras
5. kehilangan fasilitas-fasilitas
6. kehilangan layanan dan pegawai.
Sasaran Belajar 2
Identifikasi ancaman-ancaman pasif dan

aktif sistim informasi .
Kerentanan dan Ancaman
 Apa yang dimaksud dengan kerentanan?

 Kerentanan adalah suatu kelemahan di
suatu sistem.
 Apa yang dimaksud dengan ancaman?

 Ancaman adalah suatu eksploitasi potensial
kerentanan sistem.
 Dua kategori ancaman sistem:

1. Ancaman-ancaman aktif
2. Ancaman-ancaman pasif
 Contoh ancaman aktif adalah penipuan

komputer dan sabotase komputer.
 Contoh ancaman pasif adalah sistim
bermasalah, seperti karena bencana alam.
Sistem bermasalah juga karena kegagalan-
kegagalan peralatan dan komponen.
Individu yang Menimbulkan
Ancaman Sistem Informasi
 Suatu serangan yang sukses di satu sistem
informasi memerlukan akses ke perangkat
keras, file data sensitip, atau program kritis.
 Tiga kategori individu yang bisa
menimbulkan serangan ke sistem informasi:
1. Karyawan sistim informasi
2. Para pemakai
3. Pengganggu
 Karyawan sistim informasi meliputi:
1. Karyawan pemeliharaan komputer
2. Programmer
3. Operator komputer dan jaringan
4. Karyawan administrasi sistim informasi
5. Karyawan pengendalian data
 Para pemakai terdiri dari kelompok orang
yang beragam dan satu sama lain dapat
dibedakan berdasarkan kegiatan fungsional
mereka tanpa memandang pengolahan data.
 Pengganggu adalah setiap orang yang
mengakses peralatan, data elektronik, atau
memfile tanpa otorisasi yang tepat.
 Siapakah hacker?
 Hacker adalah seorang pengganggu yang
menyerang suatu sistim untuk iseng dan
tantangan.
 Jenis-jenis lain dari pengganggu-
pengganggu?
• unnoticed intruders
• wiretappers
• piggybackers
• impersonating intruders
• eavesdroppers
Ancaman-ancaman Aktif
Sistim Informasi
 Metoda-metoda yang biasa dipakai untuk
melakukan penipuan sistim informasi :
• manipulasi masukan
• gangguan program
• gangguan file secara langsung
• pencurian data
• sabotase
• penggelapan atau pencurian sumber daya informasi
Sistim Informasi
 Dalam banyak kasus penipuan komputer,

manipulasi masukan adalah metoda yang
paling banyak digunakan.
 Metoda ini memerlukan paling sedikit
kecakapan teknis .
Sistim Informasi
 Gangguan program barangkali metoda yang
paling sedikit digunakan untuk melakukan
penipuan komputer.
 Metoda ini memerlukan ketrampilan-
ketrampilan programming yang hanya
dikuasai hanya oleh beberapa orang.
 Apa yang dimaksud trapdoor?
Sistim Informasi
 Trapdoor adalah suatu bagian program
komputer yang mengizinkan (membiarkan)
seseorang untuk mengakses program dengan
melewati pengamanan normal program tersebut.
 Gangguan file secara langsung terjadi ketika
seseorang menemukan jalan untuk membypass
proses normal untuk pemasukan data ke
program komputer.
Sistim Informasi
 Pencurian data adalah masalah yang serius di
dalam bisnis sekarang ini.
 Di dalam industri yang sangat kompetitif,
informasi kwalitatif dan kwantitatif tentang
pesaing nya terus menerus dicari.
 Sabotase komputer adalah suatu bahaya yang
sangat serius bagi semua sistem informasi.
Sistim Informasi
 Karyawan yang tidak puas, bisa menjadi
para pelaku sabotase sistem komputer.
 Beberapa metoda dari sabotase:
• Logic bomb
• Trojan horse
• virus program virus
Sistim Informasi
 Apa yang dimaksud Worm?

 Worm adalah suatu jenis dari virus komputer yang
menyebar dengan sendirinya di atas suatu jaringan
komputer.
 Salah satu jenis penggelapan sumber daya

komputer adalah ketika penggunaan sumber daya
komputer-komputer perusahaan digunakan
karyawan untuk urusan bisnis mereka sendiri.
Sasaran Belajar 3
Identifikasi aspek kunci dari suatu sistim

keamanan informasi.
Sistim Keamanan Informasi
 Pengendalian ancaman-ancaman dapat

tercapai dengan menerapkan pengukuran
keamanan dan rencana darurat.
 Pengukuran keamanan berfokus pada
pencegahan dan pendeteksian ancaman-
ancaman.
 Rencana kontingensi berfokus pada
perbaikan dampak dari ancaman-ancaman.
Lingkungan Kendali
 Lingkungan Pengendalian adalah dasar

efektivitas keseluruhan sistem pengendalian.
 Lingkungan pengendalian bergantung pada
faktor-faktor berikut:
1 Filosofi dan Gaya Operasi Manajemen
• Pertama dan aktivitas yang paling penting di
dalam keamanan sistem adalah menciptakan
moril yang tinggi.
Lingkungan Pengendalian
• Semua karyawan perlu menerima pendidikan di

mengenai masalah keamanan.
• Aturan keamanan harus dimonitor.
2 Struktur Organisasi
• Dalam banyak organisasi, akuntansi, komputasi, dan
pengolahan semuanya diorganisir di bawah chief
information officer (CIO).
• Di dalam lini organisasi harus ditentukan siapa

yang bertanggung jawab atas pembuatan
keputusan yang secara langsung bersinggungan
kepada perangkat lunak akuntansi dan prosedur
akuntansi.
3 Dewan Komisaris dan Komite-komitenya
• Dewan Komisaris harus menugaskan suatu
komite audit .
• Komite ini harus menugaskan atau menyetujui

janji temu dari suatu pemeriksa intern.
4 Metoda-metoda Penugasan Otoritas dan
Tanggung jawab
• Tanggung-jawab semua posisi harus
didokumentasikan secara hati-hati dengan
menggunakan bagan struktur organisasi,
manual-manual kebijakan, dan diskripsi tugas .
5 Aktivitas Pengendalian Manajemen

• Pengendalian harus dibentuk terutama yang
bersinggungan kepada penggunaan dan
tanggung-jawab semua sumber daya yang
berkenaan dengan komputer dan sistem
informasi.
• Harus ditetapkan anggaran-anggaran:
• pengadaan peralatan dan perangkat lunak,
• biaya operasi, dan

• pemakaian.
• Di dalam ketiga kategori tersebut, biaya yang
sebenarnya harus dibandingkan dengan jumlah
yang dianggarkan.
• Perbedaan yang signifikan harus diselidiki .
6 Fungsi Internal Audit

• Sistim keamanan komputer harus terus menerus
teraudit dan dimodifikasi untuk memenuhi
kebutuhan perubahan.
• Semua modifikasi sistim itu harus diterapkan
sesuai kebijakan-kebijakan keamanan yang
telah ditentukan.
7 Kebijakan dan Praktek-praktek

Kepegawaian
• Pemisahan tugas, pengawasan yang cukup,
rotasi pekerjaan, liburan-liburan yang
dipaksakan, dan cek sekali lagi semuanya.
Pengaruh dari Luar

 Sistem informasi perusahaan harus sesuai
dan memenuhi semua hukum dan
peraturan-peraturan pemerintah dan negara.
Pengendalian Ancaman-
ancaman Aktif
 Cara utama untuk mencegah penggelapan
dan sabotase adalah menerapkan jenjang
memadai pada pengendalian akses.
 Tiga jenjang pengendalian akses:
1. Site-access controls
2. System-access controls
3. File-access controls
ancaman Aktif
1 Site-Access Controls
 Tujuan pengendalian akses fisik adalah
untuk memisahkan secara fisik, individu
yang tidak memiliki otorisasi dari
sumberdaya komputer yang ada.
 Pemisahan fisik ini harus diterapkan pada
perangkat keras, area masukan, keluaran dan
librari data, dan kabel kabel komunikasi
ancaman Aktif
 Seluruh pemakai diharuskan menggunakan
kartu identitas keamanan.
 Tempat pengolahan data harus berada
dalam gedung tertutup yang dikelilingi
pagar.
 Suatu sistim masukan sangat tegas harus
digunakan.
ancaman Aktif
TV Telephone Locked Door

Monitor
Locked Door
(opened from
inside vault) LOBBY
Service
Locked Door
Window
(entrance)
Intercom Data
to vault Archives
Magnet
Scanner Detector INNER
VAULT
ancaman Aktif
2 System-Access Controls
• Pengendalian akses sistem adalah pengendalian
yang berbentuk perangkat lunak, yang
dirancang untuk mencegah pemanfaatan sistem
oleh orang yang tidak berhak.
• Pengendali ini membuktikan keaslian pemakai
dengan ID pemakai, kata sandi, alamat protokol
internet, dan alat-alat perangkat keras.
ancaman Aktif
3 File-Access Controls
 Pengendalian akses file mencegah akses
yang tidak sah ke file data dan file-file
program.
 Pengendalian akses file paling pokok adalah
penetapan petunjuk otorisasi dan prosedur-
prosedur untuk mengakses dan mengubah
file-file.
ancaman Pasif
 Ancaman-ancaman pasif termasuk
permasalahan kegagalan tenaga dan
perangkat keras.
 Pengendalian untuk ancaman pasif dapat
bersifat preventif atau korektif.
 Pengendalian Preventive
• Sistem Toleransi Kesalahan menggunakan
pemonitoran dan pencadangan.
ancaman Pasif
• Jika salah satu bagian sistem gagal, bagian
cadangan akan segera mengambil alih dan
sistem akan melanjutkan operasi dengan sedikit
atau tanpa interupsi.
2 Corrective Controls
• File backup digunakan untuk memperbaiki
kesalahan.
ancaman Pasif
 Tiga tipe backup:
1 Full backups
2 Incremental backups
3 Differential backups
Sasaran Belajar 4
Diskusikan perencanaan kontingensi dan

praktek manajemen resiko bencana lain.
Manajemen Resiko Bencana
 Manajemen resiko bencana sangat penting

untuk memastikan kesinambungan operasi
dalam hal terjadi suatu bencana.
 Manajemen resiko bencana berhubungan
dengan pencegahan dan perencanaan
kontingensi.
 Pencegahan bencana merupakan langkah
awal dalam managemen resiko bencana.
 Hasil penelitian menunjukkan frekwensi

bencana dari berbagai sebab:
• Bencana alam 30%
• Tindakan yang disengaja 45%
• Kesalahan manusia 25%
 Data ini menunjukkan bahwa prosentase
besar dari bencana-bencana itu dapat
dikurangi atau dihindarkan.
 Rencana pemulihan bencana harus

diterapkan di tingkatan yang paling tinggi
di perusahaan.
 Langkah pertama untuk mengembangkan
rencana pemulihan bencana harus
memperoleh dukungan dari manager senior
dan menyiapkan suatu komite perencanaan.
 Perancangan rencana pemulihan bencana

meliputi tiga komponen utama:
1. Menilai kebutuhan-kebutuhan penting
perusahaan.
2. Membuat daftar prioritas daftar pemulihan.
3. Menetetapkan strategi dan prosedur
pemulihan.
 Rancangan strategi pemulihan perlu

mempertimbangkan hal-hal:
• pusat respons darurat
• prosedur-prosedur ekskalasi dan perubahan
pelaksanaan pemrosesan
• rencana relokasi dan penggantian pegawai
• rencana penyediaan cadangan, dan rencana
pengujian dan pemeliharaan sistim.
Terima Kasih

Bab 5 Hopwood

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Bab 5 Hopwood

Diunggah oleh

Hak Cipta:

Format Tersedia

Keamanan Sistem Informasi

 Sistim keamanan informasi adalah

1 Mampu menguraikan pendekatan umum

3 Mampu mengidentifikasi aspek kunci sistim

Mampu menguraikan pendekatan umum

Implementasi Sistem Implementasi ukuran

Operasi, evaluasi, Operasi sistem dan

1. Kesulitan mengidentifikasi biaya relevan

Identifikasi ancaman-ancaman pasif dan

 Apa yang dimaksud dengan kerentanan?

 Apa yang dimaksud dengan ancaman?

 Dua kategori ancaman sistem:

 Contoh ancaman aktif adalah penipuan

 Dalam banyak kasus penipuan komputer,

 Apa yang dimaksud Worm?

 Salah satu jenis penggelapan sumber daya

Identifikasi aspek kunci dari suatu sistim

 Pengendalian ancaman-ancaman dapat

 Lingkungan Pengendalian adalah dasar

• Semua karyawan perlu menerima pendidikan di

• Di dalam lini organisasi harus ditentukan siapa

• Komite ini harus menugaskan atau menyetujui

5 Aktivitas Pengendalian Manajemen

• biaya operasi, dan

6 Fungsi Internal Audit

7 Kebijakan dan Praktek-praktek

Pengaruh dari Luar

TV Telephone Locked Door

Diskusikan perencanaan kontingensi dan

 Manajemen resiko bencana sangat penting

 Hasil penelitian menunjukkan frekwensi

 Rencana pemulihan bencana harus

 Perancangan rencana pemulihan bencana

 Rancangan strategi pemulihan perlu

Anda mungkin juga menyukai