RANGKUMAN MATA KULIAH
SISTEM INFORMASI MANAJEMEN
“MELINDUNGI SISTEM INFORMASI”
LINDA MEGANITA
RADEN YESSY C.D
RIDHA YAMIN
KELAS C
S1 AKUNTANSI TRANSFER
2013/2014
FAKULTAS EKONOMI
1
MELINDUNGI SISTEM INFORMASI
1. KERENTANAN DAN PENYALAHGUNAAN SISTEM
Pengamanan dan pengendalian menjadi prioritas utama dalam dunia bisnis saat ini. Pengamanan (security) berupa kebijakan, prosedur dan teknis yang digunakan untuk mencegah akses yang tak terotorisasi, pengubahan, pencurian atau perusakan fisik terhadap sistem informasi. Pengendalian (control) adalah metode, kebijakan dan prosedur organisasi yang menjamin keamanan aset-aset organisasi, akurasi dan kehandalan catatan dan kepatuhan operasional terhadap standar manajemen.
1.1 Mengapa Sistem Dapat Menjadi Rentan
Sistem dapat menjadi rentan karena adanya kerentanan terhadap internet dan tantangan pengamanan nirkabel. Data-data dalam jumlah besar yang tersimpan dalam bentuk elektronik menjadi lebih rentan terhadap banyak ancaman daripada ketika tersimpan dalam bentuk manual/fisik karena melalui jaringan komunikasi, sistem informasi di lokasi berbeda menjadi terhubung. Hal ini menimbulkan potensi adanya akses yang tak terotorisasi, penyalahgunaan atau kecurangan yang dapat terjadi pada titik akses manapun dalam jaringan. Ancaman terhadap sistem dapat berasal dari faktor teknis, organisasional, dan lingkungan yang diperburuk oleh keputusan manajemen yang buruk.
a. Kerentanan Internet
Ketika internet menjadi bagian dari jaringan perusahaan, sistem informasi organisasi menjadi lebih rentan terhadap tindakan-tindakan jahat dari pihak luar.Jaringan publik yang besar seperti internet lebih rentan daripada jaringan internal karena secara virtual ia terbuka bagi siapapun. Kapasitas internet sangat besar sehingga ketika penyalahgunaan terjadi, akan berdampak sangat luas dan besar.
b. Tantangan Pengamanan Nirkabel
Jaringan nirkabel bisa sangat rentan, bahkan jaringan nirkabel dalam rumah pun demikian karena frekuensi radionya mudah untuk dipindai/dilacak. Bahkan jaringan Bluetooth dan Wi-Fi sangat mudah dimanfaatkan oleh para pengintai/penyusup.
2 1.2 Peranti Lunak Berbahaya: Virus, Worm, Trojan Horse dan Spyware
Malware adalah program peranti lunak yang berbahaya/malicious software termasuk di dalamnya adalah beragam ancaman seperti virus, worm dan Trojan horse.
a. Virus komputer adalah program perangkat lunak berbahaya yang menempelkan dirinya kepada program perangkat lunak lain atau pada data file dengan tujuan untuk dieksekusi, biasanya tanpa sepengetahuan atau seizin pengguna. Kebanyakan virus komputer mengirim “payload”. Payload bisa relatif tidak berbahaya seperti hanya memunculkan pesan atau gambar namun bisa juga sangat merusak (merusak program atau data, menghambat memori komputer, memformat ulang hard drive komputer atau menyebabkan program komputer berjalan tak normal).
b. Worm adalah program komputer independen yang menyalin dirinya sendiri dari komputer ke komputer dalam suatu jaringan. Worm dapat beroperasi sendiri tanpa menempel pada program komputer lain dan tidak terlalu bergantung pada perilaku manusia untuk menyebar dari komputer ke komputer. Worm merusak data dan program serta mengganggu dan bahkan menghentikan operasi jaringan komputer.
c. Trojan horse adalah program perangkat lunak yang tampak tidak berbahaya namun kemudian melakukan hal-hal di luar dugaan seperti Zeus Trojan yang mampu mencuri data finansial dan personal dengan diam-diam melacak tombol-tombol para pengguna komputer saat mereka memasukkan informasi ke dalam komputer. Trojan horse bukanlah virus karena ia tidak bereplikasi, namun ia sering menjadi jalan untuk virus atau kode berbahaya lain untuk masuk ke dalam sistem komputer.
d. Spyware merupakan program kecil yang dapat menginstal sendiri secara diam-diam pada komputer untuk memonitor aktivitas pengguna dalam Web dan memunculkan iklan-iklan. Beberapa spyware bahkan termasuk jahat. Misalnya keylogger yang merekam pencetan tombol pada komputer untuk mencuri nomor seri software, meluncurkan serangan internet, memperoleh akses ke akun e-mail atau mengambil informasi pribadi seperti nomor kartu kredit.
3 1.3 Hacker dan Vandalisme Maya
Seorang hacker adalah seseorang yang berniat memperoleh akses tanpa otorisasi terhadap sistem komputer. Dalam komunitas peretas, istilah cracker secara khusus digunakan untuk merujuk pada peretas dengan maksud jahat/kriminal. Aktivitas peretas telah meluas mulai hanya sekadar penyusupan hingga termasuk pencurian barang dan informasi termasuk perusakan sistem dan cybervandalism yaitu gangguan yang disengaja, perusakan, atau bahkan penghancuran situs Web atau sistem informasi perusahaan.
a. Spoofing
Spoofing mencakup pengalihan tujuan dari alamat Web yang seharusnya ke alamat lain yang disamarkan agar mirip dengan alamat Web yang sebenarnya ingin dituju. Dengan cara ini, peretas dapat mencuri informasi bisnis dan pelanggan yang sensitif untuk disalahgunakan
b. Sniffing
Sniffing adalah jenis program pengintai yang memonitor informasi yang beredar dalam jaringan. Bila digunakan dengan benar, sniffer membantu mengidentifikasi titik masalah atau aktivitas kriminal dalam jaringan, namun ketika digunakan untuk tujuan kriminal, hal ini dapat sangat merusak dan susah dideteksi karena peretas mampu mencuri informasi pribadi dari siapapun dalam jaringan termasuk pesan e-mail, file perusahaan dan laporan rahasia.
c. Serangan Penolakan Layanan/Denial-of-Service (DoS)
Dalam DoS attack, peretas membanjiri server jaringan atau Web dengan ribuan komunikasi atau permintaan jasa yang salah untuk membuat jaringan mengalami crash. Jaringan menerima terlalu banyak permintaan/query hingga tak mampu menampung lagi dan tak bisa melayani permintaan yang sah.
1.4 Kejahatan Komputer dan Terorisme Maya
Sebagian besar aktivitas hacker adalah pelanggaran kriminal dan kerentanan yang membuat sistem menjadi target kejahatan komputer.
a. Pencurian Identitas
Pencurian identitas adalah kejahatan oleh penipu yang memperoleh informasi personal kunci seperti nomor identifikasi jaminan sosial, nomor SIM atau nomor kartu kredit untuk berpura-pura menjadi orang lain yang kemudian
4 dapat digunakan untuk memperoleh pinjaman, membeli barang atau memesan jasa atas nama korban pencurian identitas tersebut.
b. Click Fraud (Penipuan Lewat Klik)
Click fraud terjadi ketika seseorang atau program komputer secara curang meng-klik iklan online tanpa niat untuk mengetahui lebih jauh mengenai pengiklan atau melakukan pembelian. Click fraud menjadi masalah serius pada Google dan situs Web lain yang memiliki fitur iklan online pay-per-click. Beberapa perusahaan bahkan memakai jasa pihak ketiga untuk secara curang meng-klik iklan perusahaan kompetitor untuk melemahkan mereka dengan pembengkakan biaya iklan/pemasaran.
c. Terorisme Maya dan Perang Maya
Kerentanan internet dapat dimanfaatkan oleh teroris, badan intel luar negeri, atau kelompok lain untuk menciptakan gangguan dan bahaya luas. Hal ini menjadi ancaman Global (Cyberterrorism dan Cyberwarfare). Kekhawatiran mulai memuncak karena kerentanan internet dan jaringan lain membuat jaringan digital menjadi target yang mudah untuk serangan digital oleh teroris, intelijen asing atau kelompok lain yang ingin menciptakan kekacauan dan kerugian yang luas.
1.5 Ancaman Internal: Karyawan
Kurangnya pengetahuan sering menjadi penyebab utama pelanggaran keamanan jaringan. Banyak karyawan membiarkan rekannya menggunakan password-nya yang sebenarnya bisa disalahgunakan. Penyusup yang mencari akses ke dalam sistem kadang mampu menipu karyawan untuk memberikan password mereka dengan berpura-pura menjadi anggota penting perusahaan untuk mencari informasi. Praktik ini disebut sosial engineering.
Pihak di dalam perusahaan juga bisa menjadi masalah keamanan yang serius. Karyawan memiliki akses terhadap informasi istimewa, dan dalam prosedur keamanan yang ceroboh, mereka dapat dengan mudah berkeliaran dalam sistem organisasi tanpa meninggalkan jejak.
5 1.6 Kerentanan Peranti Lunak
Kesalahan-kesalahan peranti lunak membawa ancaman yang konstan terhadap sistem informasi. Masalah utama pada perangkat lunak adalah munculnya bug atau kecacatan kode program. Penelitian menunjukkan bahwa hampir tidak mungkin menghilangkan semua bug dalam program yang besar. Sumber utama bug adalah kompleksitas kode dalam pengambilan keputusan. Untuk memperbaiki cacat dalam perangkat lunak ketika telah teridentifikasi, vendor membuat perangkat lunak kecil yang disebut patch untuk memperbaiki cacat tanpa mengganggu operasi perangkat lunaknya.
2. NILAI BISNIS DARI PENGAMANAN DAN PENGENDALIAN
Pengamanan dan pengendalian sistem informasi memiliki peranan penting karena sistem informasi menyimpan informasi rahasia (pajak, aset keuangan, catatan kesehatan, ulasan kinerja perorangan), sistem informasi dapat berisi informasi operasi perusahaan (rahasia dagang, rencana pengembangan produk baru, strategi pemasaran), sistem informasi menyimpan informasi senjata, operasi intelejen, sasaran militer, dan sistem informasi menyimpan informasi milik pelanggan, karyawan atau mitra bisnis. 2.1 Persyaratan Hukum dan Peraturan Untuk Manajemen Catatan Elektronik
Peraturan pemerintah AS mendesak perusahaan untuk melakukan pengamanan dan pengendalian secara lebih serius dengan mengharuskan data dilindungi dari penyalahgunaan dan akses yang tidak sah.
Pada bidang kesehatan terdapat Health Insurance Portability and Accountability Act (HIPAA). HIPAA mengharuskan penyimpanan informasi pasien selama 6 tahun dan menjamin kerahasiaannya, merinci standar privasi keamanan dan transaksi elektronik bagi penyedia jasa pelayanan kesehatan, memberi sanksi bagi pelanggaran privasi, pengungkapan catatan medis pasien.
Pada bidang jasa keuangan terdapat aturan Gramm-Leach-Bliley Act yang mengharuskan institusi keuangan untuk menjamin keamanan dan kerahasiaan data pelanggan dan memastikan data harus disimpan pada media yang aman.
Pada bidang usaha publik terdapat aturan Sarbanes-Oxley Act yang mengharuskan manajemen untuk melindungi akurasi dan integritas informasi keuangan dan mengharuskan pengendalian internal dilakukan dalam membuat dan mendokumentasikan informasi LK.
6 2.2 Bukti Elektronik dan Ilmu Forensik Komputer
Ilmu Forensik Komputer adalah proses ilmiah pengumpulan, pemeriksaan, autentikasi, pemeliharaan dan analisis data sehingga data dapat digunakan sebagai bukti di pengadilan. Ilmu forensik komputer menangani:
a. Pemulihan data dari komputer
b. Penyimpanan dan penanganan data yang sudah pulih dengan aman c. Pencarian informasi penting dalam sejumlah besar data
d. Penyampaian informasi di hadapan pengadilan
Banyak bukti hukum dalam bentuk digital. Dalam kasus hukum, perusahaan diwajibkan merespon penemuan informasi yang digunakan sebagai bukti. Pengadilan membebankan denda/sanksi kriminal bagi perusakan dokumen elektronik secara tidak benar, kegagalan menunjukkan catatan, dan kegagalan menyimpan catatan dengan benar.
3. MENETAPKAN KERANGKA KERJA UNTUK PENGAMANAN DAN
PENGENDALIAN
Pengendalian SI terdiri dari General Control dan Application Control. General
Control menentukan disain, keamanan dan penggunaan program komputer serta
keamanan file data pada seluruh aplikasi komputer. Application Controls adalah pengendalian spesifik yang unik untuk setiap aplikasi komputer seperti aplikasi penggajian dan proses pemesanan.
3.1 Penilaian Risiko
Perusahaan harus mengetahui aset mana yang membutuhkan perlindungan dan sejauh mana aset tersebut terancam. Penilaian resiko menentukan tingkat risiko jika aktivitas atau proses tertentu tidak dikendalikan. Setelah penilaian risiko, para pembuat sistem berkosentrasi pada faktor pengendalian yang memiliki potensi kerugian terbesar.
3.2 Kebijakan Pengamanan
Setelah perusahaan mengidentifikasi risiko, perlu mengembangkan kebijakan pengamanan. Kebijakan pengamanan menjawab: aset informasi perusahaan apa yang paling penting, siapa yang menciptakan dan mengendalikan informasi tersebut, kebijakan pengamanan apa yang tepat untuk melindungi informasi tersebut, tingkat risiko apa yang dapat diterima oleh manajemen dll.
7 3.3 Memastikan Keberlangsungan Bisnis
Perencanaan pemulihan bencana merancang cara-cara merestorasi layanan komputasi dan komunikasi setelah terganggu oleh suatu peristiwa bencana. Perencanaan keberlangsungan bisnis berfokus pada bagaimana perusahaan dapat mengembalikan operasi bisinis setelah dilanda bencana.
3.4 Peran Proses Audit
Audit sistem informasi manajemen yang menyeluruh dan sistematis dapat mengukur efektifitas pengamanan dan pengendalian sistem informasi. Audit dapat membuat simulasi serangan atau bencana untuk menguji respon teknologi, staf sistem informasi, dan karyawan perusahaan. Audit memuat daftar dan menentukan peringkat kelemahan pengendalian dan memperkirakan kemungkinan keterjadiannya.
4. TEKNOLOGI DAN PERANGKAT PENGAMAN
Sejumlah aturan dan teknologi tersedia untuk mengamankan sistem dan data. Yang termasuk di dalamnya adalah perangkat autentikasi, firewall, sistem deteksi gangguan, antivirus dan antyspyware dan enkripsi.
4.1 Autentikasi
Autentikasi adalah kemampuan untuk mengetahui siapa pengguna yang melakukan akses ke sistem. Akses pengendalian piranti lunak dirancang hanya untuk mengizinkan para pengguna sah untuk menggunakan sistem atau mengakses data dengan menggunakan beberapa metode autentikasi. Beberapa metode autentikasi antara lain: Token, Kartu Pintar, Autentikasi Biometrik.
4.2 Firewall, Sistem Deteksi Gangguan dan Antivirus
Firewall merupakan kombinasi piranti lunak yang mengendalikan arus lalu lintas jaringan yang masuk dan keluar. Firewall bertindak seperti penjaga gawang yang memeriksa identitas setiap pengguna sebelum memberikan akses ke jaringan.
8 Sistem deteksi gangguan menggunakan perangkat yang selalu aktif melakukan pemantauan yang diletakkan di titik-titik yang paling rentan dalam jaringan perusahaan untuk secara kontinyu mendeteksi dan menghalangi para penyusup.
Antivirus dirancang untuk memeriksa adanya virus komputer dalam sistem dan drive komputer. Sering kali antivirus menghapus virus dari daerah yang terinfeksi. Namun kebanyakan antivirus hanya efektif melawan virus yang sudah dikenal ketika antivirus itu dibuat. Supaya tetap efektif, antivirus harus terus diperbarui.
4.3 Mengamankan Jaringan Nirkabel
Pengamanan jaringan nirkabel menggunakan keamanan nirkabel dengan metode WEP. Meskipun banyak kelemahannya, WEP memberikan beberapa batas pengamanan jika para pengguna Wifi ingat untuk mengaktifkannya. Perusahaan dapat meningkatkan pengamanan Wifi lebih jauh lagi menggunakan WEP bersama dengan teknologi jaringan virtual privat (VPN) ketika mengakses data perusahaan internal.
Agar efektif, teknologi pengamanan nirkabel harus didampingi oleh kebijakan dan prosedur yang tepat dalam menggunakan perangkat-perangkat nirkabel dengan aman.
4.4 Enkripsi dan Infrastruktur Kunci Publik
Enkripsi adalah proses mengubah teks atau data biasa menjadi teks bersandi rahasia (chipper) yang tidak dapat dibaca oleh siapapun selain pengirim dan penerima yang dimaksudkan. Data dienkripsi menggunakan kode numerik rahasia, yang dinamakan kunci enkripsi, yang mengubah data biasa menjadi teks bersandi rahasia. Pesan harus dideskripsi oleh penerima. Dua metode untuk mengenkripsi data: Secure Sockets Layer (SSL) dan Transport Layer Security (TLS). Terdapat dua alternatif metode enkripsi yaitu: enkripsi kunci simetris dan enkripsi kunci publik. Bentuk enkripsi yang paling aman adalah enkripsi kunci publik. Enkripsi kunci publik menggunakan dua kunci: satu dibagikan dan satu lagi sepenuhnya pribadi.