Nama : Muhammad Lafasha Alfarisi
Kelas : 2 DB 04
Npm : 37114396
BAB - 9
KEAMANAN INFORMASI
Saat pemerintah dan kalangan industri
menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian
nyaris terfokus secara eksklusif pada perlindungan peranti keras dan data, maka
istilah keamanan sistem (system security) pun digunakan. Fokus sempit ini
kemudian diperluas sehingga mencakup bukan hanya peranti keras dan data, namun
juga peranti lunak, fasilitas computer, dan personel.
Keamanan informasi (information security) digunakan untuk
mendeskripsikan perlindungan baik peralatan computer dan non komputer dan non
kompter, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang
tidak berwenang.
Manajemen Keamanan
informasi
Aktivitas untuk menjaga agar
sumber daya informasi tetap aman disebut manajemen keamanan informasi
(information security management – ISM ), sedangkan aktivitas untuk menjaga
agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya
bencana disebut manajemen keberlangsungan bisnis (bussiness continuity
management – BCM).
Jabatan direktur keamanan sistem
informasi perusahaan (coorporate information system security officer – CISSO)
digunakan untuk individu di dalam organisasi, biasanya anggota dari unit sistem
informasi yang bertanggung jawab atas keamanan sistem informasi perusahaan
tersebut.
Tujuan Keamanan
Informasi
Keamanan informasi ditujukan untuk mencapai tiga tujuan
utama yaitu:
1. Kerahasiaan
Perusahaan berusaha untuk melindungi data informasinya dari
pengungkapan kepada orang-orang yang tidak berwenang.
2. Ketersediaan
Tujuan infrastruktur informasi perusahaan adalah
menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki
wewenang untuk menggunakannya.
3. Integritas
Semua sistem informasi harus memberikan representasi akurat
atas sistem fisik yang dipresentasikan.
Manajemen Keamanan
Informasi
Manajemen tidak hanya diharapkan
untuk menjaga sumber daya informasi aman, namn jga diharapkan untuk menjaga
persahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya
sistem keamanan. Aktifitas untuk menjaga
agar perusahaan dan sumber daya informasi tetap aman disebut Manajemen keamanan
informasi.
CIO adalah orang yang tepat untuk
memikul tanggung jawab atas keamanan informasi, namun kebanyakan organisasi
mulai menunjuk orang tertentu yang dapat mencurahkan perhatian penuh terhadap
aktivitas ini. Direktur keamanan sistem informasi perusahaan digunakan untuk
individu di dalam organisasi, biasanya anggota dari unit sistem informasi, yang
bertanggung jawab atas keamanan sistem informasi perusahaan tersebut. Namun
saat ini perubahan sedang dibuat untuk mencapai tingkat informasi yang lebih
tinggi lagi di dalam perusahaan dengan cara menunjuk seorang Direktur Assurance
informasi perusahaan (CIAO). Seorang CIAO harus mendapatkan serangkaian
sertifikat keamanan dan memiliki pengalaman minimum 10 tahun dalam mengelola
suatu fasilitas keamanan informasi.
Pada bentuknya yang paling dasar, manajemen keamanan
informasi terdiri atas empat tahap yaitu:
1. Mengidentifikasi
ancaman yang dapat menyerang sumber daya informasi perusahaan
2. Mengidentifikasi
risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
3. Menentukan
kebijakan keamanan informasi
4.
Mengimplementasikan pengendalian untuk mengatasi risiko-risiko tersebut.
Ancaman
Ancaman Keamanan Informasi (Information
Security Threat) merupakan orang, organisasi, mekanisme, atauperistiwa yang
memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Pada
kenyataannya, ancaman dapat bersifat internal serta eksternal dan bersifat
disengaja dan tidak disengaja.
Ancaman Internal dan
Eksternal
Ancaman internal bukan hanya mencakup karyawan
perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, bahkan mitra
bisnis perusahaan tersebut. Ancaman internal diperkirakan menghasilkan
kerusakan yang secara potensi lebih serius jika dibandingkan denga ancaman
eksternal, dikarenakan pengetahuan anccaman internal yang lebih mendalam akan
sistem tersebut. Ancaman eksternal misalnya perusahaan lain yang memiliki
produk yang sama dengan produk perusahaan atau disebut juga pesaing usaha.
Tindakan Kecelakaan
dan disengaja
Tidak semua ancaman merupakan
tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan
kecelakaan yang disebabkan oelh orang-orang di dalam ataupun diluar perusahaan.
sama halnya
Jenis- Jenis Ancaman:
Malicious software, atau malware
terdiri atas program-program lengkap atau segmen-segmen kode yang dapat
menyerang suatu system dan melakukan fungsi-fungsi yang tidak diharapkan oleh
pemilik system. Fungsi-fungsi tersebut dapat menghapus file,atau menyebabkan
sistem tersebut berhenti. Terdapat beberapa jensi peranti lunak yang berbahaya,
yakni:
1. Virus. Adalah
program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati
oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot
sector lain
2. Worm. Program yang tidak dapat mereplikasikan
dirinya sendiri di dalam sistem, tetapi dapat menyebarkan salinannya melalui
e-mail
3. Trojan Horse.
Program yang tidak dapat mereplikasi atau mendistribusikan dirinya sendiri,
namun disebarkan sebagai perangkat
4. Adware.
Program yang memunculkan pesan-pesan iklan yang mengganggu
5. Spyware.
Program yang mengumpulkan data dari mesin pengguna
Risiko Keamanan
Informasi
Didefinisikan sebagai potensi
output yang tidak Diharapkan dari pelanggaran keamanan informasi oleh Ancaman
keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi.
Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
-Interuption:
ancaman terhadap availability, yaitu data dan informasi yang berada dalam
system computer yang dirusak dan dibuang sehingga menjadi tidak ada atau
menjadi tidak berguna.
-Interception:
merupakan ancaman terhadap secrey, yaitu orang yang tidak berhak mendapatkan
akses informasi dari dalam system computer.
-Modification:
merupakan ancaman terhadap integritas, yaitu orang yang tidak berhak, tidak
hanya berhasil mendapatkan akses, melainkan juga dapat melakukan pengubahan
terhadap informasi.
-Fabrication:
adanya orang yang tidak berwenang, meniru atau memalsukan suatu objek ke dalam system.
Pengendalian Teknis
Adalah pengendalian yang menjadi
satu di dalam system dan dibuat oleh para penyususn system selama masa siklus
penyusunan system. Dilakukan melalui
tiga tahap:
a. Identifikasi Pengguna.
Memberikan informasi yang mereka ketahui seperti kata sandi
dan nomor telepon.nomor telepon.
b. Otentikasi Pengguna.
Pengguna memverivikasi hak akses dengan cara memberikan
sesuatu yang mereka miliki, seperti chip identifikasi atau tanda tertentu.
c. Otorisasi Pengguna.
Pengguna dapat mendapatkan wewenang untuk memasuki tingkat
penggunaan tertentu.
Setelah pengguna memenuhi tiga
tahap tersebut, mereka dapat menggunakan sumber daya informasi yang terdapat di
dalam batasan file akses.
Sistem Deteksi
Gangguan
Logika dasar dari sistem deteksi
gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki
kesempatan untuk melakukan perusakan.
Firewall
Suatu Filter yang membatasi
aliran data antara titik-titik pada suatu jaringan-biasanya antara jaringan
internal perusahaan dan Internet.
Berfungsi sebagai:
a. Penyaring aliran
data
b. Penghalang yang
membatasi aliran data ke dan dari perusahaan tersebut dan internet.
Pengendalian
Kriptografis
Data dan informasi yang tersimpan
dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi
dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-proses
matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan
juga ditransmisikan kedalam jaringan. Jika seseorang yang tidak memiliki
otorisasi memperoleh akses enkripsi tersebut akan membuat data dan informasi
yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.
Popularitas kriptografis semakin
meningkat karena e-commerce, dan produk khusus ditujukan untuk meningkatkan
keamanan e-commerce telah dirancang. Salah satunya adalah SET (Secure
Electronic Transactions), yang ,melakukan pemeriksaan keamanan menggunakan tanda
tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang dapat
berpartisispasi dalam transaksi e-commerce – pelanggan, penjual, dan institusi
keuangan. Dua tanda tangan biasanya digunakan menggantikan nomor kartu kredit.
Pengendalian Fisik
Peringatan pertama terhadap
gangguan yang tidak terotorisasi adalah mengunci pintu ruangan computer.
Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yaitu
dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai
dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik
hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya ditempat
terpencil yang jauh dari kota dan jauh dari wilayah yang sensitive terhadap
bencana alam seperti gempa bumi, banjir, dan badai.
Pengendalian Formal
Pengendalian formal mencakup
penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan,
dan pengawasan serta pencegahanperilaku yang berbeda dari panduan yang berlaku.
Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu
untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan
dapat berlaku dalam jangka panjang.
Pengendalian Informal
Pengendalian informal mencakup
program-program pelatihan dan edukasi serta program pembangunan manajemen.
Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami
serta mendukung program keamanan tersebut.
Pentingnya Keamanan
sistem
Sistem Informasi diperlukan
karena:
1. Teknologi
Komunikasi Modern yang membawa beragam dinamika dari dunia nyata ke dunia
virtual
2. Kurangnya
Keterampilan Pengamanan yang dimiliki oleh Pemakai
3. Untuk menjaga
objek kepemilikan dari informasi yang memiliki nilai ekonomis.
Dukungan Pemerintah
Dan Industri
Beberapa organisasi pemerintah
dan internasional telah menentukan standar-standar yang ditunjukan untuk
menjadi panduan bagi organisasi yang ingin mendapatkan keamanan
informasi.Beberapa standar ini berbentuk tolak ukur, yang telah
diidentifikasisebelumnya sebagai penyedia strategi alternative untuk manajemen
resiko. Beberapa pihak penentu standar menggunakan istilah baseline(dasar) dan
bukannya benchmark (tolak ukur). Organisasi tidak diwajibkan mengikuti standar
ini.Namun, standar ini ditunjukan untuk memberikan bantuan kepada perusahaan
dalam menentukan tingkat target keamanan.
Manajemen
Keberlangsungan Bisnis
Manajemen keberlangsungan bisnis
(business continuity management-BCM) adalah aktivitas yang ditujukan untuk
menentukan operasional setelah terjadi gangguan sistem informasi.
Subrencana yang umum mencakup:
- Rencana darurat
(emergency plan): terdiri dari cara-cara
yang akan menjaga keamanan karyawan jika bencana terjadi. Co: Alarm bencana,
prosedur evakuasi
- Rencana cadangan
: menyediakan fasilitas computer
cadangan yang bisa dipergunakan apabila fasilitas computer yang biasa hancur
atau rusak hingga tidak bisa digunakan.
- Rencana catatan
penting (vital records plan) : merupakan dokumen kertas, microform, dan media
penyimpanan optis dan magnetis yang penting untuk meneruskan bisnis perusahaan.
Manajemen keberlangsungan bisnis
merupakan salah satu bidang pengunaan komputer dimana kita dapat melihat
perkembangan besar. Banyak upaya telah dilaksanakan untuk mengembangkan
perencanaan kontijensi, dan banyak informasi serta bantuan telah tersedia.
Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke
dalam kebutuhan khususnya. Sistem komputer TAMP memasarakan sistem pemulihan
bencana (disaster recovery system – DRS) yang mencakup sistem manajemen basis
dasa, instruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana
pemulihan. Panduan dan garis besar tersedia bagi perusahaan untuk digunakan
sebagai titik awal atau tolak ukur.
Sumber : Buku MANAGEMENT INFORMATION SYSTEMS (SISTEM INFORMASI MANAJEMEN) RAYMOND McLEOD,Jr - GEORGE P. SCHELL
