|
Aslika Indriani
|
:
|
51415012
|
|
Jovanka S
|
:
|
51415037
|
|
Santi Sumarah
|
:
|
51415054
|
BAB 9
KEAMANAN
INFORMASI
A.
Pendahuluan
Sumber daya informasi yang aman
merupakan suatu kebutuhan yang harus dimiliki oleh suatu organisasi. Telah lama
kalangan industri menyadari kebutuhan keamanan dari para penjahat komputer dan
sekarang pemerintah telah menaikkan tingkat keamanan sebagai salah satu cara
untuk memerangi terorisme.
Keamanan informasi ditujukan
untuk mendapatkan ketersediaan, serta integritas pada semua sumber daya
informasi perusahaan. Manajemen keamanan informasi terdiri atas perlindungan
harian dan manajemen keberlangsungan bisnis.
Dua pendekatan dapat dilakukan
untuk menyusun strategi-strategi ISM : manajemen resiko dan kepatuhan tolak
ukur. Resiko dapat mencakup insiden pengungkapan penggunaan dan modifikasi yang
tidak diotorisasi serta pencurian, penghancuran, dan penolakan layanan.
Ada tiga jenis pengendalian
yang tersedia yaitu pengendalian teknis, pengendalian formal, dan pengendalian
informal. Sejumlah pihak pemerintah telah menentukan standar dan menetapkan
peraturan yang memengaruhi keamanan informasi. Perusahaan-perusahaan yang ingin
mengembangkan rencana kontinjensi baru tidak harus memulai dari awal beberapa
model berbasis piranti lunak tersedia, seperti halnya secara garis besar dan
panduan dari pemerintah.
B.
Pembahasan
1.
Keamanan
Informasi
Istilah Keamanan Informasi digunakan untuk mendeskripsikan perlindungan
baik peralatan komputer maupun non-komputer, fasilitas, data, dan informasi
dari penyalahgunaan pihak-pihak yang tidak berwenang. Peralatan ini mencakup
seperti mesin fotokopi, mesin faks, serta semua jenis media, termasuk dokumen
kertas.
a. Kebutuhan
Organisasi Akan Keamanan dan Pengendalian Keamanan Informasi
Tujuan Keamanan Informasi :
1)
Kerahasiaan,
melindungi data dan informasi dari pengungkapan kepada orang- orang yang tidak
berwenang.
2)
Ketersediaan,
menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
3)
Integritas, semua
sistem informasi harus memberi representasi akurat atas sistem fisik yang direpresentasikannya.
b.
Manajemen
Keamanan Informasi
Aktivitas untuk menjaga agar sumber daya informasi tetap aman
disebut manajemen keamanan informasi (information security management –
ISM). Aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya
tetap berfungsi setelah adanya bencana disebut manajemen
keberlangsungan bisnis (business continuity management – BCM).
CIO adalah orang yang tepat untuk memikul tanggungjawab atas keamanan
informasi, namun kebanyakan organisasi mulai menunjuk orang-orang tertentu yang
dapat mencurahkan perhatian penuh terhadap aktivitas ini. Jabatandirektur
keamanan sistem informasi perusahaan (corporate information system security
Officer – CISSO) digunakan untuk individu anggota dari unit sistem
informasi, yang bertanggungjawab atas keamanan sistem informasi perusahaan
tersebut. untuk mencapai tingkat informasi yang lebih tinggi lagi di dalam
perusahaan dengan cara menunjuk seorangdirektur assurance informasi
perusahaan (corporate information assurance officer – CIAO).
2.
Ancaman
Ancaman keamanan informasi (information
security threat) adalah orang,
organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan.
Ancaman dapat bersifat:
a.
Ancaman Internal dan Eksternal
Ancaman Internal mencakup bukan hanya karyawan perusahaan, tetapi juga
pekerja temporer, konsultan, kontraktor dan bahkan mitra bisnis. Diperkirakan
menghasilkan kerusakan yang secara potensi lebih serius disbanding ancaman
eksternal, karena pengetahuan ancaman internal yang lebih mendalam akan sistem
tersebut.
b.
Tindakan
Kecelakaan dan Disengaja
Banyak terjadi kerusakan karena kecelakaan, maka dari itu sistem
keamanan juga harus mengeliminasi atau mengurangi kemungkinan terjadinya
kerusakan yang disebabkan kecelakaan.
3.
Jenis Ancaman
Terdapat beberapa jenis peranti lunak berbahaya:
a.
Virus adalah program
komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh
pengguna dan menempelkan salinan dirinya pada program-program dan boot
sector lain.
b.
Worm tidak dapat
mereplikasi dirinya sendiri, tetapi dapat menyebarkan salinannya melalui
e-mail.
c.
Trojan Horse, tidak
dapat mereplikasi atau mendistribusikan dirinya; si pengguna menyebarkannya
sebagai suatu perangkat. Pada saat perangkat tersebut digunakan, perangkat itu
menghasilkan perubahan-perubahan yang tidak diinginkan dalam fungsionalitas
sistem tersebut.
d.
Adware, memunculkan
pesan-pesan iklan yang mengganggu.
e.
Spyware, mengumpulkan
data dari mesin pengguna.
Program antispyware sering kali menyerang cookie,
yaitu file teks kecil yang diletakkan perusahaan di Hard Drive pelanggan untuk
untuk mecatat minat belanja pelanggan mereka. Solusi yang paling efektif adalah
menghalangiantispyware untuk menghapus cookies pihak
pertama yang disimpan perusahaan untuk para pelanggannya, tapi hanya
menghapus cookies pihak ketiga yang diletakkan oleh perusahaan
lain.
4.
Risiko
Risiko keamanan informasi (information
security risk) adalah potensi output yang tidak
diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.
a.
Pengungkapan Informasi yang Tidak Terotorisasi dan Pencurian
1)
Penggunaan yang Tidak
Terotorisasi : Terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber
daya perusahaan mampu melakukan hal tersebut.
2)
Penghancuran yang
Tidak Terotorisasi dan Penolakan Layanan
: Seseorang dapat merusak atau menghancurkan peranti
lunak maupun peranti keras, sehingga menyebabkan operasional komputer tidak
berfungsi.
3)
Modifikasi yang Tidak
Terotorisasi : Perubahan dapat dilakukan pada data, informasi dan peranti lunak
perusahaan dan tanpa disadari menyebabkan para pengguna output sistem tersebut
mengambil keputusan yang salah.
5.
Persoalan E-COMMERCE
Menurut survei Gartner Group, pemalsuan kartu kredit 12 kali
lebih sering terjadi untuk para peritel e-commerce. Untuk itu,
perusahaan-perusahaan kartu kredit yang utama telah mengimplementasikan program
yang ditujukan secara khusus untuk keamanan kartu kredit e-commerce.
a.
Kartu Kredit “Sekali Pakai”
Berkerja dengan cara: saat pemegang kartu ingin membeli sesuatu secara
online, ia akan memperoleh angka yang acak dari situs web perusahaan kartu
kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelanggan
tersebut, yang diberikan kepada pedagang e-commerce, yang kemudian
melaporkannya ke perusahaan kartu kredit untuk pembayaran.
b.
Praktik Keamanan yang Diwajibkan oleh Visa
Visa mengumumkan 10 praktik terkait keamanan yang diharapkan perusahaan
ini untuk diikuti oleh para peritelnya.
1) Memasang dan memelihara firewall.
2) Memperbarui keamanan.
3) Melakukan enkripsi pada data yang disimpan.
4) Melakukan enkripsi pada data yang dikirim.
5) Menggunakan dan memperbarui peranti lunak antivirus
6) Membatasi akses data pada orang-orang yang ingin tahu
7) Memberikan ID unik kepada setiap orang yang memiliki kemudahan mengakses
data
8) Memantau akses data dengan ID unik
9) Tidak menggunakan kata sandi default yang disediakan oleh vendor
10)
Scara teratur menguji
sistem keamanan
Selain itu, Visa mengidentifikasi 3 praktik umum yang harus diikuti oleh
peritel dalam mendapatkan keamanan informasi untuk semua aktivitas, bukan hanya
yang berhubungan dengan e-commerce.
1) Menyaring karyawan yang memiliki akses terhadap data
2) Tidak meninggalkan data (disket, kertas, dll) atau komputer dalam
keadaan tidak aman
3) Menghancurkan data jika tidak dibutuhkan lagi.
6.
Manajemen
Risiko
Manajemen
Risiko, merupakan satu dari dua strategi untuk mencapai keamanan informasi.
Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau
mengurangi dampaknya. Pendefenisian risiko terdiri atas empat langkah :
a.
Identifikasi aset-aset bisnis yang harus
dilindungi dari risiko
b.
Menyadari risikonya
c.
Menentukan tingkatan dampak pada perusahaan jika
risiko benar-benar terjadi
d.
Menganalisis kelemahan perusahaan tersebut
7.
Kebijakan
Keamanan Informasi
Kebijakan Keamanan Informasi, Suatu kebijakan keamanan
harus diterapkan untuk mengarahkan keseluruhan program. Perusahaan dapat
menerapkan keamanan dengan pendekatan yang bertahap, diantaranya:
a.
Fase 1, Inisiasi Proyek. Membentuk sebuah
tim untuk mengawas proyek kebijakan keamanan tersebut.
b.
Fase 2, Penyusunan Kebijakan. Berkonsultasi
dengan semua pihak yang berminat dan terpengaruh.
c.
Fase 3, Konsultasi dan
persetujuan. Berkonsultasi dengan manajemen untuk mendapatkan pandangan
mengenai berbagai persyaratan kebijakan.
d.
Fase 4, Kesadaran dan
edukasi. Melaksanakan program pelatihan kesadaran dan edukasi dalam
unit-unit organisasi.
e.
Fase 5, Penyebarluasan Kebijakan. Kebijakan
ini disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat
diterapkan.
8.
Pengendalian
Pengendalian, adalah mekanisme
yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk
meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut
terjadi. Engendalian dibagi menjadi tiga kategori, yaitu :
a.
Pengendalian
Teknis,
pengendalian yang menjadi satu didalam sistem dan dibuat oleh para penyusunan
sistem selama masa siklus penyusunan sistem. Kebanyakan pengendalian keamanan
dibuat berdasarkan teknologi peranti keras dan lunak. Yang paling populer akan
dijelaskan pada bagian berikut.
1) Pengendalian
Akses
2) Sistem
Deteksi Gangguan
3) Firewall
4) Pengendalian
Krintografis
5) Pengedalian
Fisik
6) Meletakkan
Pengendalian Teknis pada Tempatnya
9.
Pengendalian Formal
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi
prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku
yang berbeda dari panduan yang berlaku.
10.
Pengendalian Informal
Pengendalian
informal mencakup program-program pelatihan dan edukasi serta program
pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para
karyawan perusahaan memahami serta mendukung keamanan tersebut.
11.
Manajemen
Keberlangsungan Bisnis
Aktivitas yang
ditujukan untuk menentukan operasional setelah terjadi gangguan sistem
informasi disebut dengan manajemen keberlangsungan Bisnis ( business
continuity management-BCM). Pada tahun-tahun awal penggunaan komputer,
aktifitas ini disebut perencanaan besar (disaster planning), namun istilah yang
lebih positif, perencanaan kontinjensi (contingency plan), menjadi populer.
Elemen penting dalam
perencanaan kontinjensi adalah rencana kontinjensi (contingency plan), yang
merupakan dokumen tertulis formal yang menyebutkan secara detail
tindakan-tindakan yang harus dilakukan jika terjadi gangguan,atau ancaman gangguan
pada operasi komputasi perusahaan. Subrencana manajemen kelangsungan bisnis
yang umum mencakup:
a.
Rencana darurat: menyebutkan
cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi.
b.
Rencana cadangan:
perusahaan mengatur agar fasilitas komputer cadangan tersedia seandainya
fasilitas yang biasa hancur atau rusak sehingga tidak dapat digunakan.
Perkembangan dunia saat ini, banyak
perusahaan mencari keamanan sistem informasi yang tidak menghambat ketersediaan
informasi bagi pihak-pihak yang memiliki otorisasi untuk mendapatkannya.
Terdapat tiga tujuan keamanan informasi yaitu keberhasilan, ketersediaan, dan
integritas. Pemikiran yang ada saat ini menyatakan bahwa aktivitas keamanan ini
harus dikelola oleh direktur pengawas informasi perusahaan (CIAO) yang memimpin
fasilitas keamanan yamg terpisah dan melapor langsung ke CEO.
Manajemen risiko melibatkan
identifikasi ancaman, pendefinisian risiko, penetapan kebijakan keamanan
informasi, dan penerapan pengendalian. Kepatuhan terhadap tolak ukur
menggantikan pertimbangan ancaman dan risiko dengan tolak ukur keamanan
informasi yang baik yang biasanya disediakan pemerintah atau asosiasi industri.
Ketika melaksanakan manajemen risiko, tingkat dampak dan derajat kerentanan
dapat didefinisikan secara sistematis.
Terdapat tiga jenis
pengendalian : teknis, formal, dan informal. Penegndalian teknis menggunakan
peranti keras dan peranti lunak. Pengendalian formal mengambil upaya
atas-bawah, seperti cara berperilaku, prosedur, dan praktik. Pengendalian
informal terutama berfokus pada pemberian informasi yang dibutuhkan kepada
karyawan untuk melaksanakan pengendalian. Manajemen keberlangsungan bisnis
dicapai melalui rencana kontinjensi yang biasanya dibagi ke dalam subrencana.
Saat ini telah tersedia
berbagai pilihan bagi perusahaan yang berniat untu meningkatkan keamanan
informasinya. Ini merupakan satu wilayah aktivitas komputerisasi, dimana jalan
yang tepat sudah jelas.
. D. Rekomendasi Manajerial
1.
Perusahaan
sebaiknya merancang atau merencanakan suatu manajemen keamanan informasi dalam
suatu perusahaan.
2.
Perusahaan
sebaiknya mengamati berbagai ancaman yang mungkin timbul dari dalam maupun luar
perusahaan.
3.
Perusahaan
sebaiknya melakukan tindakan yang tegas ketika terjadi ancaman.
4.
Sebaiknya
perusahaan mengevaluasi risiko yang mungkin terjadi dan kemudian meminimalisir
tingkat risiko ini.
Untuk
meningkatkan keamanan suati informasi yang harus dilakukan perusahaan yaitu
dengan menerapkan berbagai aturan kemudian melakukan pengendalian yang
memungkinkan untuk menambah suatu tingkat keamanan dari suatu sumber daya yang
ada.
Sumber Referensi :
Raymond McLeod, dan Jr. George
P. Schell. (2007). Management Information System. 10 Edition. Pearson
Education, Inc. New Jersy.
Terjemahan
: Ali Akbar Yulianto dan Afia R. Fitriati. (2008). Sistem Informasi Manajemen.
Edisi 10. Salemba Empat.
0 komentar:
Posting Komentar