MELINDUNGI SISTEM INFORMASI - BAB 1 SISTEM INFORMASI DALAM KEGIATAN BISNIS SAAT INI

8.1 KERENTANAN DAN PENYALAHGUNAAN SISTEM

Pengamanan (security) merujuk pada kebijakan, prosedur, dan pengukuran teknik yang digunakan untuk mencegah akses yang tidak sah, penggantian, pencurian, atau kerusakan fisik pada sistem informasi. Pengendalian (control) terdiri atas semua metode, kebijakan, dan prosedur organisasi yang menjamin keselamatan aset-aset organisasi;

ketepatan dan keandalan catatan rekeningnya; serta kepatuhan operasional pada standar-standar manajemen.

Mengapa Sistem dapat Menjadi Rentan

Dengan terkonsentrasinya data dalam bentuk elektronik dan berbagai prosedur yang tidak tampak lagi karena otomatisasi proses, sistem informasi komputer rentan terhadap perusakan, penyalahgunaan, kesalahan (error), kecurangan, dan gangguan pada peranti keras dan peranti lunak. Sistem-sistem perusahaan yang menggunakan Web khususnya sangat rentan karena Web dirancang sebagai sistem yang dapat diakses oleh semua orang dan membuat sistem perusahaan lebih mudah mendapat serangan dari pihak luar.

Peranti Lunak Berbahaya: Virus, Worm, Trojan, Horse, dan Spyware

 Para Hacker dapat meluncurkan serangan penolakan layanan (DoS) atau bergabung dengan jaringan sistem perusahaan yang dapat menyebabkan kekacauan serius pada sistem.

 Jaringan Wi-Fi dengan mudah dapat disusupi penyelundup menggunakan program sniffer untuk mendapatkan sebuah alamat sebagai sumber akses masuk jaringan.

 Virus komputer dan worm dapat merajalela dari satu sistem ke sistem lain, memakan memori komputer atau menghancurkan program dan data komputer.

 Peranti lunak memunculkan masalah karena bug dalam peranti lunak tidak mungkin dihilangkan dan karena kerentanan peranti lunak dapat dimanfaatkan oleh para

hacker dan peranti lunak yang berbahaya. Pengguna akhir juga dapat memunculkan kesalahan.

8.2 NILAI BISNIS DARI PENGAMANAN DAN PENGENDALIAN

Pengamanan dan kontrol sangatlah penting tetapi sering diabaikan dalam melakukan investasi sistem informasi. Perusahaan yang mengandalkan sistem komputer untuk melakukan fungsi-fungsi bisnis utamanya dapat mengalami kerugian penjualan dan produktivitas. Aset informasi, seperti catatan rahasia karyawan, rahasia dagang, atau rencana usaha perusahaan, akan hilang nilainya apabila jatuh ke tangan pihak asing atau membuat perusahaan dapat dituntut secara hukum.

Persyaratan Hukum dan Peraturan untuk Manajemen Catatn Elektronik

Perusahaan menghadapi kewajiban hukum baru untuk manajemen catatan elektronik dan kepemilikan dokumen sebagaimana juga perlindungan privasi. Manajemen catatan elektronik (electronic records management ERM) terdiri atas kebijakan, prosedur, dan peralatan untuk mengatur pemeliharaan, penghancuran, dan penyimpanan catatan elektronik.

 Perusahaan di bidang perawatan kesehatan harus tunduk pada Undang-undang Portabilitas dan Akuntabilitas Asuransi Kesehatan (Health Insurance Portability and Accountability Act HIPAA)

 Perusahaan yang memberikan layanan keuangan harus tunduk dengan undang-undang Modernisasi Jasa Keuangan (Financial Services Modernization Act) atau lebih dikenal dengan Undang-undang Gramm-Leach-Billey.

 Perusahaan publik harus tunduk pada Undang-undang Sarbanes-Oxley

Bukti Pengendalian dan Ilmu Forensik Komputer

Ilmu forensik komputer juga mengharuskan perusahaan memberikan perhatian lebih kepada masalah pengamanan dan manajemen catatan elektronik. Karena dalam suatu tindakan hokum, sebuah perusahaan diwajibkan untuk merespons permohonan penemuan untuk akses informasi yang mungkin digunakan sebagai bukti, dan perusahaan diwajibkan

oleh hukum untuk menunjukkan data itu. Biaya merespons permohonan penemuan dapat sangat besar jika perusahaan menjumpai masalah dalam menyusun data yang dibutuhkan atau data telah dirusak atau dihancurkan. Pengadilan saat ini membebankan denda

keuangan yang besar bahkan penalty criminal bagi perusakan dokumen elektronik secara tidak benar, kegagalan menunjukkan catatan, dan kegagalan menyimpan catatan dengan benar.

8.3 MENETAPKAN KERANGKA KERJA UNTUK PENGAMANAN DAN

PENGENDALIAN

Perusahaan perlu menetapkan sebuah kerangka pengorganisasian dan pengelola dalam pengamanan dan kontrol untuk menggunakan teknologi dengan efektif untuk melindungi sumber infrormasinya.

 Penilaian risiko (risk assessment) mengevaluasi aset informasi, mengidentifikasi titik-titik pengendalian dan mengendalikan kelemahan, dan menetapkan pengendalian yang paling efektif dalam hal biaya.

 Perusahaan juga harus membangun kebijakan pengamanan perusahaan yang koheren dan merencanakan keberlangsungan operasi bisnis pada saat terjadi bencana atau kekacauan. Kebijakan pengamanan (security policy) ini meliputi kebijakan penggunaan yang berterima dan otorisasi.

 Rencana pemulihan bencana menyediakan prosedur dan fasilitas untuk memulihkan kerja komputer dan layanan komunikasi setelah mengalami kekacauan, sementara rencana keberlangsungan bisnis berfokus pada bagaimana perusahaan dapat memulihkan jalannya operasi bisnis.

 Audit SIM yang sistematis dan komprehensif membantu perusahaan menentukan sistem yang paling efektif dalam pengamanan dan pengendalian utnuk sistem informasinya.

8.4 TEKONOLOGI DAN PERANGKAT PENGAMANAN Kontrol Akses

Kontrol Akses (access control) terdiri atas semua kebijakan dan prosedur yang digunakan perusahaan untuk mencegah akses tanpa izin ke sistem yang dilakukan oleh pihak internal dan pihak luar. Untuk mendapatkan akses, pengguna harus diotorisasi dan di autentikasi terlebih dahulu. Autentikasi adalah kemampuan untuk mengetahui siapa penguna itu. Teknologi autentik baru yang berhasil mengatasi beberapa masalah, seperti:

 Token adalah perangkat fisik, mirip dengan kartu identifikasi, yang dirancang untuk membuktikan identitas seorang pengguna. Perangkat ini menampilkan kode yang senantiasa berubah.

 Kartu pintar (smart card) adalah perangkat yang ukurannya mirip dengan kartu kredit yang berisi sebuah chip yang diformat dengan izin akses dan data lainnya.

Kartu pintar ini juga digunakan dalam sistem pembayaran elektronik.

 Autentikasi biometrik (biometric authentication) menggunakan sistem yang membaca dan menginterprestasikan ciri khas setiap orang, seperti sidik jari, iris mata, dan suara, dengan tujuan memberikan atau menolak akses.

Firewall, Sistem Deteksi Gangguan, dan Antivirus

Perusahaan membutuhkan upaya khusus untuk mendukung e-commerece dan proses bisnis digital. Perusahaan dapat menggunakan sistem komputer yang memiliki toleransi kesalahan atau membuat lingkungan komputasi dengan ketersediaan tinggi untuk memastikan bahwa sistem informasinya selalu hidup dan dapat bekerja tanpa interupsi.

Firewall ditempatkan diantara jaringan pribadi suatu perusahaan dan jaringan eksternal, seperti Internet, untuk menjaga agar para pengguna tidak sah tidak masuk ke dalam eksternal pribadi. Sistem deteksi gangguan memantau jaringan pribadi dari lalu lintas data jaringan yang mencurigakan dan mencoba untuk masuk dalam sistem perusahaan.

Antivirus mencegah sistem komputer terinfeksi virus dan worm dan menghilangkan peranti lunak yang berbahaya, sementara antispyware melawan gangguan dan bahaya dari program-program spyware. Enkripsi (encryption), pengodean dan pengacauan pesan,

merupakan teknologi yang biasa digunakan untuk pengamanan dalam mengirim data melalui Internet dan jaringan Wi-Fi. Sertifikat digital mengombinasikannya dengan enkripsi kunci publik untuk memberikan perlindungan lebih pada saat transaksi elektronik dengan cara mengautentikasi identitas seorang pengguna.

Dalam dokumen BAB 1 SISTEM INFORMASI DALAM KEGIATAN BISNIS SAAT INI (Halaman 37-41)