ALDINA PERMATA SARI
40213617 / 3DA01
SISTEM INFORMASI MANAJEMEN
Edisi 10
Raymond McLeod, Jr
George P. Schell
BAB 9
KEAMANAN
INFORMASI
KEBUTUHAN ORGANISASI AKAN KEMANAN DAN PENGENDALIAN
Pemerintah federal
Amerika Serikat sekarang menerapkan pencegahan dan pendendalian, melalui
otoritas Patriot Act (Undang-undang
Patriot) dan Office of Homeland Security (Dinas
Keamanan Dalam Negeri). Ketika pencegahan federal ini diimplementasikan, dua
isu penting harus diatasi. Isu pertama adalah kemanan versus hak-hak individu,
isu yang kedua adalah keamanan versus ketersediaan.
KEAMANAN INFORMASI
Istilah kemanan informasi (information security) digunakan untuk mendeskripsikan
perlindungan baik peralatan computer dan non-komputer, fasilitas, data, dan
informasi. Dari penyalahgunaan pihak-pihak yang tidak berwenang.
a. Tujuan Keamanan Informasi
1. Kerahasiaan
2. Ketersediaan
3. integritas
b. Manajemen Keamanan Informasi
Manajemen keamanan informasi (Information
Security Management – ISM) adalah aktivitas untuk menjaga agar sumber daya
informasi tetap aman. Sedangkan, Manajemen
keberlangsungan bisnis (Business
Continuity Management – BCM) adalah aktivitas untuk menjaga agar
perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana.
MANAJEMEN KEAMANAN INFORMASI
Manajemen keamann
informasi terdiri dari 4 tahap, yaitu:
1.
Mengidentifikasi ancaman yang dapat menyerang
sumber daya informasi perusahaan
2.
Mendefinisikan risiko yang dapat disebabkan oleh
ancaman-ancaman tersebut
3.
Menentukan kebijakan kemanan informasi
4.
Mengimplementasikan pengendalian untuk mengatasi
risiko-risiko tersebut
Ancaman menghasilkan
risiko, yang harus dikendalikan, dikenal dengan manajemen risiko (risk
management). Tolok ukur
(benchmark) adalah tingkat kinerja yang disarankan. Tolok ukur keamanan informasi (information
security benchmark) adalah tingkat keamanan yang disarankan yang dalam
keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang
tidak terotorisasi.
ANCAMAN
Ancaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau
peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi
perusahaan. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal,
dan dapat bersifat tidak sengaja maupun disengaja.
a. Ancaman Internal dan
Eksternal
Ancaman internal
diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika
dibandingkan dengan ancaman eksternal, dikarenakan pengetahuan ancaman internal
yang lebih mendalam akan sistem tersbut.
b. Tindakan Kecelakaan dan
Disengaja
Tidak semua ancaman
meripakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan
kecelakaan, yang disebabkan oleh orang-orang di dalam ataupun di luar
perusahaan.
JENIS ANCAMAN
Semua orang
pernah mendengar virus computer , dia adalah jenis peranti lunak yang
menyandang nama peranti lunak yang
berbahaya (malicious software). Malicious
software, atau malware terdiri atas
program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu
sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem. Terdapat
jenis peranti lunak yang berbahaya, selain virus, terdapat pula worm, Trojan horse, adware, dan spyware.
Virus
adalah program computer yang dapat mereplikasi dirinyta sendiri tanpa dapat
diamati oleh si pengguna dan menempelkan salinana dirinya pada program-program
dan boot sector lain.
Worm(cacing)
adalah program yang tidak mereplikasi dirinya sendiri di dalam sistem,
tapi dapat meyebarkan salinannya melalui e-mail.
Trojan
horse (kuda Troya) adalah program yang tidak dapat mereplikasi ataupun
mendistribusikan dirinya sendiri, si pengguna menyebarkannya sebagai suatu
perangkat. Pada saat perangkat tersebut digunakan, perangkat itu menghasilkan
perubahan-perubahan yang tidak diinginkan dalam fungsionalitas sistem tersebut.
Adware
adalah program yang memunculkan pesan-pesan iklan yang mengganggu
Spyware
adalah program yang mengumpulkan data dari mesin pengguna. Program antispyware sering kali menyerang cookies, yaitu file teks kecil yang diletakkan
perusahaan di hard drive pelanggan untuk mencatat minat belanja pelanggan
mereka.
RISIKO
Risiko kemanan
informasi (information security risk) didefinisikan sebagai potensi output yang
tidak diharapkan dari pelanggaran kemanan informasi oleh ancaman keamanan
informasi. Risiko ini dibagi menjadi 4 jenis, yaitu:
1. Pengungkapan Informasi yang
Tidak Terotorisasi dan Pencurian
Ketika suatu basis dara dan
perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak
berhak memiliki akses, hasilnya adalah hilangnya informasi atau uang.
2. Penggunaan yang Tidak
Terotorisasi
Contoh kejahatan tipe ini
adalah hacker yang memandang keaman informasi sebagai suatu tantangan
yang harus diatasi, misal, dapat memasuki jaringan computer sebuah perusahaan,
mendapat akses ke dalam sistem telepon, dll.
3. Penghancuran yang Tidak
Terotorisasi dan Penolakan Layanan
Seseorang dapat merusak atau
menghancurkan peranti keras maupun peranti lunak, sehingga menyebabkan
operasional computer perusahaan tersebut tidak berfungsi.
4. Modifikasi yang Tidak
Terotorisasi
Perubahan dapat dilakukan
pada data, informasi, dan peranti lunak perusahaan.
PERSOALAN E-COMMERCE
E-commerce (perdagangan informasi) telah
memperkenalkan suatu permasalah keamanan baru. Masalah ini bukanlah
perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari
pemalsuan kartu kredit. Untuk mengatasi masalah ini, perusahaan kartu kredit
telah mengimplementasikan program yang
ditujukan secara khusus untuk keamanan kartu kredit e-commerce.
a. Kartu Kredit “Sekali Pakai”
Kartu kredit ini bekerja
dengan cara: Saat pemegang kartu ingin membeli sesuatu secara online, ia akan memperoleh angka yang acak
dari situs Web perusahaan kartu kredit tersebutangka inilah, dan bukannya nomor
kartu kredit pelanggan tersebut, yang diberikan kepada pedagang e-commerce, yang kemudian melaporkannya
ke perusahaan kartu kredit untuk pembayaran.
b. Praktik Keamanan yang
Diwajibkan oleh Visa
Visa mengumumkan 10 praktik
terkait kemanan yang diharapkan perusahaan ini untuk diikuti oleh para
peritelnya. Peritel yang memilih untuk tidak mengikuti praktik ini akan
menghadapi denga, kehilangan keanggotaan dalam program Visa, atau pembatasan
penjualan dengan Visa. Peritel harus:
1. Memasang dan memelihara firewall
2. Memperbarui keamanan
3. Melakukan enkripsi pada data
yang disimpan dan dikirimkan
4. Menggunakan dan memperbarui
peranti lunak antivirus
5. Membatasi akses data kepada
orang-orang yang ingin tahu
6. Memberikan IF unik kepada
setiap orang yang memiliki kemudahan mengakses data
7. Memantau akses data dengan
ID unik
8. Tidak menggunakan kada sandi
default yang disediakan oleh vendor
9. Secara teratur menguji
sistem keamanan
Selain itu, visa
mengidentifikasi 3 praktik umum yang harus diikuti oleh peritel, yaitu:
1. Menyaring karyawan yang
memiliki akses terhadap data
2. Tidak meninggalkan data
(disket, kertas, dll.) atau computer dalam keadaan tidak aman
3. Menghancurkan data jika
tidak dibutuhkan lagi.
MANAJEMEN RISIKO
Pendefinisian risiko
terdiri atas 4 langkah:
1.
Identifikasi asset-aset bisnis yang harus
dilindungi dari risiko
2.
Menyadari risikonya
3.
Menentukan tingkatan dampak pada perusahaan jika
risiko benar-benar terjadi
4.
Menganalisis kelemaan perusahaan tersebut
Tingkat keparahan
dampak dapat diklasifikasikan menjadi dampaka yang parah (severe impact)
membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut
untuk berfungsi, dampak signifikan (significant impact) menyebabkan kerusakan
dan biaya yang signifikan, tetapi perusahaan tersebut akan selamat, atau dampak
minor (minor impact) menyebabkan kerusahaan yang mirip dengan yang terjadi
dalam operasional dilaksanakan.
Setelah analisis
risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam laporan
analisis risiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini,
mengenai tiap-tiap risiki:
1.
Deskripsi risiko
2.
Sumber risiko
3.
Tingginya tingkat risiko
4.
Pengendalian yang diterapkan pada risiko
tersebut
5.
(Para) pemilik risiko tersebut
6.
Tindakan yang direkomendasikan untuk mengatasi
risiko
7.
Jangka waktu yang direkomendasikan untuk
mengatasi risiko
Jika perusahaan
telah mengatasi risiko tersebut, laporan harus diselesaikan dengan cara
menambahkan bagian terakhir:
8.
Apa yang telah dilaksanakan untuk mengatasi
risiko tersebut
KEBIJAKAN KEAMANAN INFORMASI
Perubahan dapat
menerapkan kebijakan keamanannya dengan mengikuti pendekatan yang bertahap. Terdapat
5 fase implementasi kebijakan keamanan:
1.
Fase 1 – Inisiasi proyek
2.
Fase 2 – Penyusunan kebijakan
3.
Fase 3 – Konsultasi dan persetujuan
4.
Fase 4 – Kesadaran dan edukasi
5.
Fase 5 – Penyebarluasan kebijakan
Kebijakan terpisah
dikembangkan untuk:
-
Keamanan sistem informasi
-
Pengendalian akses sistem
-
Keamanan personel
-
Keamanan lingkungan dan fisik
-
Keamanan komunikasi data
-
Klasifikasi informasi
-
Perencanaan kelangsungan usaha
-
Akuntabilitas manajemen
PENGENDALIAN
Pengendalian (control) adalah mekanisme yang diterpkan baik untuk melindungi
perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada
perusahaan jika risiko tersebut terjadi. Pengendalian dibagi menjadi 3
kategori:
1.
PENGENDALIAN TEKNIS
Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu di
dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan
sistem.
A. Pengendalian Akses
Dasar untuk keamanan melawan ancaman yang dilakukan
oleh orang-orang yang tidak diotorisasi adalah pengendalian akses. Pengendalian
akses dilakukan melalui proses 3 tahap, yaitu:
1.
Identifikasi pengguna
2.
Otentikasi pengguna
3.
Otorisasi pengguna
Identifikasi dan autentikasi memanfaatkan profil pengguna (user profile) atau deskripsi pengguna yang terotorisasi. Otorisasi
memanfaatkan file pengendalian akses (access control file) yang
menentukan tingkat akses yang tersedia bagi tiap pengguna.
B. Sistem Deteksi Gangguan
Peranti lunak proteksi virus (virus protection
software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Ancaman internal diklasifikasi
ke dalam kategori seperti ancaman yang
disengaja, potensi ancaman kecelakaan, emcurigakan, dan tidak berbahaya.
C. Firewall
Firewall adalah pendekatan ketiga,
yakni membuat dinding pelindung. Firewall
berfungsi sebagai penyaring dan penghalang yang membatasi aliran data dan dari
perusahaan tersebut dan Internet. Konsep di balik firewall adalah dibuatnya suatu pengaman untuk semua computer pada
jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing computer.
Terdapat 3 jenis firewall:
1. Firewall Penyaring Paket
2. Firewall Tingkat Sirkuit
3. Firewall Tingkat Aplikasi
D. Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan
dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografi,
yaitu penggunaan kode yang menggunakan proses-proses matematika. Data da
informasi tersebut dapat dienksripsi dalam penyimpanan dan juga ditransmisikan
ke dalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh
akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak
berarti apa-apa dan mencegah kesalahan pengguna.
E. Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak
terotorisasi adalah mengunci pintu ruangan computer. Perkembangan seterusnya
menghasilkan kunci yang lebih canggih, yang dibuka dengan cetakan telapak
tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan.
F. Meletakkan Pengendalian
Teknis pada Tempatnya
Perusahaan biasanya memilih dari daftar ini dan
menerapkan kombinasi yang dianggap menawarkan pengaman yang paling realistis.
2.
PENGENDALIAN FORMAL
Pengendalian
formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik
yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari
panduan yang berlaku. Pengendalian ini bersifat normal karena menajemen
menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk
tulisan, dan diharapkan untuk berlaku dalam jangka panjang.
3. PENGENDALIAN
INFORMAL
Pengendalian
informal mencakup program-program pelatihan dan edukasi serta program
pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para
karyawan perusahaan memahami serta mendukung program keamanan tersebut.
MENCAPAI TINGKAT PENGENDALIAN YANG TEPAT
Ketiga jenis
pengendalian teknis, formal dan informal mengharuskan biaya, karena bukanlah
merupakan praktik bisnis yang baik untuk menghabiskanlebih banyak uang pada pengendalian
dibandingkan biaya yang diharapkan dari risiko yang akan terjadi, makan
pengendalian harus ditetapkan pada tingkatan yang sesuai. Dengan demikian,
keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus
keuntungan.
DUKUNGAN PEMERINTAH DAN INDUSTRI
Beberapa organisasi
pemerintahan dan internasional telah menentukan standar-standar yang ditujukan
untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan
informasi. Beberapa standar ini beberbentuk tolok ukur, yang telah
diidentifikasi sebelumnya sebagai penyedia stategi alternative untuk manajemen
risiko. Beberapa pihak penentu standar menggunakan istilah baseline (dasar) dan benchmark (tolok ukur).
PERATURAN PEMERINTAH
Pemerintah baik
di Amerika Serikat maupun Inggris telah menentukan standard an menetapkan
peraturan yang dijukukan untuk menanggapi masalah pentingnya keamanan informasi
yang makin meningkat, terutama setelah peristiwa 9/11 dan semakin meluasnya
internet serta peluang terjadinya kejahatan computer. Diantaranya:
1. Standar Keamanan Komputer Pemerintah
Amerika Serikat
2. Undang-Undang Antiterorisme, Kejahatan, dan
Keamanan Inggris (ATSCA) 2001
STANDAR INDUSTRI
The Center for
Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk
membantu para pengguna computer guna membuat sistem mereka lebih aman.
SERTIFIKASI PROFESIONAL
Tiga contoh
berikut mengilustrasikan cakupan dari program sertifikasi:
1.
Asosiasi Audit Sistem dan Pengendalian
2.
Konsorsium Sertifikasi Keamanan Sistem Informasi Manajemen
3.
Institute SANS (SysAdmin, Audit, Network, Security)
MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA TEMPATNYA
Perusahaan harus
mengimplementasikan gabungan dari pengendalian teknis, formal, dan informal
yang diharapkan untuk menawarka tingkat keamanan yang diinginkan pada batasan
biaya yang telah ditentukan dan disesuaikan dengan pertimbangan lain yang
membuat perusahaan dan sistemnya mampu berfungsi secara efektif.
MANAJEMEN KEBERLANGSUNGAN BISNIS
Aktivitas yang
ditujukan untuk menentukan operasional setelah terjadi gangguan sistem
informasi disebut dengan manajemen
keberlangsungan bisnis (business
continuity management – BCM). Pada tahun-tahun awal penggunaan computer,
aktivitas ini disebut perencanaan
bencana (disaster planning) namun
istilah yang lebih positif, perencanaan
kontinjensi (contingency plan) menjadi
popular. Elemen penting dalam perencanaan kontonjensi adalah rencana kontinjensi (contingency plan) yang merupakan dokumen tertulis formal yang
menyebutkan secara detail tindakan-tidakan yang harus dilakukan jika terjadi
gangguan, atau ancaman gangguan, pada operasi computer perusahaan. Subrencana yang
umum mencakup:
a. Rencana Darurat
Rencana darurat (emergency plan) menyebutkan cara-cara yang
akan menjaga keamanan karyawan jika bencana terjadi.
b. Rencana Cadangan
Perusahaan harus mengatur
agar fasilitas computer cadangan tersedia seandainya fasilitas yang biasa
hancur atau rusak sehingga tidak dapat digunakan. Pengaturan ini merupakan
bagian dari rencana cadangan (backup plan). Cadangan diperoleh dari kombinasi:
a.
Redundasi
b.
Keberagaman
c.
Mobilitas
c. Rencana Catatan Penting
Catatan penting (vital records) perusahaan adalah dokumen
kertas, microform, dan media penyimpanan optis dan magnetis yang penting untuk
meneruskan bisnis perusahaan tersebut. Rencana
catatan penting (vital records plan) menentukan
cara bagaimana catatan penting tersebut harus dilindungi.
MELETAKKAN MANAJEMEN KEBERLANGSUNGAN BISNIS PADA TEMPATNYA
Manajemen keberlangsungan
bisnis merupakan salah satu bidang penggunaan computer dimana kita dapat
melihat perkembangan besar, sistem computer TAMP memasarkan Sistem Pemulihan
Bencana (Disaster Recovery System – DRS)
yang mencakup sistem manajemen basis data, instruksi, dan perangkat yang
dapatdigunakan untuk mempersiapkan rencana pemuliahan.
