1

Keamanan
Informasi
BAB 9 SISTEM INFORMASI MANAJEMEN
Organizational Needs for Security and 4
Control
 Pengalaman menginspirasikan industri untuk:
Menempatkan keamanan pencegahan
tindakan yang bertujuan untuk
menghilangkan atau mengurangi
kemungkinan kerusakan atau kehancuran.
Menyediakan perusahaan kemampuan untuk
melanjutkan operasional setelah gangguan.
Information Security 5

 Keamanan sistem berfokus melindungi perangkat keras,

data, perangkat lunak, fasilitas komputer, dan personal.
 Keamanan informasi mendeskripsikan
perlindungan baik peralatan komputer dan
non-peralatan komputer, fasilitas, data, dan
informasi dari penyalahgunaan oleh pihak-
pihak yang tidak berwenang.
 Termasuk mesin fotokopi, fax, semua jenis
media, dokumen kertas
 Tujuan Keamanan Sistem 6

 Keamanan informasi ini dimaksudkan untuk mencapai tiga

tujuan utama:
 Confidentiality: Melindungi data perusahaan dan informasi dari
pengungkapan orang yang tidak berhak.
 Availability: Memastikan bahwa data perusahaan dan informasi
hanya tersedia bagi mereka yang berwenang untuk
menggunakannya
 Integrity: Sistem informasi harus memberikan representasi akurat
dari sistem fisik yang mereka wakili.
 Sistem informasi perusahaan harus melindungi data dan
informasi dari penyalahgunaan, memastikan ketersediaan
untuk pihak pengguna, menampilkan keakuratannya.
Management of Information 7
Security
 Information security management (ISM)
adalah Aktifitas untuk menjaga sumber daya
informasi tetap aman
 Business continuity management (BCM)
Adalah aktifitas menjaga fungsi perusahaan dan
sumber informasi setelah sebuah bencana
 Corporate information systems security officer
(CISSO) adalah Bertanggung jawab atas
keamanan sistem informasi perusahaan
 Corporate information assurance officer
(CIAO) Melaporkan kepada CEO dan mengelola
sebuah unit information assurance
 Information Security 8
Management
 Terkait dengan perumusan kebijakan keamanan informasi perusahaan.
 Pendekatan manajemen risiko berbasis keamanan sumber daya informasi
perusahaan pada risiko (ancaman dikenakan) yang dihadapinya.
 Information security benchmark adalah tingkat keamanan yang
direkomendasikan bahwa dalam keadaan normal harus menawarkan perlindungan
wajar terhadap gangguan yang tidak sah.
 Benchmark adalah suatu tingkat kinerja yang direkomendasikan
 Ditetapkan oleh pemerintah dan asosiasi industri
 Wewenang apa diyakini sebagai komponen dari suatu program keamanan
informasi yang baik.
 Kepatuhan Benchmark/Benchmark compliance adalah ketika sebuah
perusahaan mematuhi patokan keamanan informasi dan standar yang
direkomendasikan oleh industri yang berwenang.
Figure 9.1 Information Security Management 9
(ISM) Strategies
 Ancaman/Threat 10
 Ancaman keamanan informasi adalah orang, organisasi,
mekanisme, atau peristiwa yang mempunyai potensi untuk
menimbulkan kerugian pada sumber daya informasi perusahaan.
 Internal and external threats
 Internal mencakup karyawan perusahaan, para pekerja sementara,
konsultan, kontraktor, dan bahkan mitra bisnis.
 Sebesar 81% kejahatan komputer telah dilakukan oleh karyawan.
 ancaman internal berpotensi kerusakan lebih serius karena
 Kebetulan dan disengaja
Figure 9.2 Unauthorized Acts Threaten System
11
Security Objectives
Types of Threats 12
 Malicious software(malware) terdiri dari program-program lengkap atau
segmen kode yang dapat menyerang sistem dan melakukan fungsi-fungsi
yang tidak diharapkan oleh pemilik sistem (yaitu, menghapus file, sistem
berhenti, dll)
 Virus adalah program komputer yang dapat menggandakan dirinya sendiri
tanpa dapat diamati pengguna dan menanamkan salinan dirinya dalam
program lain dan boot sektor.
 Worm tidak dapat mereplikasi diri dalam suatu sistem, tetapi dapat
mengirimkan copynya melalui e-mail.
 Trojan horse didistribusikan oleh pengguna sebagai utilitas dan ketika
utilitas yang digunakan, menghasilkan perubahan yang tidak diinginkan
dalam fungsi sistem; tidak dapat mereplikasi atau menggandakan sendiri.
 Adware menghasilkan pesan iklan yang mengganggu
 Spyware mendapatkan data dari mesin pengguna
 Risks 13

 Risiko keamanan informasi potensi output yang tidak diharapkan dari

pelanggaran keamanan informasi oleh ancaman keamanan informasi
 semua risiko merupakan tindakan yang tidak sah
 Pengungkapan informasi yang tidak terotorisasi dan
pencurian
 Penggunaan yang tidak terotorisasi
 Penghancuran yang tidak terotorisasi dan penolakan
layanan(Denial of Service)
 Perubahan yang tidak terotorisasi
 E-commerce Considerations 14

 Disposable credit card/Kartu kredit “sekali pakai”(AMEX) -

suatu tindakan yang ditujukan pada 60 sampai 70% dari
konsumen yang takut penipuan kartu kredit yang timbul dari
penggunaan internet.
 Visa's memerlukan 10 praktik keamanan bagi para pengecer
ditambah 3 praktik umum untuk mencapai keamanan informasi
di semua kegiatan pengecer.
 Cardholder Information Security Program (CISP) ditambah
praktek-praktek yang diperlukan
Sepuluh Praktik Keamanan yang dilakukan 15
VISA

Retailer harus:
1. Memasang dan memelihara firewall
2. Memperbaharui keamanan
3. Melakukan enkripsi pada data yang disimpan
4. Melakukan enkripsi pada data yang akan dikirim
5. Menggunakan dan memperbaharui piranti lunak antivirus
6. Membatasi akses data kepada orang-orang yang ingin tahu
7. Memberikan ID unik kepada setiap orang yang memiliki
kemudahan mengakses data
8. Memantau akses data dengan data ID unik
9. Tidak menggunakan kata sandi default yang disediakan oleh
vendor
10. Secara teratur menguji sistem keamanan
 Risk Management 16

 Mendefinisikan resiko terdiri dari 4 tahap

 Identifikasi aset bisnis yang harus dilindungi dari resiko
 Menyadari resikonya
 Menentukan tingkat dampak dalam perusahaan jika resiko benar-benar terjadi
 Menganalisa kelemahan perusahaan
 Tingkat keparahan dampak dapat diklasifikasikan sebagai
 Dampak yang parah(Severe impact) membuat perusahaan bangkrut atau
sangat membatasi kemampuan perusahaan tersebut untuk berfungsi
 Dampak minor(Minor impact) menyebabkan kerusakan yang mirip dengan
yang terjadi dalam operasional sehari-hari
Table 9.1 Degree of Impact and Vulnerability
17
Determine Controls
Risk Analysis Report 18

 Hasil temuan sebaiknya didokumentasikan dalam laporan

analisa resiko. Isi dari laporan ini sebaiknya mencakup
informasi berikut ini
 Deskripsi resiko
 Sumber resiko
 Tingginya tingkat resiko
 Pengendalian yang diterapkan pada resiko tersebut
 Pemilik-pemilik resiko
 Tindakan yang direkomendasikan untuk mengatasi resiko
 Jangka waktu yang direkomendasikan untuk mengatasi resiko
 Apa yang telah dilaksanakan untuk mengatasi resiko tersebut
Kebijakan Keamanan Informasi 19

Lima phase implementasi kebijakan

 Phase 1: Inisialisasi proyek
 Phase 2: Pengembangan kebijakan.
 Phase 3: Konsultasi dan persetujuan.
 Phase 4:Kesadaran dan edukasi.
 Phase 5: Penyebarluasan kebijakan.
Figure 9.3 Development of 20
Security Policy
Controls/Pengendalian 21

 Control adalah sebuah mekanisme yang

diterapkan baik untuk melindungi perusahaan dari
resiko atau untuk meminimalkan dampak resiko
tersebut pada perusahaan jika resiko tersebut
terjadi.
 Technical controls adalah pengendalian yang
menjadi satu di dalam sistem dan dibuat oleh para
penyusun sistem selama masa siklus penyusunan
sistem.
 Termasuk internal auditor dalam project team
 Berdasarkan teknologi hardware dan software
Technical Controls 22

 Access control adalah dasar untuk keamanan

melawan ancaman yang dilakukan oleh orang-
orang yang tidak diotorisasi
 Access control dilakukan melalui proses tiga
tahap yang mencakup
 User identification.
 User authentication.
 User authorization.
 Profil pengguna- deskripsi pengguna yang
terotorisasi; digunakan dalam identifikasi dan
authorisasi
Figure 9.4 Access Control 23
Functions
Technical Controls (Cont’d) 24

 Intrusion detection systems (IDS) mengenali upaya

pelanggaran keamanan sebelum memiliki kesempatan untuk
melakukan perusakan
 Perangkat lunak proteksi virus yang telah terbukti efektif
melawan virus yang terkirim melalui email
 Identifikasi pesan pembawa virus dan memperingatkan pengguna.
 Tools Prediksi ancaman dari dalam mengklasifikasikan
ancaman sebagai berikut
 Ancaman yang disengaja
 Potensi ancaman tidak disengaja
 mencurigakan
 Tidak berbahaya(Harmless)
 Firewalls 25

 Firewall berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke dan dari
perusahaan tersebut dan internet. Tiga jenis firewall:
 Packet-filtering router dilengkapi dengan tabel data dan alamat-alamat IP yang
mgnggambarkan kebijakan penyaringan, jika diposisikan antara internet dan jaringan internal
router tersebut dapat berlaku sebagai firewall
 Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan
 Alamat IP(IP address) adalah serangkaian empat angka(masing-masinng 0 - 255) yang
secara unik mengindentifikasikan masing-masing komputer yang terhubung ke internet
 Firewall tingkat sirkuit(Circuit-level firewall) terpasang antara internet dan jaringan
perusahaan tapi lebih dekat dengan medium komunikasi(sirkuit) daripada router
 Memungkinkan tingkat otentikasi dan penyaringan yang tinggi
 Firewall tingkat aplikasi berlokasi antara router dan komputer yang menjalankan aplikasi
tersebut
 Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan.
Figure 9.5 Location of Firewalls in the Network
26
Cryptographic and Physical 27
Controls
 Cryptography adalah menggunakan pengkodean yang menggunakan
proses-proses matematika
 Data dan informasi dapat dienkripsi dalam penyimpanan dan juga
ditransmisikan ke dalam jaringan.
 Jika seorang yang tidak memiliki otoritas memperoleh akses, enkripsi
tersebut akan membuat data dan informasi yang dimaksud tidak berarti
apa-apa dan mencegah kesalahan penggunaan.
 Protocol khusus sepert SET(Secure Electronin Transactions) melakukan
pengecekan keamanan menggunakan tanda tangan digital dikembangkan
dalam e-commerce
 Pelarangan teknologi enkripsi ke Cuba, Iran, Iraq, Libya, Korut, Sudan dan
Syria
 Physical controls melindungi dari gangguan yang tidak terotorisasi seperti
kunci pintu, cetak telapak tangan, voice print, kamera pengawas dan
penjaga keamanan.
 Meletakkan pusat komputer ditempat terpencil yang jauh dari kota dan jauh dari
wilayah yang sensitif terhadap bencana seperti gempa bumi, banjir dan badai
Formal Controls 28

 Formal control mencakup penentuan cara

berperilaku, dokumentasi prosedur dan
praktik yang diharapkan, dan pengawasan
serta pencegahan perilaku yang berbeda dari
panduan yang berlaku
 Management memerlukan banyak waktu untuk
menyusunnya.
 Mendokumentasikan dalam bentuk tertulis
 Diharapkan dapat berlaku untuk jangka waktu
yang panjang
 Top management harus berpartisipasi aktif
dalam menentukan dan memberlakukannya
 Informal Controls 29

 Edukasi
 Program pelatihan
 Program pengembangan management
 Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan
memahami serta mendukung program keamanan tersebut
Industry Standards 30

 Center for Internet Security (CIS) adalah

organisasi nonprofit didedikasikan untuk
membantu para pengguna komputer guna
membuat sistem mereka lebih aman.
 CIS Benchmarks membantu mengamankan pengguna
mengamankan sistem informasi dengan cara
menerapkan pengendalian khusus teknologi
 CIS Scoring Tools memberi kemampuan bagi
pengguna untuk menghitung tingkat keamanan,
membandingkannya dengan tolok ukur, dan
menyiapkan laporan yang mengarahkan pengguna dan
administrator sistem untuk mengamankan sistem
Professional Certification 31

 Dimulai tahun 1960 profesi IT mulai menawarkan program

sertifikasi:
 Information Systems Audit and Control Association (ISACA)
 International Information System Security Certification
Consortium (ISC)
 SANS (SysAdmin, Audit, Network, Security) Institute
Business Continuity 32

Management
 Business continuity management(BCM)
aktifitas yang ditujukan untuk menentukan
operasional setelah terjadi gangguan sistem
informasi
 Aktifitas ini disebut Perencanaan
bencana(Disaster planning), namun istilah
yang lebih positif adalah Contigency Plan
 Contigency Plan merupakan dokumen
tertulis formal yang menyebutkan secara
detail tindakan-tindakan yang harus dilakukan
jika terjadi gangguan, atau ancaman gangguan
pada operasional perusahaan.