KEAMANAN SISTEM INFORMASI
Tinjauan Sekilas
Sistim keamanan informasi adalah subsistem organisasi yang mengendalikan resiko-resiko
khusus yang berhubungan dengan sistim informasi berbasis-komputer
Hasil Sasaran Belajar
1 Mampu menguraikan pendekatan umum untuk
menganalisis kerawanan dan ancaman-ancaman di dalam sistim informasi.
Hasil Sasaran Belajar
3 Mampu mengidentifikasi aspek kunci sistim keamanan informasi .
Sasaran Belajar 1
Mampu menguraikan pendekatan umum untuk menganalisis kerawanan dan ancaman-ancaman
Daur hidup Sistim Sekuritas Informasi
Sistem keamanan komputer dikembangkan dengan menerapkan metoda-metoda yang telah mapan yang terdiri dari : analisis sistem; desain;
Siklus Hidup Sistem Keamanan
Informasi
Fase Siklus Hidup Sasaran
Analisis Sistem Analisis kerentanan sistem informasi terutama yang
berhubungan dengan hambatan dan kerugian yang mungkin
timbul.
Siklus Hidup Sistem Keamanan
Informasi
Fase Siklus Hidup Sasaran
Implementasi Sistem Implementasi ukuran
keamanan seperti rancangan
Operasi, evaluasi, Operasi sistem dan
dan pengendalian penilaian efektifitas dan
sistem efisiensinya.
Sistim Keamanan Informasi di
dalam Organisasi
Sistim keamanan informasi harus diatur oleh
seorang kepala petugas keamanan (Chief Security Officer).
Untuk menjaga independensinya, CSO harus
bertanggungjawab secara langsung kepada dewan direktur.
Analisa Kerentanan dan Ancaman
Ada dua pendekatan dasar yang dipakai untuk meneliti kerentanan dan ancaman-ancaman sistem informasi:
Analisa Kerentanan dan Ancaman
Di dalam pendekatan kwantitatif untuk penaksiran risiko, setiap kemungkinan kerugian dihitung sesuai hasil biaya kerugian perorangan dikalikan dengan kemungkinan munculnya.
Terdapat beberapa kesulitan di dalam
Analisa Kerentanan dan Ancaman
1. Kesulitan mengidentifikasi biaya relevan per kerugian dan kemungkinan-kemungkinan yang terkait.
2. Kesulitan menaksir kemungkinan dari suatu
Analisa Kerentanan dan Ancaman
Pendekatan kwalitatif untuk penaksiran risiko
dilakukan dengan mengurutkan kerentanan dan ancaman sistim, dan menyusun secara subyektif
menurut sumbangan mereka terhadap kemungkinan total kerugian perusahaan.
Terlepas metoda yang digunakan, setiap analisa harus mencakup kemungkinan kerugian untuk
Analisa Kerentanan dan Ancaman
1. gangguan bisnis
2. kehilangan perangkat lunak 3. kehilangan data
4. kehilangan perangkat keras 5. kehilangan fasilitas-fasilitas
Sasaran Belajar 2
Identifikasi ancaman-ancaman pasif dan aktif
Kerentanan dan Ancaman
Apa yang dimaksud dengan kerentanan?
Kerentanan adalah suatu kelemahan di suatu sistem.
Apa yang dimaksud dengan ancaman?
Kerentanan dan Ancaman
Dua kategori ancaman sistem: 1. Ancaman-ancaman aktif
Kerentanan dan Ancaman
Contoh ancaman aktif adalah penipuan komputer dan sabotase komputer.
Individu yang Menimbulkan
Ancaman Sistem Informasi
Suatu serangan yang sukses di satu sistem
informasi memerlukan akses ke perangkat keras, file data sensitip, atau program kritis.
Tiga kategori individu yang bisa menimbulkan serangan ke sistem informasi:
1. Karyawan sistim informasi
2. Para pemakai
Individu yang Menimbulkan
Ancaman Sistem Informasi
Karyawan sistim informasi meliputi:
1. Karyawan pemeliharaan komputer
2. Programmer
3. Operator komputer dan jaringan
4. Karyawan administrasi sistim informasi
Individu yang Menimbulkan
Ancaman Sistem Informasi
Individu yang Menimbulkan
Ancaman Sistem Informasi
Pengganggu adalah setiap orang yang mengakses peralatan, data elektronik, atau memfile tanpa
otorisasi yang tepat.
Siapakah hacker?
Hacker adalah seorang pengganggu yang
Individu yang Menimbulkan
Ancaman Sistem Informasi
Jenis-jenis lain dari pengganggu-pengganggu?
unnoticed intruders
wiretappers
piggybackers
impersonating intruders
Ancaman-ancaman Aktif
Sistim Informasi
Metoda-metoda yang biasa dipakai untuk melakukan penipuan sistim informasi :
manipulasi masukan
gangguan program
gangguan file secara langsung
pencurian data
sabotase
Ancaman-ancaman Aktif
Sistim Informasi
Dalam banyak kasus penipuan komputer, manipulasi masukan adalah metoda yang paling banyak
digunakan.
Ancaman-ancaman Aktif
Sistim Informasi
Gangguan program barangkali metoda yang
paling sedikit digunakan untuk melakukan penipuan komputer.
Metoda ini memerlukan ketrampilan-ketrampilan programming yang hanya dikuasai hanya oleh beberapa orang.
Ancaman-ancaman Aktif
Sistim Informasi
Trapdoor adalah suatu bagian program komputer yang mengizinkan (membiarkan) seseorang untuk mengakses program dengan melewati
pengamanan normal program tersebut.
Gangguan file secara langsung terjadi ketika seseorang menemukan jalan untuk membypass
Ancaman-ancaman Aktif
Sistim Informasi
Pencurian data adalah masalah yang serius di dalam bisnis sekarang ini.
Di dalam industri yang sangat kompetitif, informasi kwalitatif dan kwantitatif tentang pesaing nya terus menerus dicari.
Ancaman-ancaman Aktif
Sistim Informasi
Karyawan yang tidak puas, bisa menjadi para pelaku sabotase sistem komputer.
Beberapa metoda dari sabotase:
Logic bomb
Trojan horse
Ancaman-ancaman Aktif
Sistim Informasi
Apa yang dimaksud Worm?
Worm adalah suatu jenis dari virus komputer yang
menyebar dengan sendirinya di atas suatu jaringan komputer.
Salah satu jenis penggelapan sumber daya komputer
Sasaran Belajar 3
Sistim Keamanan Informasi
Pengendalian ancaman-ancaman dapat tercapai dengan menerapkan pengukuran keamanan dan rencana darurat.
Pengukuran keamanan berfokus pada pencegahan dan pendeteksian ancaman-ancaman.
Lingkungan Kendali
Lingkungan Pengendalian adalah dasar efektivitas keseluruhan sistem pengendalian.
Lingkungan pengendalian bergantung pada faktor-faktor berikut:
1 Filosofi dan Gaya Operasi Manajemen
Pertama dan aktivitas yang paling penting di dalam
Lingkungan Pengendalian
Semua karyawan perlu menerima pendidikan di
mengenai masalah keamanan.
Aturan keamanan harus dimonitor.
2 Struktur Organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan
Lingkungan Pengendalian
Di dalam lini organisasi harus ditentukan siapa yang
bertanggung jawab atas pembuatan keputusan yang secara langsung bersinggungan kepada perangkat lunak akuntansi dan prosedur akuntansi.
3 Dewan Komisaris dan Komite-komitenya
Lingkungan Pengendalian
Komite ini harus menugaskan atau menyetujui janji temu
dari suatu pemeriksa intern.
4 Metoda-metoda Penugasan Otoritas dan Tanggung
jawab
Tanggung-jawab semua posisi harus didokumentasikan
Lingkungan Pengendalian
5 Aktivitas Pengendalian Manajemen
Pengendalian harus dibentuk terutama yang
bersinggungan kepada penggunaan dan tanggung-jawab semua sumber daya yang berkenaan dengan komputer dan sistem informasi.
Harus ditetapkan anggaran-anggaran:
Lingkungan Pengendalian
biaya operasi, dan pemakaian.
Di dalam ketiga kategori tersebut, biaya yang
sebenarnya harus dibandingkan dengan jumlah yang dianggarkan.
Lingkungan Pengendalian
6 Fungsi Internal Audit
Sistim keamanan komputer harus terus menerus teraudit
dan dimodifikasi untuk memenuhi kebutuhan perubahan.
Semua modifikasi sistim itu harus diterapkan sesuai
Lingkungan Pengendalian
7 Kebijakan dan Praktek-praktek Kepegawaian
Pemisahan tugas, pengawasan yang cukup, rotasi
Lingkungan Pengendalian
Pengaruh dari Luar
Sistem informasi perusahaan harus sesuai dan
Pengendalian Ancaman-ancaman
Aktif
Cara utama untuk mencegah penggelapan dan sabotase adalah menerapkan jenjang memadai pada pengendalian akses.
Tiga jenjang pengendalian akses:
1. Site-access controls
2. System-access controls
Pengendalian Ancaman-ancaman
Aktif
1 Site-Access Controls
Tujuan pengendalian akses fisik adalah untuk memisahkan secara fisik, individu yang tidak
memiliki otorisasi dari sumberdaya komputer yang ada.
Pemisahan fisik ini harus diterapkan pada
Pengendalian Ancaman-ancaman
Aktif
Seluruh pemakai diharuskan menggunakan kartu identitas keamanan.
Tempat pengolahan data harus berada dalam gedung tertutup yang dikelilingi pagar.
Pengendalian Ancaman-ancaman
Aktif
TV Monitor Telephone
Pengendalian Ancaman-ancaman
Aktif
2 System-Access Controls
Pengendalian akses sistem adalah pengendalian yang
berbentuk perangkat lunak, yang dirancang untuk
mencegah pemanfaatan sistem oleh orang yang tidak berhak.
Pengendali ini membuktikan keaslian pemakai dengan
Pengendalian Ancaman-ancaman
Aktif
3 File-Access Controls
Pengendalian akses file mencegah akses yang tidak sah ke file data dan file-file program.
Pengendalian akses file paling pokok adalah penetapan petunjuk otorisasi dan
Pengendalian Ancaman-ancaman
Pasif
Ancaman-ancaman pasif termasuk permasalahan kegagalan tenaga dan perangkat keras.
Pengendalian untuk ancaman pasif dapat bersifat preventif atau korektif.
Pengendalian Preventive
Sistem Toleransi Kesalahan menggunakan pemonitoran
Pengendalian Ancaman-ancaman
Pasif
Jika salah satu bagian sistem gagal, bagian cadangan
akan segera mengambil alih dan sistem akan melanjutkan operasi dengan sedikit atau tanpa interupsi.
2 Corrective Controls
Pengendalian Ancaman-ancaman Pasif
Tiga tipe backup: 1 Full backups
Sasaran Belajar 4
Manajemen Resiko Bencana
Manajemen resiko bencana sangat penting untuk memastikan kesinambungan operasi dalam hal terjadi suatu bencana.
Manajemen resiko bencana berhubungan dengan pencegahan dan perencanaan kontingensi.
Manajemen Resiko Bencana
Hasil penelitian menunjukkan frekwensi bencana dari berbagai sebab:
Bencana alam 30%
Tindakan yang disengaja 45% Kesalahan manusia 25%
Data ini menunjukkan bahwa prosentase besar dari bencana-bencana itu dapat dikurangi atau
Manajemen Resiko Bencana
Rencana pemulihan bencana harus diterapkan di tingkatan yang paling tinggi di perusahaan.
Manajemen Resiko Bencana
Perancangan rencana pemulihan bencana meliputi tiga komponen utama:
1. Menilai kebutuhan-kebutuhan penting perusahaan.
2. Membuat daftar prioritas daftar pemulihan.
Manajemen Resiko Bencana
Rancangan strategi pemulihan perlu mempertimbangkan hal-hal:
pusat respons darurat
prosedur-prosedur ekskalasi dan perubahan
pelaksanaan pemrosesan
rencana relokasi dan penggantian pegawai
rencana penyediaan cadangan, dan rencana