SISTEM INFORMASI

MANAJEMEN

Kelompok 4
1. ATHIKA INTAQURI
(170221100005)
2. MITHA DWI WULANDARI
(170221100101)
3. MOH. SYARIFUDDIN
(170221100107)
4. LATIFATUN NADHIFAH
(170221100118)
“Keamanan” Informasi (Information Security)
11.1. Kebutuhan Organisasi akan Keamanan dan pengendalian
11.1.1. Keamanan Informasi
11.1.2. Manajemen Keamanan Informasi: “Threats”, “Risks”
11.1.3. Keamanan dalam E-Commerce
11.1.4. “Cyber Crime”
11.1.5. Manajemen Resiko
11.1.6. Kebijakan Keamanan dalam Informasi
11.2. Pengendalian
11.2.1. Pengendalian Teknis
11.2.2. Pengendalian formal dan informal
11.3. Pengaruh Keamanan Informasi pada Pemerintah dan Industri : terkait
standar dan atau peraturan yang berlaku.
11.1. Kebutuhan Organisasi akan Keamanan
dan pengendalian
Sistem komputer pertama hanya memiliki sedikit perlindungan
keamanan, namun hal ini berubah pada saat perang Vietnam ketika
jumlah instalasi komputer di rusak oleh para pemrotes.
Terdapat dua isu ketika pencegahan federal di implementasikan :
Keamanan versus hak-hak
1 individu

2 Keamanan versus ketersediaan

Mc. Leod & Schell, edisi 10, 2009 : 269-270

 11.1.1. Keamanan Informasi

Keamanan informasi digunakan untuk mendeskripsikan

perlindungan baik peralatan komputer dan non
komputer, fasilitas data dan informasi dari
penyalahgunaan pihak-pihak yang tidak berwenang

Mencakup peralatan seperti mesin foto copy dan

mesin faks serta semua jenis media termasuk
dokumen kertas

Mc. Leod & Schell, edisi 10, 2009 : 269-270

 Tujuan keamanan informasi
Kerahasiaan
• Melindungi data dan informasinya dari pengungkapan kepada orang-orang yang
tidak berwenang
• Sistem informasi eksekutif, sistem informasi SDM, dan sistem pemprosesan
transaksi
ketersediaan
• Menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki
wewenang untuk menggunakannya
• Sistem berorientasi infomasi seperti sistem informasi SDM dan sistem informasi
eksekutif
Integritas
• Semua sistem memberikan representasi akurat atas sistem fisik yang di
representasikannya

Mc. Leod & Schell, edisi 10, 2009 : 270 - 271

Manajemen Keamanan Informasi
Dimana manajemen tidak hanya diharapkan untuk menjaga agar
sumber daya informasi aman, dan juga dihapkan untuk menjaga
perusahaan agar tetap berfungsi setelah suatu bencana atau jebolnya
sistem keamaan dimana aktivitas untuk menjaga sumber daya informsasi
tetap aman yaitu disebut Manajemen Keamanan Informasi
(information security management-ISM).
Istilah corporate information systems security officer (CISSO)
telah digunakan untuk orang yang berada di organisasi yang bertanggung
jawab pada sistem keamanan informasi perusahaan.
Saat ini ada istilah baru yaitu corporate information assurance
officer (CIAO) yang melaporkan kepada CEO dan mengatur suatu unit
jaminan informasi

Mc. Leod & Schell, edisi 10, 2009 : 271

 11.1.2. Manajemen Keamanan Informasi “Threats”,
“Risks”
ISM terdiri dari empat langkah:
1. Identifikasi threats (ancaman) yang dapat menyerang sumber daya
informasi perusahaan.
2. Mendefinisikan resiko yang dapat disebabkan oleh ancaman-ancaman
tersebut.
3. Menentukan kebijakan keamanan informasi.
4. Mengimplementasikan pengendalian untuk mengatasi risiko-risiko
tersebut.

Mc. Leod & Schell, edisi 10, 2009 : 271

• Ancaman menghasilkan risiko, yang harus dikendalikan yaitu disebut dengan
istilah manajemen risiko (risk management) yang dibuat untuk menggambarkan
pendekatan dimana tingkat keamanan sumber daya informasi perusahaan
dibangdingkan dengan risiko yang dihadapinya.
• Tolak ukur keamanan informasi (information security benchmark) adalah tingkat
keamanan yang disarankan yang dalam keadaan normal harus menawarkan
perlindungan yang cukup terhadap gangguan yang tidak terotorisasi.

Mc. Leod & Schell, edisi 10, 2009 : 271

Strategi Manajemen Keamanan Informasi (ISM)

Mc. Leod & Schell, edisi 10, 2009 : 272

Ancaman
• Ancaman keamanan informasi (information
security threat) adalah seseorang, organisasi,
mekanisme, atau peristiwa yang dapat berpotensi
menimbulkan kejahatan pada sumber daya
informasi perusahaan.
• Ancaman-ancaman tersebut yaitu sebagai berikut :
1. Ancaman Internal dan External.
2. Disengaja dan tidak disengaja.

Mc. Leod & Schell, edisi 10, 2009 : 272

Mc. Leod & Schell, edisi 10, 2009 : 273
Ancaman internal dan eksternal
Ancaman internal mencakup tidak hanya karyawan perusahaan,
tetapi juga pekerja temporer, konsultan, kontraktor dan bahkan mitra
bisnis perusahaan . Tetapi ancaman internal diperkirakan
menghasilkan kerusakan lebih serius dibandingkan dengan ancaman
eksternal karna, pengetahuan ancaman internal yang lebih mendalam
akan sistem tersebut.
Tindakan kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang
dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan,
yang disebabkan oleh orang-orang di dalam ataupun diluar perusahaan.

Mc. Leod & Schell, edisi 10, 2009 : 273

Risiko
Risiko keanaman information (information security risk) didefinisikan
sebagai potensi output yang tidak diharapkan dari pelanggaran
keamanan informasi oleh ancaman keamanan informasi.
Risiko risiko seperti ini dibagi menjadi empat jenis :
1. Pengungkapan informasi yang tidak terotoritas dan pencurian.
2. Penggunaan yang tidak terotoritas.
3. Penghancuran yang tidak terotoritas dan penolakan layanan.
4. Modifikasi yang tidak terotoritas.

Mc. Leod & Schell, edisi 10, 2009 : 274-275

 11.1.3. Keamanan dalam E-Commerce
E-commerce (perdagangan elektronik) telah
memeperkenalkan suatu permasalahan keamanan baru.
Masalah ini bukanlah perlindungan data, informasi, dan
piranti lunak, tapi perlindungan dari pemalsuan kartu kredit.
1. Kartu kredit
“Sekali Pakai”
Kartu kredit pakai ini bekerja sebagai berikut: saat pemegang kartu
ingin membeli suatu secara online, ia akan memperoleh angka yang
acak dari situs web perusahaan kartu kredit .. Angka inilah, dan
bukannya nomor kartu kredit pelanggan tersebut, yang diberikan
kepada pedagang e-commerce yang kemudian melaporkannya
keperusahaan kartu kredit untuk pembayaran

Mc. Leod & Schell, edisi 10, 2009 : 275

2. Praktik keamanan yang diwajibkan oleh visa

10 praktik keamanan peluncuran kartu sekali pakai American Express

a. Memasang dan memelihara firewall
b. Memperbarui keamanan
c. Melakukan enkripsi pada data yang disimpan
d. Melakukan enkripsi pada data yang dikirimkan
e. Menggunakan dan memperbarui peranti anti firus
f. Membatasi akses data kepada orang-orang yang ingin tahu memberikan
g. ID unik kepada setiap orang yang memliki kemudahan pengakses data

Mc. Leod & Schell, edisi 10, 2009 : 276

 11.1.4. “Cyber Crime”

Kejahatan komputer, anacaman yang semakin meningkat bagi

masyarakat, disebabkan oleh tindakan kriminal atau tidak bertanggung
jawab dari individu yang mengambil keuntungan dari meluasnya
penggunaan dan kerentangan konputer dan internet serta jaringan
lainnya.
kejahatan komputer juga merupakan anacaman serius bagi integritas,
keselamatan, dan kelangsungan hidup sebagaian besar system bisnis dan
dengan demikian menjadikan pengembangan metode keamanan yang
efektif sebagai prioritas utama.

O’Brien dan Marakas, Edisi 14, 2010: 460

Hacking and Cracking
Peretasan komputer adalah penggunaan komputer secara obsesif atau akses tidak sah dalam
penggunaan system jaringan komputer untuk mencuri atau merusak data dan program. Peretas
dapat memonitor surel, akses server web, atau transfer file untuk mengekstrak kata sandi,
mencuri file jaringan, atau menanam data yang akan menyebabkan system menyambut
penyusup.
Cyber Theft
Kejahatan computer melibatkan pencurian uang. Ruang lingkup kerugian finansial seperti itu
jauh lebih besar daripada insiden yang dilaporkan.
Cyberterrorism
Meningkatkan komputer dan informasi orbanisasi atau pemerintah, terutama melalui internet,
untuk menyebabkan kerusakan fisik, dunia nayat, atau gangguan infrastruktur yang parah.

O’Brien dan Marakas, Edisi 14, 2010: 461-464

Unauthorized Use at Work (pengunaan Tidak di Tempat Kerja)
Penggunaan ini dapat berupa melakukan konsultasi pribadi atau keuangan pribadi hingga bermain
video game dan penggunaan internet tanpa izin pada jaringan perusahaan. Perangkat lunak pemantauan
jaringan, yang disebut sniffer, sering digunakan untuk memantau lalu lintas jaringan untuk
mengevaluasi kapasitas jaringan, serta untuk mengungkapkan bukti penggunaan yang tidak tepat.
Software Piracy (Pembajakan Perangkat Lunak)
Penyalinan perangkat lunak yang tidak sah, atau pembajakan perangkat lunak, juga merupakan bentuk
utama pencurian perangkat lunak. Menyalin tanpa izin adalah legal, karena perangkat lunak adalah
kekayaan intelektual yang dilindungi oleh undang-undang hak cipta dan perjanjian lisensi pengguna.
Theft of Intelectual Property
Pencurian kekayaan intelektual lainnya terjadi dalam benyuk pelanggaran materi yang dilindungi hak
cipta, seperti music, video, artikel, dan karya tulis lainnya, yang oleh sebagian besar pengadilan
dianggap illegal.

O’Brien dan Marakas, Edisi 14, 2010: 465-467

Computer Viruses and Worms
Virus adalah istilah lebih popular, tetapi secara teknis, virus adalah kode program yang
tidak dapat berfungsi tanpa dimasukkan ke dalam program lain. Worm adalah program
berbeda yang dapat dijalankan tanpa bantuan.
Adware and Sptyware
Adware adalah perangkat lunak yang, sementara dimaksudkan untuk melayani beberapa
fungsi yang berguna dan sering memenuhi fungsi itu, juga memungkinkan pengiklan
internet untuk menampilkan iklan sebagai spanduk dan iklan yang muncul tanpa
persetujuan dari pengguna computer
Program spyware mengumpulkan informasi spesifik tentang demografi umum seperti
nama, alamat, dan kebiasaan menjelajah internet hingga kartu kredit, nomor jaminan
social, nama pengguna, kata sandi, atau informasi pribadi lainnya.

O’Brien dan Marakas, Edisi 14, 2010: 467-471

11.1.5. Manajemen Resiko
Identifikasi aset-aset

Pendifisinian risiko
bisnis yang harus
dilindungi dari risiko

Menyadari risikonya

Menetukan tingkatan dampak

pada perusahaan jika risiko
benar-benar terjadi

Menganalisis
kelemahan perusahaan
tersebut

Mc. Leod & Schell, edisi 10, 2009 : 277

 Tingkat Keparahan Dampak

Isi dari laporan Didokumentasikan

dalam laporan analisis
risiko

Deskripsi risiko Pengendalian

Jangka waktu
Sumber risiko Para pemilik risiko toko
Apa yang telah
dilaksanakan
Tingginya tingkat risiko Tindakan

Mc. Leod & Schell, edisi 10, 2009 : 277 - 278

 Tabel 9.1 Tingkat Dampak dan Kelemahan Menentukan Pengendalian

Dampak Parah Dampak Signifikan Dampak Minor

Kelemahan Melaksanan amnalisis

Melaksanan amnalisis Analisis kelemahan tidak
tingkat tinggi kelemahan. Harus
kelemahan. Harus dibutuhkan
meningkatkan pengendalian
meningkatkan pengendalian

Kelemahan Melaksanan amnalisis Melaksanan amnalisis Analisis kelemahan tidak

tigkat menengah kelemahan. Sebaiknya kelemahan. Sebaiknya dibutuhkan
meningkatkan pengendalian meningkatkan pengendalian

Melaksanan amnalisis Melaksanan amnalisis

Analisis kelemahan tidak
kelemahan. Menjaga kelemahan. Menjaga
Kelemahan dibutuhkan
pengendalian tetap ketat pengendalian tetap ketat
tingkat rendah

Mc. Leod & Schell, edisi 10, 2009 : 278

 11.1.6. Kebijakan Keamanan dalam Informasi
Figur 9.3 Penyusunan
Tim proyek
Kebijakan Keamanan penetapan
Fase 1 Inisiasi Proyek
Komite pengawas proyek
keamanan
Fase 2 Penyusunan Konsultasi
Pihak-pihak yang berminat
Kebijakan
dan terpengaruh

Fase 3 Konsultasi Konsultasi

dan Persetujuan Manajemen
Pelatihan kesadaran dan edukasi
Fase 4 Konsultasi kebijakan
Unit organisasi
dan Persetujuan

Fase 5 Penyebarluasan Kebijakan keamanan

kebijakan Unit organisasi

Mc. Leod & Schell, edisi 10, 2009 : 278 - 279

Tujuan
pengembanganKebijakan
terpisah
1
2
3
4
5
6
7
8
Mc. Leod & Schell, edisi 10, 2009 : 278 - 279
 11.2. Pengendalian

Mekanisme yang diterapkan untuk melindungi

perusahaan dari risiko atau untuk meminiimalkan
dampak risiko tersebut pada perusahaan jika
risiko tersebit terjadi

Mc. Leod & Schell, edisi 10, 2009 : 279

 11.2.1. Pengendalian Teknis
Pengendalian teknis (Technical Control) adalah pengendalian yang menjadi satu
didalam sistem dan dibuta oleh para penyusun sistem selama masa siklus
penyusunan sistem.
Beberapa pengendalian keamanan yang popular :

Pengendalian Sistem Deteksi

Akses Gangguan

Pengendalian Pengendalian
Firewall
Kriptografis Fisik

Mc. Leod & Schell, edisi 10, 2009 : 280 - 284

1. Pengendalian Akses

Dasar untuk kemanan

melawan ancaman
yang dilakukan oleh
orang-orang yang
tidak diotorisasi
adalah dengan
“Pengendalian Akses”

Mc. Leod & Schell, edisi 10, 2009 : 280

 2. Sistem Deteksi Gangguan
Logika dasar dari deteksi
gangguan adalah mengenali
upaya pelanggaran sebelum
memiliki kesempatan untuk
melakukan perusakan. contoh
deteksi pengganggu adalah
peranti lunak yang ditujukan
untuk megidentifikasi calon
pengganggu sebelum memiliki
kesempatan untuk
membahayakan.
Mc. Leod & Schell, edisi 10, 2009 : 280 - 281
3. Firewall
Firewall berfungsi sebagai
penyaring dan penghalang yang
membtasi aliran data ke dan dari
perusahaan tersebut dan internet.
Konsep di balik firewall adalah
dibuatnya suatu pengamanan
untuk semua komputer pada
jaringan perusahaan.
 Lokasi Firewall di
Ada tiga jenis firewall : Jaringan

• Firewall Penyaring Paket

(Router)
1.

• Firewall Tingkat Sirkuit

(Sirkuit)
2.

• Firewall Tingkat Aplikasi

3.

Mc. Leod & Schell, edisi 10, 2009 : 281 -283

 4. Pengendalian
Kriptografis
Data dan informasi yang tersimpan
dan ditransmisikan dapat
dilindungi dari pengungkapan
yang tidak terotorisasi dengan
kriptografi, yaitu penggunaan
kode yang menggunakan
proses-proses matematika.
Data dan informasi tersebut dapat
dienkripsi dalam penyimpanan dan
juga ditransmisikan ke dalam
jaringan.
Mc. Leod & Schell, edisi 10, 2009 : 283 - 284
5. Pengendalian Fisik
Peringatan pertama terhadap
gangguan yang tidak terotorisasi
adalah mengunci pintu ruangan
komputer. Perkembangan
seterusnya menghasilkan kunci-
kunci yang lebih canggih, yang
dibuka dengan cetakan suara,
serta kamera pengintai dan alat
penjaga keamanan.
 11.2.2. Pengendalian formal dan informal
Pengendalian formal Pengendalian informal

Penentuan cara
Dokumentasi Program-program
prosedur & praktik pelatihan &
berperilaku
yg diharapkan edukasi

Pencegahan
perilaku yang Program
pengawasan pembangunan
berbeda dari
panduan manajemen

Mc. Leod & Schell, edisi 10, 2009 : 284

 11.3. Pengaruh Keamanan Informasi pada
Pemerintah dan Industri : terkait standar dan atau
peraturan yang berlaku.

Beberapa organisasi pemerintah dan internasional telah menentukan

standar-standar yang ditujukan untuk menjadi panduan bagi organisasi
yang ingin mendapatkan keamanan informasi. Beberapa standar ini
menjadi tolak ukur yang telah diidentifikasi sebelumnya sebagai
penyedia strategi alternatif untuk manajemen resiko.

Mc. Leod & Schell, edisi 10, 2009 : 285

 1. Peraturan
2. Standar Indutri
Pemerintah
Pemerintah di Amerika Serikat maupun The Center for Internet Security
Inggris telah menentukan standar dan
(CIS) adalah organisasi nirlaba yang
menetapkan peraturan yang ditujukan
untuk menanggapi masalah pentingnya didedikasikan untuk membantu para
keamanan informasi yang makin pengguna komputer guna membuat
meningkat, terutama setelah peristiwa sistem mereka lebih aman.
9/11 dan semakin meluasnya Internet Bantuan diberikan melalui 2 produk:
serta peluang terjadinya kejahatan
komputer.
• Standar Keamanan Komputer Pemerintah
CIS Benchmarks
1. Amerika Serikat

• Undang-Undang Antiterorisme, CIS Scooring Tools

2. Kejahatan, Dan Keamanan Inggris (ATCSA)

Mc. Leod & Schell, edisi 10, 2009 : 2285 - 286

STUDI
KASUS
 Firewall pada BRI
Jenis :Bank Rakyat Indonesia (Persero) Tbk (Bank BRI)
Tahun berdiri :16 Desember 1895
Kantor pusat:Gedung BRI I, Jl. Jenderal Sudirman Kav. 44-46, Jakarta
10210. Saat ini, BBRI memiliki 19 kantor wilayah, 1 kantor inspeksi pusat,
19 kantor inspeksi wilayah, 462 kantor cabang domestik,1 kantor cabang
khusus, 609 kantor cabang pembantu, 984 kantor kas, 5.380 BRI unit,
3.180 teras & teras keliling dan 3 teras kapal
Telp : (62-21) 251-0244, 251-0254, 251-0269, 251-0264, 251-
0279 (Hunting), Fax: (62-21) 2500-0077, BRI Call: 14017 atau (62-21)
5798-7400
https:www.cnbcindonesia.com/market/20190321175410-17-62170/tips-aman-bertransaksi-atm-
dan-internet-banking-dari-bri