KEAMANAN INFORMASI

A. Kebutuhan Organisasi akan

Keamanan dan Pengendalian
Dalam dunia masa kini, banyak organisasi
semakin sadar akan pentingnya menjaga
seluruh sumber daya mereka, baik yang
bersifat virtual maupun fisik, agar aman dari
ancaman baik dalam dan luar.
B. Keamanan Informasi

Istilah keamanan informasi (information

security) digunakan untuk mendeskripsikan
perlindungan baik peralatan komputer dan
nonkomputer, fasilitas, data, dan informasi
dari penyalahgunaan pihak-pihak yang tidak
berwenang.
 Keamanan informasi ditujukan untuk
mencapai tiga tujuan utama yaitu:
 Kerahasiaan
 Ketersediaan
 Integritas
 C. Manajemen Keamanan
Informasi
Pada bentuknya yang paling dasar,
manajemen keamanan informasi terdiri atas
empat tahap, yaitu:
1. Mengidentifikasi ancaman yang dapat
menyerang sumber daya informasi perusahaan.
2. Mendefinisikan risiko yang dapat disebabkan
oleh ancaman-ancaman tersebut.
3. Menentukan kebijakan kemanan informasi.
4. Mengimplementasikan pengendalian untuk
mengatasi risiko-risiko tersebut.
D. Ancaman

Ancaman keamanan informasi

(information security threat) adalah orang,
organisasi, mekanisme, atau peristiwa yang
memiliki potensi untuk membahayakan
sumber daya informasi perusahaan.
Pada kenyataannya, ancaman dapat
bersifat internal serta eksternal, dan dapat
bersifat tidak disengaja maupun disengaja.
E. Jenis Ancaman

 Virus
 Worm (Cacing)
 Trojan horse (Kuda Troya)
 Adware
 Spyware
F. Risiko

Risiko keamanan informasi (information

security risk) didefinisikan sebagai potensi
output yang tidak diharapkan dari
pelanggaran keamanan informasi oleh
ancaman keamanan informasi.
Risiko dibagi menjadi empat jenis, yaitu:
 Pengungkapan informasi yang tidak terotorisasi
 Penggunaan yang tidak terotorisasi
 Penghancuran yang tidak terotorisasi dan
penolakan layanan
 Modifikasi yang tidak terotorisasi
G. Persoalan E-Commerce

E-Commerce telah memperkenalkan suatu

permasalahan keamanan baru yaitu pemalsuan
kartu kredit.
Untuk mengatasi masalah ini, perusahaan-
perusahaan kartu kredit yang utama telah
mengimplementasikan program, yaitu:
1. Kartu kredit “sekali pakai”
2. Praktik keamanan yang diwajibkan oleh
visa
H. Manajemen Risiko

Pendefinisian risiko terdiri atas empat

langkah yaitu:
1. Identifikasi aset-aset bisnis yang harus
dilindungi dari risiko
2. Menyadari risikonya
3. Menentukan tingkatan dampak pada
perusahaan jika risiko benar-benar terjadi
4. Menganalisis kelemahan perusahaan
tersebut
 Isi dari laporan analisis risiko sebaiknya
mencakup informasi berikut ini, mengenai tiap-tiap
risiko:
1. Deskripsi risiko
2. Sumber risiko
3. Tingginya tingkat risiko
4. Pengendalian yang diterapkan pada risiko tersebut
5. Para pemilik risiko tersebut
6. Tindakan yang direkomendasikan untuk mengatasi
risiko
7. Jangka waktu yang direkomendasikan untuk
mengatasi risiko
8. Apa yang telah dilaksanakan untuk mengatasi risiko
tersebut
I. Kebijakan Keamanan
Informasi
Berikut lima fase implementasi kebijakan
keamanan:
Fase 1- Inisiasi proyek
Fase 2- Penyusunan kebijakan
Fase 3- Konsultasi dan persetujuan
Fase 4- Keasadaran dan edukasi
Fase 5- Penyebarluasan kebijakan
Kebijakan terpisah dikembangkan untuk:
 Keamanan sistem informasi
 Pengendalian akses sistem
 Keamanan personel
 Keamanan lingkungan fisik
 Keamanan komunikasi data
 Klasifikasi informasi
 Perencanaan kelangsungan usaha
 Akuntabilitas manajemen
J. Pengendalian

Pengendalian (control) adalah mekanisme

yang diterapkan baik untuk melindungi
perusahaan dari risiko atau untuk
meminimalkan dampak risiko tersebut pada
perusahaan jika risiko tersebut terjadi.
Pengendalian dibagi menjadi tiga
kategori, yaitu:
1. Pengendalian Teknis
Pengendalian teknis (technical control)
adalah pengendalian yang menjadi satu di
dalam sistem dan dibuat oleh para penyusun
sistem selama masa siklus penyusunan sistem.
2. Pengendalian Formal
Pengendalian formal mencakup penentuan
cara berperilaku, dokumentasi prosedur dan
praktik yang diharapkan dan pengawasan serta
pencegahan perilaku yang berbeda dari
panduan yang berlaku.

3. Pengendalian Informal
Pengendalian informal mencakup program-
program pelatihan dan edukasi serta program
pembangunan manajemen.
K. Mencapai Tingkat
Pengendalian yang Tepat
Keputusan untuk mengendalikan pada
akhirnya dibuat berdasarkan biaya versus
keuntungan, tapi dalam beberapa industri
terdapat pula pertimbangan-pertimbangan
lain.
L. Dukungan Pemerintah dan
Industri
Berikut ini beberapa contoh standar yang
menjadi panduan bagi perusahaan:
 BS7799 milik Inggris
 BSI IT Baseline Protection Manual
 COBIT
 GASSP (Generally Acceptedd System
Security Principles)
 ISF Standard of Good Practice
M. Peraturan Pemerintah

Beberapa diantaranya adalah:

 Standar Keamanan Komputer Pemerintah
Amerika Serikat
 Undang-Undang Antiterorisme, Kejahatan,
dan Keamanan Inggris (ATCSA) 2001
N. Standar Industri

The Center for Internet Security (CIS)

adalah organisasi nirlaba yang didedikasikan
untuk membantu para pengguna komputer
guna membuat sistem mereka lebih aman.
Bantuan diberikan melalui 2 produk- CIS
Benchmark dan CIS Scoring Tools.
O.Sertifikasi Profesional

Tiga contoh berikut mengilustrasikan

cakupan dari program-program ini:
 Asosiasi audit sistem dan pengendalian
 Konsorsium sertifikasi keamanan sistem
informasi internasional
 Institut SANS
P. Meletakkan Manajemen
Keamanan Informasi pada
Tempatnya
Perusahaan harus mencanangkan kebijakan
manajemen keamanan informasi sebelum
menempatkan pengendalian.
Q. Manajemen
Keberlangsungan Bisnis
Manajemen keberlangsungan bisnis
(business continuity management-BCM)
adalah aktivitas yang ditujukan untuk
menentukan operasional setelah terjadi
gangguan sistem informasi.
Subrencana yang umum mencakup:
 Rencana darurat (emergency plan)
 Rencana cadangan
 Rencana catatan penting (vital records plan)
R. Meletakkan Manajemen
Keberlangsungan Bisnis pada
Tempatnya
Manajemen keberlangsungan bisnis merupakan
salah satu bidnag penggunaan komputer di mana
kita dapat melihat perkembangan besar.
Sistem Komputer TAMP memasarkan Sistem
Pemulihan Bencana (Disaster Recovery System-
DRS) yang mencakup sistem manajemen basis
data, instruksi dan perangkat yang dapat digunakan
utuk mempersiapkan rencana pemulihan.
TERIMA KASIH