• Tidak ada hasil yang ditemukan

Bab 5 KEAMANAN SISTEM INFORMASI

N/A
N/A
Info
Unduh - Bebas
Protected

Academic year: 2018

Membagikan "Bab 5 KEAMANAN SISTEM INFORMASI"

Copied!
9
0
0

Memuat.... (Lihat teks lengkap sekarang)

Unduh sekarang ( 9 Halaman )

Teks penuh

(1)

Bab 5

KEAMANAN SISTEM INFORMASI

Tinjauan

Sistem keamanan informasi berbentuk suatu subsistem dalam suatu organisasi yang bertugas untuk mengendalikan resiko terkait dengan sistem berbasis komputer.

Siklus hidup sistem keamanan informasi

Sistem keamanan informasi yang bebasis komputer dikembangkan dengan penerapan :

- Metode analisis, sebagai analis kerentanan sistem dalam arti ancaman yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.

- Desain sistem, sebagai desain ukuran keamanan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi.

- Implementasi sistem, sebagai penerapan ukuran keamanan yang telah didesain.

- Operasi, evaluasi, dan pengendalian sistem sebagai taksiran efektifitas dan efisiensi dan perubahan yang diperlukan sesuai kondisi yang ada.

Keempat tahapan diatas disebut sebagai manajemen resiko sistem informasi.

Sistem keamanan informasi dalam organisasi

Dalam organisasi, sebuah sistem keamanan informasi dapat efektif bila dikelola oleh Chief Securiity Officer (CSO). Dengan tugas utamanya adalah memberikan laporan yang diberikan langsung kepada dewan direksi demi terciptanya independensi untuk mendapatkan persetujuan dewan direksi. Laporan tersebut mencakup keempat tahapan diatas.

Menganalisis kerentanan dan ancaman

Dalam melakukan analisis ini terdapat dua pendekatan, yaitu :

(2)

1. Kesulitan dalam mengidentifikasi biaya yang relevan untuk setiap item kerugian dan menaksir probabilitas terjadinya eksposur tersebut. Hal ini terjadi karena estimasi melibatkan biaya estimasi biaya interupsi bisnis yang sulit diprediksi atau penggantian komputer lama yang biayanya tentu tidak sebanding dengan komputer baru.

2. Estimasi kemungkinan kerugian melibatkan prediksi masa yang akan datang, sedangkan prediksi tersebut sulit dilakukan apalagi terkait dengan teknologi yang berkembang dengan cepat.

- Pendekatan kualitatif, metodenya secara sederhana merinci daftar kerentana dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut berdasarkan kontribusi setiap item tersebut terhadap total eksposur kerugian perusahaan tersebut.

Pada praktiknya, seringkali kedua pendekatan ini diterapkan secara bersamaan, dengan cakupan are analisis yaitu ;

- Interupsi bisnis,

- Kerugian perangkat lunak,

- Kerugian data,

- Kerugian perangkat keras,

- Kerugian fasilitas,dan

- Kerugian jasa dan personel.

Kerentanan dan Ancaman

- Kerentanan merupakan kelemahan yang ada dalam suatu sistem.

- Ancaman merupakan suatu potensi eksploitasi suatu kerentanan yang ada, ancaman dibedakan dalam 2 jenis :

 Ancaman aktif, mencakup pada kecurangan sistem informasi dan sabotase komputer.

 Ancaman pasif, mencakup kegagalan sistem (kegagalan komponen peralatan sistem), termasuk bencana alam.

Tingkat Keseriusan Kecurangan Sistem Informasi

(3)

Individu yang dapat menjadi ancaman bagi sistem informasi

Serangan terhadap sistem informasi memerlukan akses pada hardware, file data yang sensitive, atau program yang kritis. Terdapat tiga kelompok yang memiliki perbedaan kemampuan dalam akses hal tersebut diatas, yaitu :

- Personel sistem, kerap kali merupakan ancaman yang potensial karena mereka diberi wewenang akses terhadap data dan program yang sensitive. Yang meliputi personel pemeliharaan sistem, programmer, operator jaringan, personel administrasi sistem informasi, dan karyawan pengendali data.

- Pengguna, hanya mendapatkan akses yang terbatas namun tetap saja mereka masih memiliki cara melakukan kecurangan.

- Penyusup, tidak diberikan akses sama sekali tetapi pihak ini seringkali bertindak cerdas yang bias menimbulkan kerugian yang sangat besar pada perusahaan. Tipe lain dari penyusup ini antara lain :

Unnoticed intruder, penyusup (hacker) yang masuk kedalam area yang tidak dijaga dan melihat data yang sensitive dalam komputer personal yang tidak dijaga, bahkan bias saja masuk ke sistem dan merusak website perusahaan.

Wiretapper, penyadapan yang dilakukan pada saat transfer informasi baik itu yang melalui media internet atau sebagainya.

Piggybacker, penyadapan yang dilakukan dengan mengambil informasi yang legal dan menggantinya dengan yang salah.

Impersonating intruder, adalah individu yang melakukan kecurangan terhadap perusahaan. Dengan menggunakan user ID dan password yang diperoleh dengan cara yang tidak legal untuk mengakses sumber daya elektronik perusahaan.

Eavesdroppers Cathode-ray Tubes (CRT) standar yang banyak digunakan diunit display video menghasilkan interferensi elektromagnetik pada satu frekuensi yang dapat ditangkap dengan se-perangkat televisi sederhana.

Ancaman Aktif dalam Sistem informasi

Berikut ini adalah enam metode yang dapat digunakan untuk melakukan kecurangan sistem informasi, yang meliputi :

1. Manipulasi Input, metode ini mensyaratkan kemampuan teknis yang paling minimal dimana seseorang yang tidak memiliki kemampuan atau pengetahuan mengenai cara operasi sistem komputer dapat saja mengubah input.

(4)

dimiliki oleh sejumlah orang yang terbatas. Namun banyak perusahaan yang telah memiliki program khusus untuk menguji adanya perubahan dalam program.

3. Mengubah file secara langsung, indvidu-individu tertentu menemukan cara untuk memotong proses normal untuk menginput data kedalam program komputer, jika hal ini yang terjadi maka bencana yang didapat.

4. Pencurian data, merupakan salah satu masalah yang sangat tinggi yang cukup serius dalam dunia bisnis hari ini. Persaingan yang terjadi memungkinkan adanya pencurian data baik yang kuantitatif dan kualitatif. Sejumlah informasi yang ditransmisikan antar perusahaan melalui internet, informasi yang seperti ini rentan terhadap pencurian pada saat transmisi dan bias saja disadap.

5. Sabotase, akan membahayakan sistem informasi. Sabotase ada kalanya menggunakan program komputer, bila menggunakan metode ini sering disebut bom logika.

6. Penyalahgunaan atau pencurian sumber daya informasi, biasa terjadi pada saat karyawan menyalahgunakan sumber daya komputer organisasi untuk kepentingan pribadi.

Sistem Keamanan Sistem Informasi

Sistem keamanan komputer merupakan bagian dari struktur pengendalian internal perusahan secara keseluruhan. Dengan kata lain, elemen dasar pengendalian internal menjadi aspek penting sistem keamanan komputer. Keamanan sistem informasi merupakan sebuah aplikasi prinsip-prinsip pengendalian internal yang secara khusus digunakan untuk mengatasi masalah-masalah dalam sistem informasi.

Lingkungan Pengendalian

Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem pengendalian, pembangunan lingkungan pengendalian yang bagus tergantung pada delapan faktor, yaitu :

(5)

2. Struktur Organisasi, memerlukan adanya bagian yang bertanggungjawab terhadap sistem keamanan komputer tersebut.

3. Dewan Direksi dan Komitenya, menyangkut penunjukan individu kompeten untuk bertanggungjawab akan sistem keamanan komputer. 4. Metode pembagian otoritas dan tanggungjawab, pembagian tugas,

tanggungjawab, dan wewenang harus didelegasikan dengan baik dan tergambar secara jelas dalam struktur organisasi.

5. Aktivitas Pengendalian Manajemen, terkait dengan penganggaran biaya yang efektif dan efisien dalam melakukan suatu rancangan sumber daya sistem komputer dan informasi.

6. Fungsi audit internal, sebagai auditor akan sistem keamanan komputer dengan konstan dan dimodifikasi untuk memenuhi kebutuhan yang terus berubah dan membuatkan kebijakan keamanan yang harus teruji kesesesuaian dan keefektifannya.

7. Kebijakan dan praktik personalia, menyangkut pemisahan tugas, supervise yang memadai, rotasi pekerjaan, vakasi wajib, dan pengecekan ganda merupakan praktik personalia yang penting. Sehingga diperlukan peraturan dan kebijakan menyangkut perbedaan tugas-tugas tersebut. 8. Pengaruh eksternal, menyangkut sistem informasi perusahaan yang

sesuai dengan hukum dan regulasi lokal, federal, dan Negara bagian. Hukum dan regulasi ini mengatur keamanan dan privasi berbagai tipe data, termasuk data terkait dengan pelanggan dan kredit mereka, pelanggan dan riwayat mereka, personalia dan pemerintah.

Pengendalian Ancaman Aktif

Untuk pencegahan ancaman ini dapat dengan menerapkan tahap-tahap pengendalian akses yang akan memisahkan penyusup dari sasaran yang potensial mereka. Pada langkah pertamanya, membangun pengendalian akses dengan mengelompokkan semua data dan peralatan sesuai dengan tingkat kepentingan dan tingkat kerentanan data dan peralatan tersebut. Pengelompokan pengendalian tersebut adalah sebagai berikut :

1. Pengendalian lokasi, bertujuan untuk memisahkan secara individu secara fisik yang tidak berwenang dengan sumber daya komputer. Semua pengguna diwajibkan menggunakan tanda identifikasi keamanan, setiap peralatan komputer dan datanya yang sensitive harus diberikan pintu lengkap dengan kuncinya yang terprogram agar dapat menolak akses dengan kunci yang tidak memiliki hak akses.

(6)

individu tak berwenang ke lokasi tersebut. Serangan terhadap pustaka data dan ruangan kritis lainnya dapat diminimalkan dengan penjagaan yang ketat. Yang dapat dilakukan dengan penggunan pitu ganda untuk tempat penyimpanan perangkat komputer, yang dapat diakses dengan kode atau password serta identifikasi khusus yang hanya dapat diakses oleh pihak terkait saja dan jika ada orang lain yang memiliki akses terbatas pada lokasi maka akan memiliki hambatan untuk masuk pada lokasi tersebut.

Untuk komputer personal, perlakuannya dengan membatasi booting hanya dari harddisk internal dan jaringan serta hanya dapat diakses dengan password. Untuk proteksi akan virus secara pembatasan fisik, dilakukan dengan menyediakan workstation yang tidak memiliki harddisk dan diskdrive dengan tujuan workstation hanya dapat menggunakan disk dalam jaringan dan perangkat lunak dan data tersimpan di server pusat. Selain itu dapat pula menggunakan sistem operasi yang ROM-based serta penggunaan kabel fisik yang anti sadap.

2. Pengendalian akses sistem, merupakan pengendalian dalam bentuk perangkat lunak yang didesain untuk mencegah penggunaan sistem oleh pengguna yang illegal. Dengan tujuan untuk mengecek keabsahan pengguna dengan menggunakan sarana seperti ID pengguna, password, IP, dan perangkat-perangkat keras.

3. Pengendalian akses file, bertujuan mencegah akses illegal ke data dan file program. Pengendalian akses file yang paling fundamental adalah pembuatan petunjuk dan prosedur legal untuk mengakses dan mengubah file. Batasan khusus harus diberikan pada programmer yang memang memiliki pengetahuan untuk mengubah program dengan syarat programmer harus menunjukkan persetujuan tertulis. Setiap program yang penting harus disimpan pada file yang terkunci, mengindikasikan bahwa program tetap dapat dijalankan namun tidak dapat dilihat atau diubah dan hanya keamanan yang dapat mengetahui password untuk membuka file program.

Pengendalian Ancaman Pasif

(7)

Sistem Toleransi Kesalahan

Metode yang digunakan untuk menangani kegagalan komponen sistem adalah pengawasan dan redundancy. Toleransi kesalahan dimaksudkan apabila salah satu sistem gagal , bagian yang redundant akan segera mengambil alih dan sistem dapat terus beroperasi tanpa interupsi. Toleransi kesalahan dapat diterapkan pada berbagai interupsi yang tergolong ancaman pasif ini. Sebagai contoh, bila terjadi mati listrik maka dapat diantisipasi dengan penggunaan UPS (Uninteriptable Power Supply).

Memperbaiki Kesalahan : Backup File

Terdapat 3 jenis backup file yaitu :

1. Backup penuh, membuat semua backup file yang ada dalam satu disk. Masing-masing file memiliki sebuah archive bit tang diset ke angka 0 selama proses backup, dan akan berubah menjadi archive bit 1 bila file tersebut mengalami perubahan. 2. Backup incremental, membakup semua file dengan nilai

archive bit 1, kapan saja file tersebut mengalami perubahan. Dan selama proses backup, setiap file akan diset pada archive bit 0.

3. Backup diferensial, dasarnya sama dengan backup incremental namun perbedaannya pada proses backup archive file tidak diset menjadi 0.

Keamanan Internet

Koneksi perusahaan dengan dunia internet akan memberi peluang pada bagi perusahaan menjadi sasaran setiap hacker yang ada di dunia.

Kerentanan yang menyangkut dengan koneksi internet ini dapat muncul akibat dari kelemahan-kelemahan berikut ini :

1. Sistem operasi atau konfigurasi sistem operasi, sistem operasi merupakan bagian yang paling utama dan terpenting yang harus dijamin keamanannya oleh administrator. Namun masalahnya, tidak ada sistem operasi yang dapat bebas dari serangan sebab hacker selalu menemukan kelemahan baru didalam sistem operasi.

(8)

dengan informasi dan pembaruan perihal konfigurasi server. Konfigurasi ini dapat mempengaruhi keamanan web server

3. Kerentanan Jaringan Privat, pada waktu Web server ditempatkan pada komputer host yang terkoneksi pada berbagai komputer melalui jaringan LAN. Dalam keadaan seperti ini hacker dapat menyerang satu komputer melalui satu komputer yang lain. Dengan cara mengirimkan surat elektronik yang disertai program kuda Troya ke komputer perantara tersebut. Program kuda Troya ini secara otomatis akan terinstal pada saat pengguna membuka surat elektronik tersebut. Program ini akan memungkinkan hacker mengendalikan komputer dari jarak jauh.

4. Kerentanan Berbagai Program Server, adakalanya komputer host sustu web menjalankan erver-server yang lain seperti FTP server. Masalahnya setiap tambahan server akan menambah pula resiko yang akan terjadi. Salah satu server cacat atau lemah manka akan membuka jalan bagi hacker untuk menyerang server-server yang lainnya.

5. Prosedur Keamanan Umum, memaksudkan pentingnya keamanan yang baik secara keseluruhan.setiap kesalahan dan perkecualian harus di-log kedalam file yang dijamin aman. Namun hacker tetap saja akan berusaha mengubah file log, dengan cara menuliskan log dikomputer yang berbeda namun dapat diantisipasi dengan penggunaan firewall.

Pengelolaan Resiko Bencana

Pengelolaan ini memperhatikan perencanaan dan pencegahjan kontijensi. Kedua hal ini dejabarkan sebagai berikut :

1. Pencegahan kontingensi terjadinya bencana,

Bagian ini merupakan langkah awal pengelolaan resiko akibat suatu bencana. Bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijakan dan perencanaan keamanan yang baik, sebagai contoh adanya bencana alam berupa gempa harus diantisipasi dan menjadi pertimbangan pada saat membangun gedung.

2. Perencanaan kontingensi untuk mengatasi bencana,

(9)

Menaksir kebutuhan penting perusahaan, yang mencakup perangkat keras, perangkat lunak, peralatan listrik, peralatan pemeliharaan,ruang gedung, catatan yang vital, dan sumber daya manusia.

Daftar prioritas pemulihan berdasarkan kebutuhan perusahaan, pemulihan terhadap terjadinya bencana akan memakan waktu yang relative lama sehingga perlu dibuatkan daftar prioritas terkait dengan aktivitas perusahan yang paling penting.

Strategi dan Prosedur pemulihan, mengindikasikan persiapan dan reaksi akan terjadinya suatu bencana, apabila terjadi suatu bencana maka telah direncankan apa yang harus dilakukan, siapa, bagaimana melakukannya dan berapa lama waktu yang dibutuhkan. Hal-hal tersebut menyangkut pada :

o Pusat respons darurat,

o Prosedur ekskalasi,

o Menentukan pemrosesan komputer alternative,

o Rencana relokasi karyawan,

o Perencanaan penyelamatan,

Referensi

Unduh sekarang ( DOC - 9 Halaman - 82.00 KB )

Garis besar

Bab 5 KEAMANAN SISTEM INFORMASI

Dokumen terkait

Pengaruh Suku Bunga, Citra Merek dan Kualitas Layanan Kredit Usaha Rakyat Bank Rakyat Indonesia Terhadap Keputusan Meminjam Nasabah Usaha Mikro di Surabaya

Hasil lokasi, tingkat suku bunga, dan kualitas pelayanan bersama-sama berpengaruh signifikan terhadap keputusan spinjaman kredit suku bunga, layanan, jaminan

KARAKTERISTIK SIFAT FISIKOKIMIA DAN ORGANOLEPTIK BISKUIT KAYA PROTEIN DENGAN SUBSTITUSI TEPUNG IKAN NILA (Oreochromis niloticus) DAN TEPUNG IKAN TERI (Stolephorus sp)

Sebelum dilakukan pengaplikasian tepung ikan pada pembuatan biskuit, dilakukan uji bahan baku tepung ikan yang meliputi rendemen, kadar air, kadar protein, kadar

PENGARUH LAMA PERENDAMAN ASAP CAIR SEKAM PADI TERHADAP KANDUNGAN GIZI IKAN LELE (Clarias sp.) DAN KAJIAN IMPLEMENTASI SEBAGAI SUMBER BELAJAR

Hasil penelitian ini dapat dijadikan sebagai infromasi kepada masyarakat mengenai pengaruh lama perendaman asap cair sekam padi terhadap kandungan gizi ikan lele

Pengaruh Mulsa Organik dan Volume Air Siraman pada Beberapa Sifat Kimia Tanah di Pembibitan Utama Kelapa Sawit

Peranan mulsa dalam konservasi tanah dan air adalah: (a) melindungi tanah dari butir-butir hujan sehingga erosi dapat dikurangi dan tanah tidak mudah menjadi

Efektivitas Penerapan Model Pembelajaran Kooperatif Tipe Think Pair And Share pada Keterampilan Membaca Pemahaman Siswa Kelas III Sdn Burengan 2 Kota Kediri

Hendaknya menerapkan model pembelajaran kooperatif tipe Think Pairs and Share dalam pembelajaran bahsa Indonesia, khususnya untuk keterampilan membaca pemahaman

Tingkat Kesesuaian Laporan Penyelenggaraan Pemerintahan Daerah Tahun 2010 terhadap Pp No. 3/2007

Oleh karena itu, disarankan untuk penelitian selanjutnya dapat digunakan data yang lebih banyak bisa berupa LPPD dari pemda tingkat dua (kabupaten/kota) atau pemda propinsi

Laporan kinerja LPMP Kepulauan Bangka Belitung tahun 2018

Laporan ini merupakan pertanggungjawaban Kepala LPMP ProvinsiKepulauan Bangka Belitung atas pelaksanaan tugas dan fungsinya dalammenopang tugasKementerian Pendidikan dan

Pengaruh Model Pembelajaran Kooperatif Tipe Teams Games Tournament (Tgt) Berbantuan Media Game Online terhadap Pemahaman Konsep dan Penalaran Matematis Siswa

konsep dan penalaran matematis siswa. Penelitian ini bertujuan untuk menelaah peningkatan kemampuan pemahaman konsep dan penalaran matematis siswa dengan menggunakan

Image