BAB 8 KEAMANAN INFORMASI

Dosen : Septa Petriansyah S.M., S.Kom., M.Kom

 PENDAHULUAN
• Keamanan informasi dimaksudkan untuk mencapai kerahasiaan,
ketersediaan, dan integritas di dalam sumber daya informasi
perusahaan.
• Manajemen keamanan informasi terdiri dari:
1. Perlindungan sehari-hari disebut manajemen keamanan
informasi (information security management/ ISM)
2. Persiapan untuk menghadapi operasi setelah bencana disebut
manajemen kesinambungan bisnis (business continuity
management /BCM)
KEBUTUHAN ORGANISASI AKAN KEAMANAN
DAN PENGENDALIAN
• Dalam dunia masa kini, banyak organisasi semakin dasar akan pentingnya
menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik,
agar aman dari ancaman baik dalam dan luar sistem komputer yang pertama hanya
memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang
vietnam ketika sejumlah instansi komputer di rusak oleh para pemrotes.
• Pengalaman diatas untuk meletakkan penjagan keamanan yang bertujuan untuk
menghilangkan atau mengurangi kemungkinan kerusakan atau penghancuran serta
menyediakan organisasi dengan kemampuan untuk melanjutkan kegiatan
operasional seelah terjadi gangguan.
 KEAMANAN INFORMASI
• Keamanan informasi berkaitan dengan semua sumber daya
informasi, bukan hanya peranti keras data, namun juga
peranti lunak, fasilitas komputer, dan personel.
• Istilah keamanan informasi digunakan untuk
mendeskripsikan perlindungan baik peralatan komputer dan
nonkomputer, fasilitas, data, dan informasi dari
penyalahgunaan pihak-pihak yang tidak berwenang
 TUJUAN KEAMANAN INFORMASI

Confidentiality Availability Integrity

.
Manajemen Keamanan Informasi

Manajemen keamanan informasi terdiri atas dua

area:
a) Manajemen keamanan informasi: aktivitas
untuk menjaga agar sumber daya informasi
tetap aman.
b) Manajemen keberlangsungan bisnis: aktivasi
untuk menjaga agar perusahaan dan sumber
daya informasi tetap berfungsi setelah adanya
bencana.
 INFORMATION SECURITY
MANAGEMENT
(ISM)
Manajemen informasi keamanan (ISM) terdiri dari empat langkah:
1. Identifikasi ancaman (threats) yang dapat menyerang sumber
daya informasi perusahaan
2. Mendefinisikan resiko dari ancaman – ancaman tersebut.
3. Menentukan kebijakan keamanan informasi
4. Menerapkan pengendalian (controls ) yang tertuju pada resiko
Hubungan logis antara ancaman, resiko dan pengendalian adalah
ketika ada ancaman maka ada resiko yang timbul dan harus ada
pengendalian terhadap resiko tersebut.
• Tolak ukur keamanan informasi (isb) adalah tingkat keamanan
yang disarankan yang dalam keadaan normal harus menawarkan
perlindungan dengan cukup terhadap gangguan yang tidak
terotoritasi
Manajemen Keamanan Informasi
(ISM)
 Ancaman Keamanan Informasi

• Ancaman keamanan informasi adalah seseorang,

organisasi, mekanisme, atau peristiwa yang dapat
berpotensi menimbulkan kejahatan pada sumber daya
informasi perusahaan
• Ancaman dapat berupa internal atau external, disengaja
atau tidak disengaja
• Gambar 9.2 memperlihatkan tujuan keamanan
informasi dan bagaimana keamanan informas
diberlakukan terhadap empat jenis resiko:
• Ancaman internal dan external
• Disengaja dan tidak disengaja
4 Ancaman Keamanan Informasi
 JENIS ANCAMAN

• Virus adalah sebuah program komputer yang dapat mereplikasi

dirinya sendiri tanpa pengetahuan pengguna
• Worm tidak dapat mereplikasi dirinya sendiri tanpa sebuah sistem tapi
dapat memancarkan salinan dengan sendirinya oleh e-mail
• Trojan horse tidak dapat mereplikasi maupun mendstribusikan
dirinya sendiri. Distribusi terpenuhi oleh para pemakai yang
mendistribusikannya sebagai utilitas, maka ketika digunakan
menghasilkan sesuatu perubahan yang tidak dikehendaki dalam
kemampuan sistem
• Adware memunculkan pesan-pesan iklan yang mengganggu
• Spyware mengumpulkan data dari mesin pengguna
INFORMATION SECURITY RISK

Pengungkapan Informasi yang Tidak

Terotorisasi dan Pencurian
Suatu basis data dan perpustakaan peranti Penghancuran yang Tidak Terotorisasi
lunak tersedia bagi orang-orang yang dan Penolakan Layanan
seharusnya tidak berhak memiliki akses.,
hasilnya adalah hilangnya informasi atau Seseorang dapat merusak atau
uang. menghancurkan peranti keras atau peranti
lunak yang biasanya tidak berhak
menggunakan sumber daya perusahaan
mampu melakukan hal tersebut.

Penggunaan yang Tidak Terotorisasi

Penggunaan ini terjadi ketika orang-orang
yang biasanya tidak berhak Modifikasi yang Tidak Terotorisasi
menggunakan sumber daya perusahaan
mampu melakukan hal tersebut. Perubahan dapat dilakukan pada data,informasi,dan
peranti lunak perusahaan.beberapa perubahan
dapat berlangsung tanpa disadari dan menyebabkan
para pengguna output sistem tersebut mengambil
keputusan salah, salah satunya adalah perubahan
nilai pada catatan akademis seorang siswa.
 MANAJEMEN RISIKO

Pendefinisian risiko terjadi atas 4 langkah :

Identifikasi aset-aset bisnis yang

harus dilindungi dari risiko 01 02 Menyadari risikonya

Option Option

Add Text
Simple PowerPoint
Presentation

03 04
Menentukan tingkatan dampak Option Option Menganalisis kelemahan
pada perusahaan jika risiko benar
perusahaan tersebut.
benar terjadi
 INFORMATION SECURITY RISK

Tindakan tidak sah yang menyebabkan resiko dapat

digolongkan ke dalam empat jenis :
1. Pencurian dan penyingkapan tidak terotorisasi.
2. Penggunaan tidak terotorisasi.
3. Pembinasaan dan pengingkaran layanan yang tidak
terotorisasi.
4. Modifikasi yang tidak terotorisasi.
 INFORMATION SECURITY RISK

Severe Impact Signifacant Impact Minor Impact

Kelemahan tingkat Melaksanakan analisis Melaksanakan analisis Analisis kelemahan

tinggi kelemahan.harus kelemahan.harus tidak dibutuhkan
meningkatkan meningkatkan
pengendalian pengendalian.
Kelemahan tingkat Melaksanakan analisis Melaksananakan Analisis kelemahan
menegah kelemahan. Sebaiknya analisis kelemahan, tidak dibutuhkan
meningkatkan sebaiknya
pengendalian meningkatkan
pengendalian
Kelemahan tingkat Melaksanakan analisis Melaksanakan analisis Analisis kelemahan
rendah kelemahan, menjaga kelemahan, menjaga tidak dibutuhkan.
pengendalian tetap pengendalian tetap
ketat. ketat.
KEBIJAKAN KEAMANAN INFORMASI

Dengan mengabaikan apakah perusahaan

mengikuti strategi manajemen risiko kepatuhan
tolak ukur maupun tidak. Suatu kebijakan
keamanan harus diterapkan untuk mengarahkan
keseluruhan program. Perusahaan dapat
melakukan penyusunan kebijakan keamanannya
dengan pendekatan yang bertahap. Penyusunan
kebijakan keamanan dapat dilihat pada gambar
berikut ini
 PENGENDALIAN

Pengendalian (control) adalah mekanisme yang diterapkan baik untuk

melindungi perusahaan dari risiko atau untuk meminimalkan dampak risiko
tersebut pada perusahaan jika risiko tersebut terjadi.
1. Pengendalian Teknis (technical control) adalah pengendalian yang menjadi
satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa
siklus penyusunan sistem.
2. Pengendalian Formal mencangkup penentuan cara berperilaku, dokumentasi
prosedur dan praktik yang diharapkan dan pengawasan serta pencegahan
perilaku yang berbeda dari panduan yang berlaku.
3. Pengendalian Informal mencangkup program-program pelatihan & edukasi
serta program pembangunan manajemen.
Cara Yang Paling Populer Dalam Pengendalian Teknis
A. Pengendalian Akses
1. .Identifikasi pengguna. Para pengguna pertama mengidentifikasi
mereka dengan cara memberikan sesuatu yang mereka ketahui,
misalnya kata sandi
2. Otentifikasi pengguna. Setelah identifikasi awal telah dilakukan,
para pengguna memverifikasi hak akses dengan cara memberikan
sesuatu yang mereka ketahui
3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan
autentikasidilalui, seseorang maka dapat melakukan otorisasi untuk
memasuki tingkat/derajat penggunaan tertentu
Gambar Pengendalian Akses
Cara Yang Paling Populer Dalam Pengendalian
Teknis
B. Kriptografis
• Data dan informasi yang tersimpan dan ditranmisikan dapat
dilindungi dari pengungkapan yang tidak terotorisasi dengan
kriptografi yaitu penggunaan kode yang menggunakan proses
matematika.
• Popularitas kriptografi semakin meningkat karena e-commerce
dan produk ditunjukan untuk meningkatkan keamanan e-
commerence
Cara Yang Paling Populer Dalam Pengendalian Teknis
C. Firewall
• Sumber daya komputer selalu dalam risiko jika terhubung ke
jaringan. Salah satu pendekatan keamanan adalah secara fisik
memisahkan situs web perusahaan dengan jaringan internal
perusahaan yang berisikan data sensitive dan sistem informasi.
• Cara lain adalah menyediakan kata sandi kepada mitra dagang
yang memasuki jaringan internal dari internet
• Pendekatan ketiga adalah membangun dinding pelindung atau
firewall
MANAJEMEN
KEBERLANGSUNGAN
BISNIS
“Aktivitas yang ditujukan
untuk” menentukan
operasional setelah terjadi
gangguan sistem informasi
01
Emergency Plan
Menyebutkan cara-cara yang akan
menjaga keamanan karyawan jika
bencana terjadi
02 Backup Plan
Perusahaan harus mengatur agar fasilitas
komputer cadangan tersedia seandainya
fasilitas yang biasa hancur atau rusak
sehingga tidak dapat digunakan.
03
Vital Records Plan)
Menentukan bagaimana catatan penting
tersebut harus dilindungi.
selesai