Information System Security

Inisiasi Tuton ke 8
Sistem Informasi Manajemen
Program Studi Magister Manajemen

Sumber: Management Information Systems : Penulis: Prasetya Cahya Saputra S.Kom.,

Managing the Digital Firm, Laudon & Laudon M.Kom.
(2016) – Chapter 8 prasetyacs@gmail.com
Penelaah: Mohamad Nasoha
 Sub Topik

• Mengapa Sistem Informasi rentan ?

• Software berbahaya
• Hacker dan kejahatan komputer
• Ancaman internal: karyawan
• Kerentanan software
• Kontrol sistem informasi
• IT Risk Management
• Kebijakan Keamanan
• Disaster recovery planning
• Tehnik mengamankan informasi
 Mengapa Sistem rentan
• Bagi perusahaan atau individu yang telah memanfaatkan teknologi
internet dan jaringan komputer dalam kegiatan operasionalnya
tingkat kerentanan menjadi semakin tinggi dikarenakan semua
aktifitas nya telah dipindahkan semuanya dalam bentuk data dan
informasi yang tersimpan secara elektronik.

• Potensi pencurian dan penyalahgunaan akses dari pihak internal

dan ekternal, masalah yang mungkin timbul atas hardware dan
software yang digunakan, bencana alam juga menjadi bagian yang
dapat menambah kerentanan sistem informasi.
 Mengapa Sistem rentan

Hal-hal yang menjadikan sistem rentan :

• Aksesibilitas lewat jaringan
• Masalah hardware
• Masalah software
• Bencana alam
• Penggunaan jaringan/komputer diluar kewenangan
• Kehilangan dan pencurian peralatan dan
data/informasi.
Mengapa sistem rentan
 Software Berbahaya

• Virus: Program atau aplikasi yang dapat menyusup pada sistem

komputer yang bertujuan untuk mengubah atau merusak suatu
program
• Worm: Sebuah program komputer yang dapat menggandakan
dirinya secara sendiri dalam sistem komputer
• Trojan: Program berbahaya yang menyamarkan dirinya sebagai
program lain yang tidak berbahaya
• Spyware: Program yang dibuat untuk memonitor aktivitas user
• Malware (Malicious Software) : perangkat lunak yang terinstal
pada komputer Anda yang biasanya tidak diketahui dan
perangkat lunak ini  melakukan tugas-tugas yang tidak
diinginkan, dan untuk kepentingan pihak lain.
 Software berbahaya

• Adware : software yang dapat menampilkan iklan yang tidak

diinginkan. Ini bisa juga merupakan perangkat lunak atau software
yang dapat di download secara gratis yang didalam nya memang ada
iklan yang dapat muncul secara pop-up atau muncul pada toolbar di
komputer atau browser. Sebagian besar adware sangat menggangu,
tapi relative aman.
• Bot adalah jenis malware yang memungkinkan penyerang untuk
mengambil kontrol atas komputer yang menjadi korban. Juga dikenal
sebagai “Web robot”, bot biasanya bagian dari jaringan mesin yang
terinfeksi, yang dikenal sebagai “botnet”
• Rootkit adalah program komputer yang dirancang untuk memberikan
akses ke komputer yang sedang aktif dengan secara diam diam atau
tanpa diketahui administrator atau menyembunyikan kehadirannya.
 Ancaman Internal: Karyawan

• Ancaman bisa datang dari mana saja

• Karyawan yang ada dalam suatu organisasi

pun salah satunya

• Adanya inside knowledge

• Kurangnya protokol keamanan

 Kerentanan software

• Software memiliki cela yang dapat

memunculkan kerentanan dalam software

• Hidden bugs dan error

• Bisa diatasi dengan merilis patches (Program

yang dibuat untuk menambal cela tersebut)
 Kontrol sistem informasi

• General control:
• Software control
• Hardware control
• Computer system control
• Data security control
• Implementation control
• Administrative control
 IT Risk Management

• Resiko didefinisikan sebagai hasil kemungkinan atas kejadian

dan dampak dari sebuah kejadian yang dapat terjadi. Dalam
teknologi informasi, risiko didefinisikan sebagai hasil dari nilai
asset dan kerentanan sistem terhadap risiko dan ancaman yang
ditimbulkannya bagi organisasi.

• IT Risk Assessment adalah penerapan dari prinsip-prinisip

manajemen risiko terhadap perusahaan yang memanfaatkan
teknologi informasi dengan tujuan untuk dapat mengelola
risiko-risiko yang berhubungan dengan perusahaan tersebut.
Risiko-risiko yang dikelola meliputi kepemilikan, operasional,
keterkaitan, dampak, dan penggunaan dari teknologi informasi
pada sebuah perusahaan.
 IT Risk Management

• IT Risk Management tidak hanya berfokus tentang

penanganan terhadap risiko dan dampak negative dari
hambatan-hambatan di atas terhadap operasional
perusahaan dalam hal value sebuah perusahaan, tetapi
juga dapat memberikan keuntungan potensial.
• Langkah-langkah yang dilakukan untuk mengelola risiko
teknologi informasi dalam sebuah perusahaan:
1. Assessment, merujuk pada pencarian risiko dan penilaian
tingkat keparahan risiko.
2. Mitigation, yaitu penanggulanan yang dilakukan untuk
mengurangi dampat risiko.
3. Evaluation and Assessment, merujuk pada evaluasi
terhadap penanggulangan yang sudah dilakukan.
 Kebijakan dan Pengendalian Keamanan

• Mekanisme yang diterapkan baik untuk melindungi perusahaan

dari resiko atau untuk meminimalkan dampak resiko tersebut pada
perusahaan

• Kebijakan dan Pengendalian Keamanan :

• Pengendalian Administratif
• Pengendalian Pengembangan, Operasi dan Pemeliharaan sistem
• Pengendalian pusat data , hardware dan software pendukung
• Pengendalian akses control pengguna/user
• Pengendalian terhadap bencana alam yang mungkin timbul
 Disaster Recovery Planning

• Disaster Recovery Planning: Rencana, proses,

kebijakan, dan prosedur yang berkaitan dengan
persiapan untuk pemulihan atau kelanjutan dari
infrastruktur teknologi yang penting bagi
perusahaan setelah terjadinya bencana, baik karena
alam ataupun ulah manusia

• Business continuity planning: Fokus kepada

pemulihan dari segi operasi bisnis
 Disaster Recovery Planning
10 Langkah dalam menjalankan Disaster Recovery Plan :

1. Define key assets, threats and scenarios
mengidentifikasi aset mana yang penting bagi perusahaan,
dan apa dampaknya jika aset tersebut hilang. Langkah ini
bertujuan agar perusahaan tahu apa yang harus dilindungi
dan apa nilainya terhadap bisnis perusahaan.

2. Determine the recovery window
Setelah mengetahui apa saja aset penting, langkah
selanjutnya adalah menentukan berapa lama perusahaan
dapat bertahan tanpa menggunakan sebuah aset. Hal ini
bertujuan untuk mengetahui prioritas setiap aset.
 Disaster Recovery Planning
10 Langkah dalam menjalankan Disaster Recovery Plan :

3. Defining recovery solutions

menentukan pendekatan dan solusi terbaik yang akan
dilakukan dengan melihat tahap pertama dan kedua. Misalkan
solusi bisa berupa backup data.

4. Draft a disaster recovery plan

Dalam langkah ini, akan ditentukan bagaimana cara
perusahaan akan melindungi aset dan juga menentukan proses
selanjutnya. Dalam langkah ini juga akan dibahas mengenai
berapa besar kerusakan yang ditanggung dan cara untuk
meminimalisir kerusakan tersebut.
 Disaster Recovery Planning
10 Langkah dalam menjalankan Disaster Recovery Plan :

5. Establish a communications plan and assign roles

Membuat perencanaan komunikasi antar karyawan dan pelanggan
serta menentukan role dan kewajiban dari setiap anggota tim disaster
recovery.

6. Disaster recovery site planning

Menentukan “recovery site”, yaitu lokasi yang ditujukan sebagai
tempat menjalankan sistem dalam disaster recovery. Recovery
site bertujuan untuk menghadapi sebuah situasi dimana data
center tidak lagi menjadi lokasi utama penyimpanan data karena tidak
bisa diakses. Recovery site dibagi menjadi 3 macam yaitu:
- Hot site
- Warm site
- Cold site
 Disaster Recovery Planning
10 Langkah dalam menjalankan Disaster Recovery Plan :

7. Accessing data and applications

Merupakan langkah dimana perusahaan akan menentukan metode
untuk pengaksesan data dan aplikasi pada data center utama.

8. Document the disaster recovery plan, in detail

Dalam langkah ini, akan dibuatnya dokumentasi disaster
recovery lebih detail seperti bagaimana data akan dikembalikan
setelah data center sudah kembali, dan semacam itu.
 Disaster Recovery Planning
10 Langkah dalam menjalankan Disaster Recovery Plan :

9. Test the disaster recovery plan

Langkah ini merupakan tes nyata kepada para staff untuk menyiapkan
mereka dalam menghadapi situasi darurat dan juga untuk mencari cela
kesalahan pada Disaster Recovery Planning.

10. Refine and retest the disaster recovery plan

Langkah terakhir ini merupakan revisi-revisi terhadap tes yang sudah
dilakukan sebelumnya.
 Tehnik Mengamankan Informasi

• Protect with passwords. Semua akses ke jaringan maupun

data, sangat sensitif dan harus dijaga dengan nama
pengguna dan kata kunci yang unik. Sandi yang kuat berisi
angka, huruf dan simbol.
• Design safe systems. Hilangkan akses yang tidak perlu ke
hardware maupun software Anda, dan batasi hak akses
pengguna hanya untuk peralatan dan program yang
dibutuhkan saja.
• Conduct screening and background checks. Melakukan
skrining dan pemeriksaan latar belakang pada karyawan
perlu dilakukan.
 Tehnik Mengamankan Informasi

• Provide basic training. Pelanggaran keamanan yang tak terhitung

jumlahnya kerap terjadi sebagai akibat kesalahan dan
kecerobohan manusia.
• Avoid unknown email attachements. Jangan pernah mengklik
lampiran email yang tidak dikenal, yang kemungkinan bisa berisi
virus komputer.
• Hang up and call back. Jika Anda menerima panggilan dari
orang yang tidak dikenal yang tiba-tiba ingin memberikan hadiah
dan berpura-pura hadiah itu diberikan oleh perwakilan dari bank
atau mitra lainnya, segera akhiri panggilan yang tidak dikenal
tersebut.
 Tehnik Mengamankan Informasi

• Think before clicking. Untuk menghindari penipuan yang terjadi

melalui email yang meminta informasi nama pengguna, kata sandi
atau informasi pribadi, Anda harus mempertimbangkannya
kembali agar Anda tidak terdorong ke sebuah situs web palsu yang
mendorong calon korban untuk memasukkan data mereka sendiri.
• Use a virus scanner, and keep all software up-to-date. Menjaga
perangkat lunak agar terus up-to-datejuga mampu mencegah virus
masuk dan membuat keamanan sistem IT terjaga.
• Keep sensitive data out of the cloud. Cloud computing
menawarkan banyak manfaat dan penghematan biaya kepada
bisnis.
• Stay paranoid. Jangan pernah meninggalkan laporan yang bersifat
penting dan sensitif di meja Anda.
 Link Video

https://www.youtube.com/watch?v=8caqok3ah8o

https://www.youtube.com/watch?v=XsgNlriPs40
Terima Kasih