MAKALAH SISTEM INFORMASI MANAJEMEN “SISTEM KEAMANAN INFORMASI”
OLEH KELOMPOK 3 1. MELY ISTA SYARI 2. MUHAMMAD ABRIAN 3. MUHAMMAD SABRI 4. NOFIA SAFITRI 5. NYOMAN MURNIATI 6. RAYNA RAHMADANI 7. RINDI ASHARI 8. SERLI YANTI 9. SITTI ERNA LITA SAPUTRI 10. TUTI RAHAYU 11. WA CILI
(B1C117072) (B1C117078) (B1C117083) (B1C117089) (B1C117095) (B1C117100) (B1C117105) (B1C117112) (B1C117117) (B1C117123) (B1C117129)
UNIVERSITAS HALU OLEO FAKULTAS EKONOMI DAN BISNIS AKUNTANSI KENDARI 2018
KATA PENGANTAR
Puji syukur hanyalah milik Allah SWT dengan karunia-Nyalah yang telah mengantarkan kami dapat menyusun makalah
ini dengan judul “Sistem Keamanan
Informasi”. Shalawat dan salam tambatan hati pautan cinta kasih yakni Nabi Muhammad SAW beserta para sahabat. Ucapan terima kasih kami sampaikan kepada semua pihak-pihak yang telah membantu kami dalam memyusun makalah ini. Diharapkan makalah ini dapat memberikan manfaat dan informasi kepada semua pihak, serta kritik dan saran sangat kami butuhkan untuk penyusunan makalah selanjutnya.Untuk itu kami ucapkan terima kasih.
Kendari, November 2018
Penulis
DAFTAR ISI
KATA PENGANTAR ...................................................................................................... 2
DAFTAR ISI..................................................................................................................... 3
BAB I PENDAHULUAN 1.1 Latar Belakang ........................................................................................................... 4 1.2 Rumusan Masalah ....................................................................................................... 6 1.3 Tujuan Penulisan ......................................................................................................... 6
BAB II PEMBAHASAN 2.1 Keamanan Infornasi .................................................................................................... 7 2.2 Pengelolaan keamanan informasi .............................................................................. 7 2.3 Ancaman keamanan informasi .................................................................................... 8 2.4 Keamanan dalam E-Commerce .................................................................................. 9 2.5 Resiko dan manajemen resiko terhadap keamanan informasi .................................. 10 2.6 Kebijakan dalam keamanan informasi ...................................................................... 11 2.7 Pengendalian ............................................................................................................. 14
BAB III PENUTUP 3.1 Kesimpulan ............................................................................................................... 15 3.2 Saran ......................................................................................................................... 15
DAFTAR PUSTAKA ..................................................................................................... 16
BAB I PENDAHULUAN 1.1 Latar Belakang Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman. Kalangan industri telah lama menyadari kebutuhan untuk menjaga keamanan dari para kriminal komputer dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara untuk memerangi terorisme, isu-isu utama mengenai keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi. Masalah keamanan merupakan salah satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan ini sering kali kurang mendapat perhatian dari para pemilik dan pengelola sistem informasi. Seringkali masalah keamanan berada di urutan kedua, atau bahkan di urutan terakhir dalam daftar hal-hal yang dianggap penting. Apabila menggangu performansi dari sistem, seringkali keamanan dikurangi atau ditiadakan. Makalah ini diharapkan dapat memberikan gambaran dan informasi tentang keamanan sistem informasi. Informasi saat ini sudah menjadi sebuah komoditi yang sangat penting. Bahkan ada yang mengatakan bahwa kita sudah berada di sebuah “information-based society”. Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat menjadi sangat esensial bagi sebuah organisasi, baik yang berupa organisasi komersial (perusahaan), perguruan tinggi, lembaga pemerintahan, maupun individual (pribadi). Hal ini dimungkinkan dengan perkembangan pesat di bidang teknologi komputer dan telekomunikasi. Dahulu, jumlah komputer sangat terbatas dan belum digunakan untuk menyimpan hal-hal yang sifatnya sensitif. Penggunaan komputer untuk menyimpan informasi yang sifatnya classified baru dilakukan di sekitar tahun 1950-an. Sangat pentingnya nilai sebuah informasi menyebabkan seringkali informasi diinginkan hanya boleh diakses oleh orang-orang tertentu. Jatuhnya informasi ke tangan pihak lain (misalnya pihak lawan bisnis) dapat menimbulkan kerugian bagi pemilik informasi. Sebagai contoh, banyak informasi dalam sebuah perusahaan yang hanya diperbolehkan diketahui oleh orang-orang tertentu di dalam perusahaan tersebut, seperti misalnya informasi tentang produk yang sedang dalam development, algoritma-algoritma dan teknik-teknik yang digunakan untuk menghasilkan produk tersebut. Untuk itu keamanan dari sistem informasi yang digunakan harus terjamin dalam batas yang dapat diterima.
Jaringan komputer, seperti LAN dan Internet, memungkinkan untuk menyediakan informasi secara cepat. Ini salah satu alasan perusahaan atau organisasi mulai berbondongbondong membuat LAN untuk sistem informasinya dan menghubungkan LAN tersebut ke Internet. Terhubungnya LAN atau komputer ke Internet membuka potensi adanya lubang keamanan (security hole) yang tadinya bisa ditutupi dengan mekanisme keamanan secara fisik. Ini sesuai dengan pendapat bahwa kemudahan (kenyamanan) mengakses informasi berbanding terbalik dengan tingkat keamanan sistem informasi itu sendiri. Semakin tinggi tingkat keamanan, semakin sulit (tidak nyaman) untuk mengakses informasi. 1.2 Rumusan Masalah Berdasarkan latar belakang diatas, dalam makalah ini akan dibahas beberapa masalah sebagai berikut : 1. Apa yang dimaksud dengan keamanan informasi ? 2. Bagaimana pengelolaan keamanan informasi ? 3. Apa saja ancaman keamanan informasi ? 4. Bagaimana keamanan dalam E-Commerce ? 5. Apa saja resiko dan manajemen resiko terhadap keamanan informasi ? 6. Bagaimana kebijakan dalam keamanan informasi ? 7. Apa yang dimaksud dengan pengendalian ? 1.3 Tujuan Penulisan Adapun tujuan penulisan dari makalah ini adalah sebagai berikut : 1. Untuk mengetahui dan memahami definisi keamanan informasi 2. Untuk mengetahui dan memahami bagaimana pengelolaan keamanan informasi 3. Untuk mengetahui dan memahami apa saja ancaman keamanan informasi 4. Untuk mengetahui dan memahami keamanan dalam E-Commerce 5. Untuk mengetahui dan memahami resiko dan manajemen resiko terhadap keamanan informasi 6. Untuk mengetahui dan memahami kebijakan dalam keamanan informasi 7. Untuk mengetahui dan memahami pengendalian
BAB II PEMBAHASAN 2.1 Keamanan informasi Keamanan informasi adalah menjaga informasi dari ancaman yang mungkin terjadi dalam upaya menjamin kelangsungan bisnis, mengurangi tingkat risiko dan mempercepat atau memaksimalkan pengambilan keputusan investasi serta peluang bisnis. Tingkat keamanan pada informasi juga bergantung pada tingkat sensitifitas informasi dalam database, informasi yang tidak terlalu sensitif sistem keamanannya tidak terlalu ketat sedangkan untuk informasi yang sangat sensitif perlu pengaturan tingkat keamanan yang ketat untuk akses ke informasi tersebut (Nasional, 2013). (Astari Retnowardhani). Keamanan informasi merupakan perlindungan informasi dari berbagai ancaman agar menjamin kelanjutan proses bisnis, mengurangi risiko bisnis, dan meningkatkan return of investment (ROI) serta peluang bisnis (Chaeikar, etc., 2012). Dalam merancang sistem keamanan sistem informasi terdapat aspek-aspek keamanan informasi yang perlu di perhatikan. Aspek-aspek tersebut antara lain: 1. Confidentiality Aspek yang menjamin kerahasiaan informasi atau data dan memastikan informasi hanya dapat diakses oleh pihak yang berwenang. 2. Integrity Aspek yang menjamin data tidak dapat dirubah tanpa ada ijin pihak yang berwenang, menjaga kelengkapan informasi dan menjaga dari kerusakan atau ancaman lain yang bisa menyebabkan perubahan pada informasi atau data asli. 3. Availability Aspek yang menjamin bahwa data akan tersedia pada saat dibutuhkan dan menjamin user dapat mengakses informasi tanpa adanya gangguan.
2.2 Pengelolaan keamanan informasi Pada umumnya, pengamanan sistem dapat dikelompokkan menjadi dua yaitu pencegahan dan pengobatan. Usaha pencegahaan dilakukan agar sebuah sistem keamanan tidak memiliki lubang dalam pengoperasiannya, sedangkan pengobatan dilakukan apabila saat ada liubang dalam sebuat sistem tersebut dapat segera di atasi. Pengamanan dalam sebuah sistem informasi diharapkan dapat menjaga setiap informasi yang ada di dalamnya. Pengamanan dalam sebuah sistem dapat dilakukan dengan beberapa cara diantaranya : 1.
Memilih Password Pemilihan password yang tidak tepat juga dapat menjadi salah satu akibat sebuah
keamanan sistem informasi dapat dengan mudah diretas. Pemilihan passwword juga menjadi sebuah perhatian tersendiri dalam sebuah keamanan sistem informasi. Password yang mudah ditebak seperti hal atau kata yang lekat pada anda merupakan password yang salah, pemilihan password seperti itu sangat dimungkinkan keamanan sistem anda akan terancam. 2.
Memasang proteksi Untuk lebih meningkatkan keamanan sistem informasi, proteksidapat ditambahkan.
Proteksi ini dapat berupa filter (secara umum)dan yang lebih spesifik adalah firewall. Filter dapat digunakanuntuk memfilter e-mail, informasi, akses, atau bahkan dalam level packet. Firewall merupakan sebuah perangkat yang diletakkan antara Internet dengan jaringan internal. Tujuan utama dari firewall adalah untuk menjaga (prevent) agarakses (ke dalam maupun ke luar) dari orang yang tidak berwenang(unauthorized access) tidak dapat dilakukan. Konfigurasi dari firewallbergantung kepada kebijaksanaan (policy) dari organisasi yangbersangkutan, yang dapat dibagi menjadi dua jenis: a.
Apa-apa yang tidak diperbolehkan secara eksplisit dianggap tidak diperbolehkan
(prohibitted) b.
Apa-apa yang tidak dilarang secara eksplisit dianggap diperbolehkan (permitted)
3.
Pemantauan adanya serangan Sistem ini digunakan untuk mengetahui jika adanya tamu tak diundangan atau serangan
terhadap sistem tersebut. .Nama lain dari sistem ini adalah “intruder detection system” (IDS).Sistem ini dapat memberitahu administrator melalui e-mail maupunmelalui mekanisme lain seperti melalui pager.Ada berbagai cara untuk memantau adanya intruder. Ada yang
sifatnya aktif dan pasif. IDS cara yang pasif misalnya dengan memonitor logfile. Contoh software IDS antara lain: a.
Autobuse, mendeteksi probing dengan memonitor logfile.
b.
Courtney, mendeteksi probing dengan memonitor packet yang lalu lalang
c.
Shadow dari SANS.
4.
Pemantauan Integritas Sistem
Pemantaun integritas sistem dijalankan secara berkala untuk menguji integratitas sistem.
5.
Melakukan backup secara rutin. Sering kali tamu tak diundang datang dan masuk kedalam sebuah sistem dan merusak
bahkan menghapus informasi-informasi yang ada didalam sebuah sestem tersebut. Jika dalam pengoperasian sebuah sistem tidak adanya backup data, dapat dipastikan data yang ada dalam sistem tersebut akan hilang. Maka dari itu backup data harus dilakukan jika ada tamu tak diundang tersebut datang dan merusak sistem dan informasi didalamnya. Kalau dalam sistem tersebut kita telah melakukan backup data, saat ada tamu tak diundang tersebut kita tak perlu takut akan kehilangan data tersebut.
6.
Penggunaan enkripsi Data-data yang dikirimkan diubah sedemikian rupa sehingga tidak mudah disadap.
Banyak servis di Internet yang masih menggunakan “plain text”untuk authentication, seperti penggunaan pasangan user id dan password. Informasi ini dapat dilihat dengan mudah oleh program penyadap (sniffer).Contoh servis yang menggunakan plain text antara lain: a.
Akses jarak jauh dengan menggunakan telnet dan rlogin
b.
Transfer file dengan menggunakan FTP
c.
Akses email melalui POP3 dan IMAP4
d.
Pengiriman email melalui SMTP
e.
Akses web melalui HTTP
2.3 Ancaman keamanan informasi Ancaman keamanan sistem informasi adalah sebuah aksi yang terjadi baik dari dalam sistem maupun dari luar sistem yang dapat mengganggu keseimbangan sistem informasi.Ancaman terhadap keamanan informasi berasal dari individu, organisasi, mekanisme, atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi. Ancaman dalam keamanan sistem informasi ini bukan hanya berasal dari luar perusahaan seperti lawan bisnis atau individu dan kelompk lain tapi juga dapat berasal dari dalam perusahaan.
Sebuah ancaman dalam keamanan akan dilanjutkan dengan adanya serangan, dalam kesempatan kali ini akan kami bahas mengenai serangan seranga yang dapat mengancam keamanan sistem informasi : 1.
Virus Tentunya kita sudah tidak asing lagi dengan Virus. Pada dasarnya, virus merupakan
program komputer yang bersifat “malicious” (memiliki tujuan merugikan maupun bersifat mengganggu pengguna sistem) yang dapat menginfeksi satu atau lebih sistem komputer melalui berbagai cara penularan yang dipicu oleh otorasisasi atau keterlibatan “user” sebagai pengguna komputer. Kerusakan yang dapat ditimbulkan pun bermacam-macam mulai dari yang mengesalkan sampai kepada jenis kerusakan yang bersifat merugikan dalam hal finansial 2.
Worms Worms merupakan program malicious yang dirancang terutama untuk menginfeksi
komputer yang berada dalam sebuah sistem jaringan. Perbedaan prinsip yang membedakan worms dengan virus adalah bahwa penyebaran worm tidak tergantung pada campur tangan manusia atau pengguna. Worms merupakan program yang dibangun dengan algoritma tertentu sehingga mampu untuk mereplikasikan dirinya sendiri pada sebuah jaringan komputer tanpa melalui bantuan maupun keterlibatan pengguna. Karena karakteristiknya yang tidak melibatkan manusia, maka jika sudah menyebar sangat sulit untuk mengontrol atau mengendalikannya. Usaha penanganan yang salah justru akan membuat pergerakan worms menjadi semakin liar tak terkendali untuk itulah dipergunakan penanganan khusus dalam menghadapinya.
3.
Trojan Horse Istilah Trojan Horse atau Kuda Troya adalah sebuah taktik perang yang digunakan
dalam penaklukan kota troy yang dikelelilinggi benteng yang kuat. Pihak penyerang membuat sebuah patung kuda raksasa yang di dalamnya memuat beberapa prajurit yang nantinya ketika sudah berada di dalam wilayah benteng akan keluar untuk melakukan peretasan dari dalam. Ide ini mengilhami sejumlah hacker dan cracker dalam membuat virus atau worms yang cara kerjanya mirip dengan fenomena taktik perang ini, mengingat banyaknya antivirus yang bermunculan maka mereka menciptakan sesuatu yang tidak dapat terdeteksi oleh antivirus.
Dalam mengklasifikasi sebuah ancaman dapat dilakukan dengan metode stride. STRIDE berasal dari kata :
Spoofing
Menggunakan hak akses / Mengakses sistem dengan menggunakan identitas orang lain .
Tampering
Tanpa mempunyai hak akses namun dapat mengubah data yang ada didalam database.
Repudiation
Membuat sebuah sistem atau database dengan sengaja salah, atau sengaja menyisipkan bugs, atau menyertakan virus tertentu didalam aplikasi sehingga dapat digunakan untuk mengakses sistem pada suatu saat.
Information disclosure
Membuka atau membaca sebuah informasi tanpa memiliki hak akses atau membaca sesuatu tanpa mempunyai hak otorisasi.
Denial of service
Membuat sebuah sistem tidak bekerja atau tidak dapat digunakan oleh orang lain.
Elevation of priviledge
Menyalahgunakan wewenang yang dimiliki untuk mengakses sebuah sistem untuk kepentingan pribadi. Dalam keamanan sistem informasi seorang dapat berpotensi sebagai ancaman dalam
keamanan apabila memiliki kriteria sebagai berikut : 1.
Kewenangan tinggi untuk login kedalam sebuah sistem.
2.
Memiliki hak akses ( password ) seseorang yang dia ketahui dari berbagai sumber.
3.
Memiliki banyak sekali koleksi tools untuk meretas sebuah sistem dan keahlian
dibidang itu. 4.
Orang yang membangun sebuah sistem dapat pula menjadi ancaman bagi sistem
tersebut.
2.4 Keamanan dalam E-Commerce E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit. Kartu Kredit “Sekali pakai” Kartu sekali pakai ini bekerja dengan cara berikut: saat pemegang kartu ingin membeli sesuatu seccar online, ia akan memperleh angka yang acak dari situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelannggan tersebut, yang diberikan kepada pedadang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran. Praktik keamanan yang diwajibkan oleh Visa Visa mengumumkan 10 pratik terkait keamanan yang diharapkan perusahaan ini untuk diikuti oleh peritelnya. Peritel yang memilih untuk tidak mengikuti praktik ini akan menghadapi denda, kehilangan keanggotaan dalam program visa, atau pembatasan penjualan dengan visa. Peritel harus :
1.
Memasang dan memelihara firewall
2.
Memperbaharui keamanan
3.
Melakukan enkripsi data yang disimpan
4.
Melakukan enkripsi pada data ynag dikirm
5.
Menggunakan dan memperbaharui peranti lunak anti virus
6.
Membatasi akses data kepada orang-orang yang ingin tahu
7.
Memberikan id unik kepada setiap orang yang memiliki kemudahan mengakses data
8.
Memantau akses data dengan id unik
9.
Tidak menggunakan kata sandi default yang disediakan oleh vendor
10. Secara teratur menguji sistem keamanan Selain itu, visa mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk semua aktivitas bukan hanya yang berhubungan dengan e-commerce: 1.
Menyaring karyawan yang memiliki akses terhadap data
2.
Tidak meninggalkan data atau komputer dalam keadaan tidak aman
3.
Menghancurkan data jika tidak dibutuhkan lagi.
2.5 Resiko dan manajemen resiko terhadap keamanan informasi Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu: a. Pengungkapan Informsi yang tidak terotoritasis dan pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi atau uang. b. Penggunaan yang tidak terotorisasi. Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. c. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi. d. Modifikasi yang terotorisasi. Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah. Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah : 1.
Identifikasi aset-aset bisnis yang harus dilindungi dari risiko
2.
Menyadari risikonya
3.
Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi
4.
Menganalisis kelemahan perusahaan tersebut
Tabel Tingkat Dampak dan Kelemahan Dampak Parah
Dampak Signifikan
Dampak Minor
Kelemahan
Melaksanakan
Tingkat Tinggi
kelemahan.
analisis Melaksanakan
analisis Analisis
Harus kelemahan.
Harus kelemahan
meningkatkan
meningkatkan
tidak
pengendalian
pengendalian
dibutuhkan
Kelemahan
Melaksanakan
analisis Melaksanakan
Tingkat
kelemahan.
Menengah
meningkatkan
meningkatkan
tidak
pengendalian.
pengendalian.
dibutuhkan
Kelemahan
Melaksanakan
analisis Melaksanakan
Tingkat
kelemahan.
Rendah
Pengendalian tetap ketat.
Sebaiknya kelemahan.
analisis Analisis Sebaiknya kelemahan
Menjaga kelemahan.
analisis Analisis Menjaga kelemahan
Pengendalian tetap ketat.
tidak dibutuhkan
Tingkat keparahan dampak dapat diklasifikasikan menjadi: 1.
dampak yang parah (severe impact) yang membuat perusahaan bangkrut atau sangat
membatasi kemampuan perusahaan tersebut untuk berfungsi 2.
dampak signifikan (significant impact) yang menyebabkan kerusakan dan biaya yang
signifikan, tetapi perusahaan tersebut tetap selamat 3.
dampak minor (minor impact) yang menyebabkan kerusakan yang mirip dengan yang
terjadi dalam operasional sehari-hari.
Setelah analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam laporan analisis risiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini, mengenai tiap-tiap risiko: 1. diskripsi risiko 2. sumber risiko 3. tingginya tingkat risiko 4. pengendalian yang diterapkan pada risiko tersebut 5. para pemilik risiko tersebut 6. tindakan yang direkomendasikan untuk mengatasi risiko
7. jangka waktu yang direkomendasikan untuk mengatasi risiko
Jika perusahaan telah mengatasi risiko tersebut, laporan harus diselesaikan dengan cara menambahkan bagian akhir : 8. apa yang telah dilaksanakan untuk mengatasi risiko tersebut.
2.6 Kebijakan dalam keamanan informasi Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program. Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap, diantaranya: a. Fase 1, Inisiasi Proyek. Membentuk sebuah tim untuk mengawas proyek kebijakan keamanan tersebut. b. Fase 2, Penyusunan Kebijakan. Berkonsultasi dengan semua pihak yang berminat dan terpengaruh. c. Fase 3, Konsultasi dan persetujuan. Berkonsultasi dengan manajemen untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan. d. Fase 4, Kesadaran dan edukasi. Melaksanakan program pelatihan kesadaran dan edukasi dalam unit-unit organisasi. e. Fase 5, Penyebarluasan Kebijakan. Kebijakan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat diterapkan. Kebijakan Keamanan yang Terpisah dikembangkan untuk a.
Keamanan Sistem Informasi
b.
Pengendalian Akses Sistem
c.
Keamanan Personel
d.
Keamanan Lingkungan Fisik
e.
Keamanan Komunikasi data
f.
Klasifikasi Informasi
g.
Perencanaan Kelangsungan Usaha
h.
Akuntabilitas Manajemen Kebijakan terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk
tulisan, dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan, pengendalian dapat diimplementasikan.
2.7 Pengendalian Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu : 1.
PENGENDALIAN TEKNIS Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu di
dalam system dan dibuat oleh para penyusun system selam masa siklus penyusunan system. Didalam pengendalian teknis, jika melibatkan seorang auditor internal didalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain system. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak. 1.
Pengendalian Akses Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang
tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi, maka pengrusakan tidak dapat dilakukan. Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup: 1.
Identifikasi pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka
dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan. 2.
Autentifikasi pengguna. Setelah identifkasi awal telah dilakukan, para pengguna
memverikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi. Autentifikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatau yang menjadi identitas diri, seperti tanda tangan atau suara atau pola suara. 3.
Otorisasi pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui,
seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut. Identifkasi dan autentifikasi memanfaatkan profil pengguna (user profile), atau deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkan file pengendalian akses (acess control file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna.
Setelah para pengguna memenuhi syarat tiga fungsi pengendalian kases, mereka dapat menggunakan sumber daya informasi yang terdapat di dlaam batasan file pengendalian akses. Pencatatan audit yang berbasis komputer terus dilakukan pada semua aktivitas pengendalian akses, seperti tanggal dan waktu serta identifikasi terminal, dan digunakan untuk mempersiapkan laporan keuangan. 2.
System Deteksi Gangguan Logika dasar dari system deteksi gangguan adalah mengenali upaya pelanggaran
keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus dan memperingatkan si pengguna. Contoh deteksi pengganggu yang lain adalah peranti lunak yang ditujukan untuk mengidentifikasikan calon pengganggu sebelum memiliki kesempatan untuk membahayakan. Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun sedemikian rupa sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang di dalam perusahaan, akses ke dalam data yang sensitive, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimilki, dan penggunaan protocol jaringan tertentu. Hasil pembuatan profilan seperti ini, yang beberapa berbentuk kuantitatif, dapat mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya. 3.
Firewall Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan. Salah
satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitive dan system informasi. Cara lain adalah menyediakan kata sandi kepada mitra dagang yang memungkinkannya memasuki jaringan internal dari Internet. Pendekatan ketiga adalah membangun dinding pelindung atau firewall. Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi aliran data ked an dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman untuk semua komputer pada jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing computer. Beberapa perusahaan yang menawarkan peranti lunak antivirus (seperti McAfee di www.mcafee.com dan www.norton.com ) sekarang memberikan peranti lunak firewall tanpa biaya ekstra dengan pembelian produk antivirus mereka. Ada tiga jenis firewall, yaitu:
1.
Firewall Penyaring Paket. Router adalah alat jaringan yang mengarahkan aliran lalu
lintas jaringan. Jika router diposisikan antara Internet dan jaringan internal, maka router dapat berlaku sebagai firewall. Router dilengkapi dengan table data dan alamat-alamat IP yang menggambarkan kebijakan penyaringan. Untuk masing-masing transmisi, router mengakses table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari beberapa lokasi Internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah serangkaian empat angka (masing-masing dari 0 ke 255) yang secara unik mengidentifikasi masing-masing computer yang terhubung dengan Internet. Salah satu keterbasan router adalah router hanya merupakan titik tunggal keamanan, sehingga jika hacker dapat melampuinya perusahaan tersebut bisa mendapatkan masalah. “IP spoofing”, yaitu menipu table akses router, adalah dalah satu metode yang digunakan untuk pembajak untuk menipu router. 2.
Firewall Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalah firewall
tingkat sirkuit yang terpasang antara Internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit) daripada router. Pendekatan ini memungkinkan tingkat autentifikasi dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Namun, keterbatasan dari titik tunggal keamanan tetap berlaku. 3.
Firewall Tingkat Aplikasi. Firewall ini berlokasi antara router dan computer yang
menajlankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan diautentifikasi sebagai permintaan yang berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan paket), aplikasi tersebut dapat memnita informasi autentifikasi yang lebih jauh seperti menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan memeriksa apakah permintaan tersebut berlangsung selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang paling efektif, firewall ini cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah seorang programmer jaringan harus penulis kode program yang spesifik untuk masing-masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus, dimodifikasi.
4.
Pengendalian Kriptografis Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika seseorang yang tidak memiliki
otorisasi memperoleh akses enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan. Popularitas kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan untuk meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah SET
(Secure
Electronic
Transactions),
yang
,melakukan
pemeriksaan
keamanan
menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang dapat berpartisispasi dalam transaksi e-commerce – pelanggan, penjual, dan institusi keuangan. Dua tanda tangan biasanya digunakan menggantikan nomor kartu kredit. 5.
Pengendalian Fisik Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu
ruangan computer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yaitu dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir, dan badai. 6.
Meletakkan Pengendalian Teknis Pada Tempatnya Anda dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak semuanya
dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Perusahaan biasanya memilih dari daftar ini dan menerapkan kombinasi yang dianggap menawarkan pengaman yang paling realisitis. 2.
PENGENDALIAN FORMAL Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur
dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan dapat berlaku dalam jangka panjang. 3.
PENGENDALIAN INFORMAL Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.
BAB III PENUTUP 3.1 Kesimpulan Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik agar aman dari ancaman baik dari dalam atau dari luar. Istilah keamanan sistem digunakan untuk mengambarkan perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management – ISM ), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (bussiness continuity management – BCM). Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya. Ancaman Keamanan Informasi (Information Security Threat) merupakan orang, organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat disengaja dan tidak disengaja. Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh Ancaman keamanan informasi. E-Commerce memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perllindungan data, informasi, dan piranti lunak, tetapi perlindungan dari pemalsuan kartu kredit. Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi menjadi tiga kategori, yaitu : teknis, formal dan informal.
3.2 Saran Demi kesempurnaan makalah ini, saran kami jagalah system keamanan komputer atau PC anda dari segala macam ancaman yang telah penulis paparkan diatas dengan berbagai keamanan yang dapat setidaknya meminimalisir segala macam ancaman kepada sistem PC anda.
DAFTAR PUSTAKA Reymond, MC Leod. 2009. Sistem Informasi Manajemen. Salemba Empat http://megyanggraini.blogspot.com/2013/07/sistem-informasi-manajemen-keamanan.html https://mmsi.binus.ac.id/2017/11/17/keamanan-informasi/