SISTEM INFORMASI MANAJEMEN (SIM)

(1)

Modul ke:

Fakultas

Program Studi

SISTEM INFORMASI MANAJEMEN (SIM)

Keamanan Sistem Informasi

Prof. Dr. Ir. H. Hapzi Ali, MM

10

EKONOMI &

BISNIS Akuntansi

(2)

Keamanan Sistem Informasi

1. Keamanan Informasi 2. Ancaman (threats) 3. Risiko (risks)

4. Ancaman virus 5. Manajemen risiko

6. Kebijakan keamanan informasi 7. Kontrol formal & Informal

8. Menempatkan manajemen keamanan dalam persfektifnya

(3)

1 Keamanan Informasi

Sistem Informasi Manajemen

(4)

Keamanan Informasi

• Keamanan informasi menggambarkan upaya untuk melindungi komputer dan non peralatan komputer, fasilitas, data, dan

informasi dari penyalahgunaan oleh pihak yang tidak berhak

• Definisi ini mencakup mesin fotokopi, mesin fax, dan semua jenis media, termasuk dokumen kertas

• Keamanan informasi ditujukan untuk mencapai tiga tujuan utama:

1. Kerahasiaan: melindungi data dan informasi perusahaan dari pengungkapan kepada orang-orang yang tidak sah

2. Ketersediaan: memastikan bahwa data dan informasi perusahaan hanya tersedia bagi mereka yang berwenang untuk menggunakannya 3. Integritas: sistem informasi harus memberikan representasi akurat

dari sistem fisik yang mereka wakili

(5)

Management Information System, [email protected]

Manajemen Keamanan Informasi

• corporate information systems security officer (CISSO) telah digunakan untuk orang dalam

organisasi yang bertanggung jawab untuk sistem keamanan informasi perusahaan.

• Sekarang ada langkah untuk menunjuk corporate information assurance officer (CIAO) yang melapor kepada CEO dan

mengelola unit jaminan informasi

(6)

KEAMANAN INFORMASI MANAJEMEN (ISM)

• ISM terdiri dari empat langkah:

1. Mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan

2. Mendefinisikan risiko bahwa ancaman bisa memaksakan 3. Menetapkan kebijakan keamanan informasi

4. Menerapkan kontrol yang menangani risiko

Gambar 9.1 mengilustrasikan pendekatan manajemen risiko

• Benchmark juga digunakan untuk memastikan integritas sistem manajemen risiko

(7)

Manajemen Keamanan Informasi

(8)

2 Ancaman (threats)

Sistem Informasi Manajemen

(9)

ANCAMAN

• Ancaman keamanan informasi berasal dari orang, organisasi, mekanisme, atau peristiwa yang

berpotensi dapat membahayakan sumber daya informasi perusahaan

• Ancaman dapat berupa internal atau eksternal, kebetulan atau sengaja

• Gambar 9.2 menunjukkan tujuan keamanan informasi dan bagaimana mereka mengalami empat jenis risiko:

1. Ancaman Internal dan Eksternal

2. Kecelakaan dan disengaja

(10)

Ancaman Internal dan Eksternal

(11)

3 Risiko (Risks)

Sistem Informasi Manajemen

(12)

RISIKO

• Tindakan yang tidak sah bahwa risiko ini dapat dikategorikan menjadi empat jenis:

1. Pengungkapan tidak sah 2. Pencurian

3. Penolakan pelayanan

4. Modifikasi secara tidak sah dan Denial of Service

(13)

4 Ancaman Virus

Sistem Informasi Manajemen

(14)

ANCAMAN-yang paling terkenal "VIRUS"

• Virus adalah program komputer yang dapat

mereplikasi sendiri tanpa sepengetahuan pengguna

• Sebuah worm tidak dapat mereplikasi dirinya sendiri dalam sebuah sistem, tetapi dapat mengirimkan

salinan dirinya melalui e-mail

• Sebuah Trojan horse tidak dapat mereplikasi atau

mendistribusikan sendiri. Distribusi ini dilakukan oleh

pengguna yang mendistribusikannya sebagai utilitas

yang bila digunakan menghasilkan perubahan yang

tidak diinginkan dalam fungsi sistem

(15)

PERTIMBANGAN E-COMMERCE

• E-commerce telah memperkenalkan resiko keamanan baru:

penipuan kartu kredit. Kedua American Express dan Visa telah menerapkan program khusus ditujukan e-commerce

• American Express telah mengumumkan "sekali pakai" nomor kartu kredit. Angka-angka ini, bukan nomor kartu kredit

pelanggan, disediakan untuk pengecer e-commerce, yang menyerahkan ke American Express untuk pembayaran

• Visa telah mengumumkan sepuluh yang berhubungan dengan keamanan praktek yang mereka harapkan pengecer mereka untuk mengikuti ditambah tiga praktik umum bahwa pengecer harus mengikuti (slide berikutnya)

(16)

Kewaspadaan Keamanan Visa

• Pengecer harus:

1. Menginstal dan memelihara firewall 2. Jauhkan patch keamanan up to date

3. Mengenkripsi data yang tersimpan dan data yang dikirimkan 4. Gunakan dan memperbarui perangkat lunak antivirus

5. Membatasi akses data bagi mereka dengan kebutuhan untuk mengetahui

6. Menetapkan ID yang unik untuk orang-orang dengan hak akses data

7. Akses data track dengan ID unik

8. Tidak menggunakan default password yang dari vendor 9. Secara teratur menguji sistem keamanan

(17)

Kewaspadaan Keamanan Visa

• Visa mengidentifikasi tiga praktik umum yang harus diikuti oleh pengecer untuk

mendapatkan keamanan informasi dalam semua aktivitas, 3 hal tersebut adalah

1. Menyaring karyawan yang memiliki akses ke data

2. Tidak meninggalkan data (disket, kertas, dan sebagainya) atau komputer yang tidak aman

3. Menghancurkan data ketika tidak lagi diperlukan

(18)

5 Manajemen resiko

Sistem Informasi Manajemen

(19)

MANAJEMEN RISIKO

Empat sub langkah untuk mendefinisikan risiko informasi adalah:

1. Mengidentifikasi aset bisnis yang harus dilindungi dari risiko

2. Kenali risiko

3. Menentukan tingkat dampak pada perusahaan jika risiko terwujud

4. Menganalisis kerentanan perusahaan

Pendekatan sistematis dapat diambil untuk sub langkah 3 dan 4 dengan menentukan dampak dan menganalisis kerentanan

(20)

• Tabel 9.1 menggambarkan pilihan.

(21)

Laporan Analisis Risiko

• Temuan analisis risiko harus didokumentasikan dalam sebuah laporan yang berisi informasi rinci seperti berikut untuk setiap resiko:

1. Penjelasan risiko 2. Sumber risiko

3. Keparahan dari risiko

4. Kontrol yang sedang diterapkan untuk risiko 5. Pemilik (s) dari risiko

6. Tindakan yang direkomendasikan untuk mengatasi risiko 7. Kerangka waktu yang direkomendasikan untuk mengatasi

risiko

8. Apa yang dilakukan untuk mengurangi risiko

(22)

6 Kebijakan Keamanan Informasi

Sistem Informasi Manajemen

(23)

KEBIJAKAN KEAMANAN INFORMASI

• Sebuah kebijakan keamanan dapat

diimplementasikan dengan menggunakan berikut lima pendekatan fase (Gambar 9.3.):

1. Tahap 1: Proyek Inisiasi

2. Tahap 2: Pengembangan Kebijakan

3. Tahap 3: Konsultasi dan Persetujuan

4. Tahap 4: Kesadaran dan Pendidikan

5. Tahap 5: Diseminasi Kebijakan

(24)

Developmen of Security Policy

(25)

Kebijakan terpisah dikembangkan untuk:

• Sistem informasi keamanan

• Sistem kontrol akses

• personil keamanan

• Keamanan fisik dan lingkungan

• keamanan telekomunikasi

• klasifikasi informasi

• Perencanaan kelangsungan bisnis

• akuntabilitas manajemen

Kebijakan ini didistribusikan kepada karyawan, sebaiknya secara tertulis dan dalam program pendidikan dan pelatihan. Dengan kebijakan yang ditetapkan, kontrol dapat diimplementasikan

(26)

7 Kontrol

Sistem Informasi Manajemen

(27)

KONTROL

Kontrol adalah mekanisme yang diterapkan untuk melindungi perusahaan dari risiko atau meminimalkan dampak dari risiko pada perusahaan harus mereka terjadi:

1. Kontrol teknis yang dibangun ke dalam sistem oleh

pengembang sistem selama siklus hidup pengembangan sistem

2. Kontrol akses merupakan dasar untuk keamanan terhadap ancaman oleh orang yang tidak berhak

3. Sistem deteksi intrusi mencoba untuk mengenali upaya

pelanggaran keamanan sebelum memiliki kesempatan untuk menimbulkan kerusakan

(28)

Access Control Function

(29)

Access Control

1. User identification. Pengguna pertama mengidentifikasi diri mereka dengan memberikan sesuatu yang mereka tahu, seperti password

2. User authentication. Setelah identifikasi awal telah dicapai, pengguna memverifikasi hak mereka untuk mengakses

dengan memberikan sesuatu yang mereka miliki, seperti kartu pintar atau token, atau chip identifikasi

3. User authorization . Dengan identifikasi dan otentikasi cek berlalu, seseorang kemudian dapat disahkan tingkat atau

derajat penggunaan tertentu. Misalnya, salah satu pengguna mungkin berwenang hanya untuk membaca dari sebuah file, sedangkan yang lain mungkin diberi wewenang untuk

melakukan perubahan

(30)

Firewalls

• irewall bertindak sebagai filter dan penghalang yang membatasi mengalir di antara jaringan perusahaan dan internet data

• Ada tiga jenis firewall:

• Packet-Filter - router dilengkapi dengan tabel data alamat IP yang mencerminkan kebijakan penyaringan diposisikan antara internet dan jaringan internal, dapat berfungsi sebagai firewall

• Circuit-Level Firewall - terpasang antara internet dan jaringan perusahaan tapi lebih dekat ke media komunikasi

• Aplikasi-Level Firewall - terletak antara router dan komputer yang menjalankan aplikasi tersebut

(31)

8 Kontrol Formal & Informal

Sistem Informasi Manajemen

(32)

KONTROL FORMAL

• Kontrol formal meliputi pembentukan:

1. Kode etik

2. Dokumentasi prosedur dan praktik yang diharapkan

3. Pemantauan dan mencegah perilaku yang berbeda dari panduan yang ditetapkan

• Kontrol yang formal dalam manajemen:

1. Mencurahkan waktu untuk menyusunnya 2. Mereka didokumentasikan secara tertulis

3. Mereka diharapkan akan berlaku untuk jangka panjang

(33)

INFORMAL CONTROLS

Kontrol informal mencakup kegiatan seperti:

• Menanamkan keyakinan etis perusahaan dalam karyawannya;

• Memastikan pemahaman tentang misi dan tujuan perusahaan;

• Program pendidikan dan pelatihan; dan

• Program pengembangan manajemen

Kontrol ini dimaksudkan untuk memastikan bahwa

karyawan perusahaan baik memahami dan mendukung

program keamanan

(34)

Bantuan Pemerintah dan Industri

• Beberapa pemerintah dan organisasi

internasional telah menetapkan standar (slide berikutnya) dimaksudkan untuk menjadi

pedoman bagi organisasi yang ingin mencapai keamanan informasi

• Beberapa berupa benchmark, kadang-kadang

disebut sebagai baseline

(35)

Bantuan Pemerintah dan Industri

• Standar BS7799 Inggris Britania Raya menetapkan satu set kontrol dasar. Australia dan Selandia Baru telah menerapkan kontrol berdasarkan BS 7799

• BSI IT Baseline Protection Manual Pendekatan dasar juga diikuti oleh Jerman Bundesamt bulu Sicherheit in der Informationstechnik (BSI). Baseline dimaksudkan untuk memberikan keamanan yang wajar ketika

persyaratan perlindungan normal dimaksudkan.

Baseline juga dapat berfungsi sebagai dasar untuk

tingkat perlindungan yang lebih tinggi ketika mereka

yang diinginkan

(36)

Bantuan Pemerintah dan Industri

• COBIT COBIT, dari Sistem Informasi Audit dan Kontrol Asosiasi & Foundation (ISACA), berfokus pada proses yang perusahaan dapat mengikuti mengembangkan standar, memberikan perhatian khusus pada

penulisan dan memelihara dokumen

• GASSP Umumnya Diterima Prinsip Keamanan Sistem (GASSP) adalah produk dari US National Research

Council. Penekanan pada pemikiran untuk

membangun kebijakan keamanan

(37)

Bantuan Pemerintah dan Industri

• GMITS Pedoman Pengelolaan IT Security (GMITS) adalah produk dari Organisasi Standar Internasional (ISO) Joint Technical Committee dan menyediakan daftar topik kebijakan keamanan informasi yang harus disertakan dalam standar organisasi

• ISF Standar Praktek yang Baik Informasi Keamanan Forum Standar Praktek yang baik mengambil

pendekatan awal, mencurahkan perhatian pada

perilaku pengguna yang diharapkan jika program ini

adalah untuk menjadi sukses

(38)

Ketetapan Pemerintah

Pemerintah di Amerika Serikat dan Inggris telah menetapkan standar dan mengeluarkan undang- undang yang bertujuan mengatasi semakin

pentingnya keamanan informasi:

• Standar Keamanan Komputer Pemerintah AS

• Inggris Anti-terorisme, Kejahatan dan Security Act (ATCSA) 2001

• AS Pemerintah Internet Crime Legislasi

(39)

STANDAR INDUSTRI

• Pusat Internet Security (CIS) adalah sebuah

organisasi non profit yang didedikasikan untuk membantu pengguna komputer untuk

membuat sistem mereka lebih aman

• CIS Benchmarks telah dibentuk dan

terintegrasi dalam paket perangkat lunak yang

menghitung "keamanan" skor pada skala 10-

point

(40)

SERTIFIKASI PROFESIONAL

Dimulai pada tahun 1960-an profesi TI mulai menawarkan program sertifikasi:

• Sistem Informasi Audit dan Control Association (ISACA)

• Sistem Informasi Keamanan Internasional Sertifikasi Consortium (ISC)

• SANS (sysadmin, Audit, Network, Security)

Institute

(41)

MENEMPATKAN MANAJEMEN KEAMANAN INFORMASI DALAM PERSPEKTIF

• Perusahaan harus menempatkan kebijakan manajemen keamanan informasi sebelum meletakkan kontrol di tempat

• Kebijakan tersebut dapat didasarkan pada identifikasi ancaman dan risiko atau pedoman yang diberikan oleh pemerintah dan asosiasi industri

• Perusahaan menerapkan kombinasi kontrol teknis, formal, dan informal diharapkan untuk menawarkan tingkat yang

diinginkan keamanan dalam parameter biaya dan sesuai

dengan pertimbangan lain yang memungkinkan perusahaan dan sistem untuk berfungsi secara efektif

(42)

Business Continuity Management (BCM)

• Elemen kunci dalam BCM adalah rencana kontingensi, secara resmi merinci tindakan yang akan diambil dalam hal ada

gangguan, atau ancaman gangguan, dalam setiap bagian dari operasi komputasi perusahaan

• Sebaliknya menggunakan, rencana kontingensi tunggal yang besar, pendekatan yang terbaik perusahaan adalah untuk mengembangkan beberapa sub-rencana yang membahas kontinjensi tertentu. Seperti:

1. Rencana darurat

2. Sebuah rencana cadangan

3. Sebuah catatan rencana penting

(43)

9 Menempatkan manajemen

Keberlangsungan Bisnis Dalam Persfektifnya

Sistem Informasi Manajemen

(44)

MENEMPATKAN MANAJEMEN KONTINUITAS USAHA DALAM PERSPEKTIF

• Banyak upaya telah dilakukan untuk perencanaan kontingensi dan banyak informasi dan bantuan tersedia

• Beberapa perusahaan menggunakan rencana dikemas mereka dapat beradaptasi dengan kebutuhan mereka

• Sistem Komputer memadatkan memasarkan Sistem Disaster Recovery (DRS) yang mencakup sistem manajemen database, petunjuk dan alat-alat yang dapat digunakan dalam menyusun rencana pemulihan

• Ada juga pedoman dan menguraikan bahwa perusahaan dapat menggunakan sebagai titik awal atau tolok ukur untuk

mencapai

(45)

Kepustakaan

1. McLeoad, Jr., Raymond & Gearge P. Schell. Management Infromation System.

(terjemahan), Jakarta : PT. INDEKS, 2007. Edisi 10, 2008

2. Kenneth C. Laudon, Jane P. Laudon, Sistem Informasi Manajemen, Mengelola Perusahaan Global, Jakarta, Salemba Emappt, Edisi 12, 2008

3. HM. Jogiyanto. Analisis & Disain Sistem Infromasi : Pendekatan Terstruktur, Teori dan Praktek Aplikasi Bisnis, Jogyakarta : Penerbit ANDI, 2002

Anjuran :

1. Hapzi Ali & Tonny Wangdra, Sistem Informasi Bisnis “SI-Bis” Dalam Prospektif Keunggulan Kompetitif, Baduose Media, 2010

2. Hapzi Ali & Tonny Wangdra, Techopreneurship, Dalam Perspektif Bisnis Online, Baduose Media, 2010

3. Hapzi Ali, Sistem Informasi Manajemen, Berbasis Teknologi Informasi, Hasta Cipta Mandiri, Jogyakarta, 2009

4. Hapzi Ali, Pengenalan Komputer, Tuntunan Praktis untuk Pemula, Hasta Cipta Mandiri, Jogjakarta, 2008

5. James A. Brain, Introduction to Information System, Perspektif Bisnis dan Managerial (terjemahah), Salemba Empat, 2005

(46)

Wassalamu ‘alaikum, wr, wb