“KEAMANAN” INFORMASI

(Information Security)
KELOMPOK
Nama Kelompok:
6 Khusnul Khotimah 190221100207
Frida Dwi Hartono 190221100221
Atiqotuz Zahroh 190221100220
Nurul Yuliyanti 190221100219
11.1 Kebutuhan Organisasi akan Keamanan dan
Pengendalian S
U
11.1.1 Keamanan Informasi
11.1.2 Manajemen Keamanan Informasi: “Threats”, “Riks”
11.1.3 Keamanan dalam E-Commerce B
11.1.4
11.1.5
“Cyber Crime”
Manajemen Risiko
-
11.1.6 Kebijakan Keamanan dalam Informasi B
11.2 Pengendalian
A
11.2.1 Pengendalian Teknis
11.2.2 Pengendalian Formal dan Informal B
11.3 Pengendalian Pengaruh Keamanan Informasi pada
Pemerintahan dan Industri: Terkait standar dan atau peraturan
yang berlaku
Kebutuhan Organisasi
akan Keamanan dan
Pengendalian
 Keamanan Informasi
Istilah keamanan informasi digunakan untuk mendeskripsikan perlindungan baik peralatan komputer dan non
komputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwanang. Defini yang luas ini
mencakup peralatan seperti mesin fotocopy dan mesin faks serta semua jenis media, termasuk dokumen kertas.

Tujuan keamanan informasi

1. 2. 3.

kerahasiaan ketersediaan integritas

McLeod, Schell Hal : 270-271

Manajemen Keamanan Informasi: “Threats”, “Risks”
Merupakan akitivitas untuk menjaga agar sumber daya informasi

Manajemen resiko Tolak ukur keamanan informasi Kepatuhan terhadap tolak ukur

Standar dan tolak ukur

Untuk Tingkat keamanan semacam ini
menggambarkan yang diserahkan yang ditentukan oleh
pendekatan ini dalam keadaan normal pemerintah dan asosiasi
dimana tingkat harus menawarkan industri serta
keamanan sumber pelindungan yang mencerminkan
daya informasi cukup terhadap komponen-komponen
perusahaan gangguan yang tidak program keaman
dibandingkan dengan Terotoritas. informasi yang baik
resiko yang dihadapi. menurut otoritas-
otoritas tersebut.

McLeod, Schell Hal :271-272

Ancaman
Ancaman keamanan (information security threat) adalah orang, organisasi,
mekanisme, atau pariwisata yang memiliki potensi untuk membayangkan sember
daya informasi perusahaan.

1
Ancaman internal dan eksternal

2
Tindakan kecelakaan dan disengaja

McLeod, Schell Hal : 273

 Risiko
Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang
tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.

1
Pengungkapan informasi yang tidak terotorisasi dan pencurian

2
Penggunaan yang tidak terotorisasi
3
Penghancuran yang tidak terotorisasi dan penolakan layanan

4
Modifikasi yang tidak terotorisasi

Stair, Reynolds. 2010. Hal: 274

Keamanan dalam E-Commerce
Kartu Kredit “Sekali Pakai”

Permasalahan
keamanan dalam E- diatasi
Commerce adalah
“Pemalsuan Kartu
Kredit”

10 Praktik Keamanan & 3 Praktik Umum

yang Diwajibkan oleh Visa

Praktik-praktik ini telah ditingkatkan

McLeod, Schell, Edisi 10 ; hal 275-276 melalui Program CISP
 Cyber Crime

Kejahatan komputer merupakan tindakan individu

yang tidak bertanggung jawab yang memanfaatkan
penggunaan luas dan kerentanan komputer dan
Internet dan jaringan lainnya

O’Brien, Marakas, Edisi 10 ; hal 460

Asosiasi Profesional Teknologi Informasi (AITP) mendefinisikan Kejahatan Komputer sebagai
yang termasuk :

1. Penggunaan akses, modifikasi, dan penghancuran perangkat keras, perangkat lunak, data,
atau sumber daya jaringan yang tidak sah
2. Rilis informasi yang tidak sah
3. Penyalinan perangkat lunak yang tidak sah
4. Menolak tujuan akses pengguna ke perangkat keras, perangkat lunak, data, atau sumber daya
jaringannya sendiri
5. Menggunakan atau berkonspirasi untuk menggunakan komputer atau sumber daya jaringan
untuk mendapatkan informasi atau properti berwujud secara ilegal

O’Brien, Marakas, Edisi 10 ; hal 460

 Tingkat Dampak dan Kelemahan Pengendalian

Dampak Parah Dampak Signifikan Dampak Minor

Kelemahan Melaksanakan analisis Melaksanakan analisis Analisis
Tingkat Tinggi kelemahan. Harus meningkatkan kelemahan. Harus kelemahan tidak
pengendalian meningkatkan dibutuhkan
pengendalian
Kelemahan Melaksanakan analisis Melaksanakan analisis Analisis
Tingkat kelemahan. Sebaiknya kelemahan. Sebaiknya kelemahan tidak
Menengah meningkatkan pengendalian meningkatkan dibutuhkan
pengendalian

Kelemahan Melaksanakan analisis Melaksanakan analisis Analisis

Tingkat Rendah kelemahan. Menjaga kelemahan. Menjaga kelemahan tidak
pengendalian tetap ketat. pengandalian tetap ketat dibutuhkan

McLeod, Schell, Edisi 10 ; hal 277

 Isi Laporan Hasil Analisis Risiko

Deskripsi risiko Sumber risiko Tingginya tingkat risiko

Pengendalian yang Tindakan yang

(Para) pemilik risiko direkomendasikan untuk
diterapkan pada risiko
tersebut mengatasi risiko
tersebut

Jangka waktu yang Apa yang telah

direkomendasikan dilaksanakan untuk
untuk mengatasi risiko mengatasi risiko

McLeod, Schell, Edisi 10 ; hal 277-278

Kebijakan Keamanan dalam Informasi

Lima fase implementasi kebijakan keamanan

Fase 1 : Inisiasi Proyek

Fase 2 : Penyusunan Kebijakan
Fase 3 : Konsultasi dan Persetujuan
Fase 4 : Keadaan dan Edukasi
Fase 5 : Penyebarluasan Kebijakan
 Tim Proyek
Penetapan
Fase 1
Inisiasi Proyek
Komite Pengawas
Proyek Keamanan

Konsultasi Pihak-pihak yang

Fase 2
Berminat dan
Penyusunan Kebijakan
Terpengaruh
Penyusunan
Fase 3
Konsultasi & Persetujuan
Konsultasi
Manajemen
Kebijakan
Keamanan
Pelatihan kesadaran dan edukasi
Fase 4 kebijakan
Unit Organisasi
Keadaan dan Edukasi

Fase 5 Kebijakan Keamanan

Penyebarluasan Unit Organisasi
Kebijakan
McLeod, Schell, Edisi 10 ; hal 279
PENGENDALIAN
Pengendalian

PENGENDALIAN
adalah
mekanisme yang diterapkan baik
untuk melindungi perusahaan dari
risiko atau untuk meminimalkan
dampak risiko tersebut pada
perusahaan jika risiko tersebut
terjadi. Pengendalian di bagi
menjadi tiga kategori yaitu teknis,
formal dan informal.

McLeod, Schell, Edisi 10 ; hal 279

 Pengendalian Teknis

Pengendalian Teknis adalah pengendalian yang menjadi

satu di dalam sistem dan dibuat oleh para penyusun sistem
selama masa siklus penyusunan sistem.

McLeod, Schell, Edisi 10 ; hal 280

 Macam – macam pengendalian teknis

1. PENGENDALIAN AKSES
adalah dasar keamanan untuk
melawan ancaman yang
dilakukan oleh orang-orang
yang tidak diotorisasi.
 2. SISTEM DETEKSI GANGGUAN
adalah dasar keamanan untuk mengenali upaya
pelanggaran keamanan sebelum memiliki
kesempatan untuk melakukan perusakan.
3. FIREWALL
adalah pengaman untuk semua komputer pada
jaringan yang berfungsi sebagai penyaring dan
penghalang yang membatasi aliran data ke dan dari
perusahaan tersebut dan internet.

Firewall
Firewall
penyaring paket penyaring
paket

Firewall tingkat
sirkuit
Jaringan Komputer
Internet Router
internal
Firewall tingkat
aplikasi

Firewall Firewall
tingkat tingkat
sirkuit aplikasi
 4. PENGENDALIAN KRIPTOGRAFIS
Data dan informasi yang tersimpan dan di
transmisikan dapat di lindungi dari
pengungkapan yang tidak terotorisasi dengan
kriptografi dengan cara penggunaan kode yang
menggunakan proses-proses matematika.
Data dan informasi tersebut dapat di enkripsi
dalam penyimpanan dan juga ditransmisikan ke
dalam jaringan. Jika seseorang yang tidak
memiliki otorisasi memperoleh akses, enkripsi
tersebut akan membuat data dan informasi yang
di maksud tidak berarti apa-apa dan mencegah
kesalahan penggunaan.
5. PENGENDALIAN FISIK
Peringatan pertama terhadap gangguan yang tidak
terotorisasi adalah mengunci pintu ruangan
computer. Perusahaan dapat melaksanakan
pengendalian fisik dengan cara menempatkan pusat
komputernya di tempat terpencil yang jauh dari kota
dan jauh dari wilayah yang sensitive terhadap
bencana alam seperti gempa bumi, banjir, dan
badai.
 11.2.2 Pengendalian Formal dan Informal

Pengendalian Formal Pengendalian Informal

Mencakup penentuan cara berprilaku,

dokumentasi prosedur dan praktik Mencakup program-program pelatihan
yang di harapkan, dan pengawasan dan edukasi serta program
serta pencegahan perilaku yang pembagunan manejemen.
berbeda dari panduan yang berlaku.

McLeod, Schell, Edisi 10 ; hal 284

 PENGARUH KEAMANAN
INFORMASI PADA
PEMERINTAH DAN INDUSTRI
 Terkait Standar dan atau Peraturan yang Berlaku

Dukungan Pemerintah dan Industri

Beberapa organisasi pemerintah dan internasional telah menentukan standar-standar yang ditujukan untuk
menjadi panduan bagi organisasi yang ingin mendapatankan keamanan informasi.
1. BS7799 milik Inggris
2. BSI IT Baseline Protection Manual
3. COBIT
4. GASSP
5. ISF Standard of Good Practice

McLeod, Schell, Edisi 10 ; hal 285

 Peraturan Pemerintah
Pemerintah baik di Amerika Serikat maupun Inggris telah menentukan standar dan menetapkan peraturan
yang ditunjukkan untuk menanggapi masalah pentingnya keamanan informasi yang makin meningkat.

02
01
Undang – Undang Antiterorisme,
Kejahatan, dan Keamanan Inggris
Standar Keamanan Komputer (ATCSA)
Pemerintah Amerika Serikat

McLeod, Schell, Edisi 10 ; hal 285-286

 Standar Produksi
The Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para pengguna
komputer guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua produk

1
CIS Benchmarks

2
CIS Scoring tools

McLeod, Schell, Edisi 10 ; hal 286

STUDI KASUS
Perkuat Keamanan, ShopeePay Hadirkan Fitur Rekognisi Wajah dan
Sidik Jari
 Berdasarkan data Direktorat Tindak Pidana Siber Bareskrim Polri, terdapat 1.617 kasus penipuan online pada 2019.
Angka itu berpotensi naik seiring dengan peningkatan transaksi digital selama pandemi. Maka dari itu, perlu kerja sama
berbagai pihak untuk menekan tingkat kejahatan siber yang menyasar transaksi digital, salah satunya dari penyedia
layanan pembayaran digital.
ShopeePay, misalnya. Sebagai platform pembayaran digital, ShopeePay terus meningkatkan fitur keamanan
layanannya secara konsisten demi kenyamanan pelanggan saat bertransaksi. Upaya terbaru yang dilakukan ShopeePay
untuk menjamin keamanan transaksi adalah dengan menghadirkan fitur rekognisi wajah dan sidik jari untuk menyelesaikan
pembayaran, baik secara online maupun offline. Kehadiran fitur baru tersebut merupakan respons ShopeePay terhadap
meningkatnya transaksi digital, terutama di tengah pandemi Covid-19.
Selain fitur rekognisi wajah dan sidik jari, ShopeePay telah melengkapi berbagai fitur keamanan lain, seperti one-
time password (OTP), personal identification number (PIN), dan notifikasi yang otomatis berlaku sejak pengguna
mengaktifkan akun. Fitur keamanan berlapis ini telah sesuai dengan peraturan pemerintah Indonesia dan berstandar
global.
 Strategi Manajemen Risiko

Identifikasi ancaman Basis data pengguna Shopee diretas.

Risiko Kebocoran informasi data pengguna Shopee (nama, email,

no.telp).

Mendirikan informasi Pihak Shopeepay menyarankan seluruh pengguna aplikasi baik di

kebijakan keamanan perangkat iOS maupun Android, disarankan untuk mengaktifkan
kedua fitur tersebut.

Kontrol Pihak shopee (e-commerce), dan Kominfo bekerja sama untuk

terus meningkatkan kemampuan keamanan untuk melindungi data
pribadi dan pemilik akun e-commerce.
TE R IM A
K A S I H