Implementasi Manajemen Keamanan Informasi
Cornelia Linggasari – 43217120056
Fakultas Ekonomi dan Bisnis
S1 Akuntansi
KEAMANAN INFORMASI
Keamanan informasi merupakan perlindungan informasi dari berbagai ancaman
agar menjamin kelanjutan proses bisnis, mengurangi risiko bisnis, dan
meningkatkan return of investment (ROI) serta peluang bisnis (Chaeikar,
etc., 2012). Dalam merancang sistem keamanan sistem informasi terdapat
aspek-aspek keamanan informasi yang perlu di perhatikan. Aspek-aspek
tersebut antara lain:
1. Confidentiality
Aspek yang menjamin kerahasiaan informasi atau data dan memastikan
informasi hanya dapat diakses oleh pihak yang berwenang.
2. Integrity
Aspek yang menjamin data tidak dapat dirubah tanpa ada ijin pihak yang
berwenang, menjaga kelengkapan informasi dan menjaga dari kerusakan atau
ancaman lain yang bisa menyebabkan perubahan pada informasi atau data asli.
3. Availability
Aspek yang menjamin bahwa data akan tersedia pada saat dibutuhkan dan
menjamin user dapat mengakses informasi tanpa adanya gangguan.
Menurut (Whitman & Mattord, 2011) informasi merupakan salah satu aset yang
penting untuk dilindungi keamanannya. Perusahaan perlu memperhatikan
keamanan aset informasinya, kebocoran informasi dan kegagalan pada sistem
dapat mengakibatkan kerugian baik pada sisi finansial maupunn produktifitas
perusahaan. Keamanan secara umum dapat diartikan sebagai 'quality or state
of being secure-to be free from danger'. Contoh tinjauan keamanan informasi
sebagai berikut:
Physical Security, strategi yang memfokuskan untuk mengamankan anggota
organisasi, aset fisik, akses tanpa otorisasi dan tempat kerja dari
berbagai ancaman meliputi bahaya kebakaran
Personal Security, strategi yang lebih memfokuskan untuk melindungi
orang-orang dalam organisasi
Operation Security, strategi untuk mengamankan kemampuan organisasi atau
perusahaan untuk bekerja tanpa gangguan ancaman.
Communications Security, strategi yang bertujuan untuk mengamankan media
informasi dan teknologi informasi.
Network Security, strategi yang memfokuskan pengamanan peralatan
jaringan pada data organisasi.
Keamanan informasi adalah menjaga informasi dari ancaman yang mungkin
terjadi dalam upaya menjamin kelangsungan bisnis, mengurangi tingkat risiko
dan mempercepat atau memaksimalkan pengambilan keputusan investasi serta
peluang bisnis. Tingkat keamanan pada informasi juga bergantung pada
tingkat sensitifitas informasi dalam database, informasi yang tidak terlalu
sensitif sistem keamanannya tidak terlalu ketat sedangkan untuk informasi
yang sangat sensitif perlu pengaturan tingkat keamanan yang ketat untuk
akses ke informasi tersebut (Nasional, 2013). (Astari Retnowardhani)
Tujuan keamanan informasi
Keamanan informasi ditujukan untuk mecapai tiga tujuan utama:
a. Kerahasiaan. Perusahaan berusaha untuk melindungi data dan
informasinya dari pengungkapan kepada orang-orang yang tidak berwenang.
b. Ketersedian. Tujuan dari infrastruktur informasi perusahaan adalah
menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki
wewenang untuk menggunakannya.
c. Integritas. Semua sistem informasi harus memberikan
representasi akurat atas sistem fisik yang direpresentasikannya.
Manajemen Keamanan Informasi
Aktifitas untuk menjaga agar sumber daya informasi tetap aman disebut
manajemen keamanan informasi.
Pada bentuk paling dasar manajemen keamanan informasi terdiri atas empat
tahap :
1. Mengidentifikasi ancaman yang dapat menyerang sumber daya
informasi perusahaan
2. Mendifinisikan risiko yang dapat disebabkan oleh ancaman-ancaman
tersebut, menentukan kebijakan keamanan informasi.
3. Menentukan kebijakan keamanan informasi.
4. Mengimpementasikan pengendalian untuk mengatasi risiko-risiko
tersebut.
A. Kebutuhan Organisasi akan Keamanan Sistem Informasi
Sistem keamanan informasi merupakan suatu subsistem dalam suatu
organisasi yang bertugas mengendalikan risiko terkait dengan sistem
informasi berbasis-komputer. Sistem keamanan informasi memiliki elemen
utama sistem informasi, seperti perangkat keras, database, prosedur, dan
pelaporan. Sebagai contoh, data terkait dengan penggunaan sistem dan
pelanggaran keamanan bisa jadi dikumpulkan secara real time, disimpan
dalam database, dan digunakan untuk menghasilkan laporan.
Agar sistem keamanan informasi bisa efektif, ia harus dikelola oleh
Chief Security Officer (CSO). Individu tersebut harus melapor langsung
pada dewan direksi demi terciptanya independensi. Tugas utama CSO adalah
memberikan laporan kepada dewan direksi untuk mendapatkan persetujuan
dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.
Adapun siklus hidup yang dimaksud adalah sebagai berikut:
"Fase Siklus Hidup "Laporan kepada Dewan Direksi "
"Analisis sistem "Sebuah ringkasan terkait dengan semua "
" "eksposur kerugian yang relevan. "
"Desain sistem "Rencana detail mengenai pengendalian "
" "dan pengelolaan kerugian, termasuk "
" "anggaran sistem keamanan secara "
" "lengkap. "
"Implementasi "Mengungkapkan secara spesifik kinerja "
"sistem, operasi, "sistem keamanan, termasuk kerugian dan "
"evaluasi, dan "pelanggaran keamanan yang terjadi, "
"pengendalian "analisis kepatuhan, serta biaya operasi"
"sistem "sistem keamanan. "
Ada dua pendekatan dasar untuk menganalisis kerentanan dan ancaman
sistem. Pendekatan kuantitatif untuk menaksir risiko menghitung setiap
eksposur kerugian sebagai hasil kali biaya kerugian setiap item eksposur
dengan kemungkinan terjadinya eksposur tersebut. Sebagai contoh,
asumsikan bahwa sebuah kerugian dapat digambarkan sebagai suatu faktor
risiko antara 0 dan 1. Kemudian laporan analisis ancaman, sebagai contoh
ditunjukkan pada Gambar 5. 1. Dalam contoh tersebut, pencuri data
merupakan eksposur kerugian terbesar, diikuti dengan kecurangan dan
serangan virus yang diakibatkan oleh program komputer yang memang
didesain untuk menyabotase file-file penting. Manfaat terbesar dari
analisis semacam ini adalah ia dapat menunjukkan bahwa ancaman yang
mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar.
Sebagai contoh, pada Gambar 5. 1, ancaman yang paling banyak terjadi
adalah pencurian peralatan sistem informasi, tetapi tingkat eksposur
kerugian akibat ancaman tersebut bisa dikatakan paling kecil. [1]
"Laporan Analisis Ancaman "
" "Kerugian "Risiko "Eksposur "
" "Potensial ($)" "Kerugian ($) "
"Pencurian data "700. 000. 000"0. 050 "35. 000. 000 "
"Kecurangan dan "1. 200. 000. "0. 025 "30. 000. 000 "
"serangan virus "000 " " "
"Sabotase "2. 500. 000. "0. 010 "25. 000. 000 "
" "000 " " "
"Perubahan file "400. 000. 000"0. 050 "20. 000. 000 "
"Perubahan program "80. 000. 000 "0. 020 "1. 600. 000 "
"Pencurian peralatan "15. 000. 000 "0. 100 "1. 500. 000 "
"Bencana alam "100. 000. 000"0. 008 "800. 000 "
Ada beberapa kesulitan untuk menerapkan pendekatan kuantitatif guna
menaksir eksposur kerugian. Pertama, mengidentifikasi biaya yang relevan
untuk setiap item kerugian dan menaksir probabilitas terjadinya eksposur
tersebut merupakan hal yang sulit. Biaya yang relevan untuk suatu
kerugian adalah turunnya profitabilitas perusahaan sebagai akibat
terjadinya kerugian tersebut. Tetapi, biaya tersebut sulit diestimasi
karena estimasi melibatkan estimasi, biaya interupsi bisnis yang sulit
diprediksi atau estimasi biaya penggantian komputer yang hanya dapat
diganti dengan model baru yang sebenarnya tidak sebanding dengan
komputer lama. Yang kedua, mengestimasi kemungkinan terjadinya suatu
kerugian melibatkan peramalan masa yang akan datang, yang sangat sulit
khususnya dalam lingkungan teknologi yang mengalami perubahan sangat
cepat. Sebagai contoh, banyak manajer gagal melihat masalah di masa
yang akan datang terkait dengan virus komputer. Lebih jauh, dalam upaya
menaksir probabilitas terjadinya serangan yang disengaja terhadap suatu
sistem, seseorang harus mengestimasi biaya dan manfaat serangan semacam
ini bagi penyerang. Estimasi ini memerlukan asumsi mengenai preferensi
risiko penyerang. Metode kedua yang dapat digunakan untuk menaksir
risiko keamanan komputer adalah pendekatan kualitatif. Pendekatan ini
secara sederhana merinci daftar kerentanan dan ancaman terhadap sistem,
kemudian secara subjektif meranking item-item tersebut berdasarkan
kontribusi setiap item tersebut terhadap total eksposur kerugian
perusahaan. [2]
B. Ancaman dan Resiko Sistem Informasi
Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman
merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada.
Ada dua kelompok ancaman: aktif dan pasif. Ancaman aktif mencakup
kecurangan sistem informasi dan sabotase komputer. Ancaman pasif
mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi,
banjir, kebakaran, dan angin badai. Kegagalan sistem menggambarkan
kegagalan komponen peralatan sistem, seperti kegagalan harddisk, matinya
aliran listrik, dan lain sebagainya.
Kejahatan berbasis komputer merupakan bagian dari masalah umum
kejahatan kerah putih. Masalah kejahatan kerah putih merupakan masalah
yang serius. Statistik menunjukkan bahwa kerugian perusahaan terkait
dengan kecurangan lebih besar dari total kerugian akibat suap,
perampokan, dan pencurian. Hal ini mungkin mengejutkan karena kita
jarang membaca kejahatan semacam ini di dalam media massa. Hal ini
terjadi karena di sebagian besar kasus, kecurangan yang terdeteksi
jarang diajukan ke meja hijau karena bisa membuat publik mengetahui
kelemahan pengendalian internal perusahaan. Manajer enggan berhadapan
dengan sisi negatif publisitas yang bisa menimbulkan penghakiman
masyarakat.
Keamanan sistem informasi merupakan masalah internasional. Banyak
negara memiliki undang-undang yang ditujukan pada masalah keamanan
komputer Di Amerika Serikat, berbagai undang-undang, regulasi, dan
publikasi ditujukan pada masalah kejahatan komputer. Computer Fraud and
Abuse Act tahun 1986 menyatakan akses tidak legal yang dilakukan dengan
sengaja terhadap data yang disimpan dalam komputer lembaga keuangan,
komputer yang dimiliki atau digunakan oleh pemerintah federal, atau
komputer yang beroperasi dalam perdagangan terbatas merupakan sebuah
kejahatan federal. Pencurian password untuk akses komputer juga
dilarang.
National Commission on Fraudulent Financial Reporting (Treadway
Commission) mengaitkan kecurangan manajemen dengan kejahatan komputer.
Kecurangan manajemen merupakan kecurangan yang dengan sengaja dilakukan
oleh manajemen dengan tujuan untuk menipu investor dan kreditor melalui
pelaporan keuangan yang menyesatkan. Kecurangan semacam ini dilakukan
oleh mereka yang memiliki posisi cukup tinggi di dalam organisasi
sehingga memungkinkan mereka melanggar pengendalian akuntansi. Memang
bisa saja manajemen melakukan kesalahan lainyang memilikipotensi untuk
merugikan karyawan atau investor, namun biasanya istilahkecurangan
manajemenmengacu pada manipulasi laporan keuangan. [3]
Keberhasilan serangan terhadap sistem informasi memerlukan akses
terhadap hardware, file data yang sensitif, atau program yang kritis.
Ada tiga kelompok yang memiliki perbedaan kemampuan untuk mengakses hal-
hal tersebut di atas, yaitu:
1. Personel sistem komputer
Personel sistem meliputi personel pemeliharaan komputer, programer,
operator, personel administrasi sistem informasi, dan karyawan
pengendali data.
2. Pengguna
Pengguna terdiri dari sekelompok orang yang heterogen dan dapat
dibedakan dengan yang lain karena area fungsional mereka bukan
merupakan bagian dari pengolahan data. Banyak pengguna memiliki akses
ke data yang sensitif yang dapat mereka bocorkan kepada pesaing
perusahaan.
3. Penyusup
Penyusup yang menyerang sistem informasi sebagai sebuah Icesenangan
dan tantangan dikenal dengan nama hacker. Tipelain dari penyusup
mencakup unnoticed intruder, wiretapper, piggybacker, impersonating
intruder, dan eavesdropper. [4]
Ada beberapa metode ancaman pada sistem informasi yang sering
digunakan oleh ketiga kelompok tersebut di atas, yaitu:
1. Manipulasi input
Dalam banyak kasus kejahatan komputer, manipulasi input mempakan
metode yangbiasa digunakan. Metode ini mensyaratkan kemampuan teknis
yang paling minimal. Seseorang bisa saja mengubah input tanpa
memiliki pengetahuan mengenai cara operasi sistem komputer.
2. Mengubah program
Mengubah program mungkin merupakan metode yang paling jarang
digunakan untuk melakukan kejahatan komputer. Langkanya penggunaan
metode ini mungkin karena dibutuhkan keahlian pemrograman yang hanya
dimiliki oleh sejumlah orang yang terbatas. Selain itu, banyak
perusahaan besar memiliki metode pengujian program yang dapat
digunakan untuk mendeteksi adanya perubahan dalam program.
3. Mengubah file secara langsung
Dalam beberapa kasus, individu-individu tertentu menemukan cara
untuk memotong (bypass) proses normal untuk menginputkan data ke dalam
program komputer. Jika hal ini terjadi, hasil yang dituai adalah
bencana. [5]
4. Pencurian data
Pencurian data penting merupakan salah satu masalah yang cukup
serius dalam dunia bisnis hari ini. Dalam industri dengan tingkat
persaingan yang sangat tinggi, informasi kuantitatif dan kualitatif
terkait dengan salah seorang pesaing merupakan salah satu informasi
yang cukup diburu.
5. Sabotase
Sabotase komputer membahayakan sistem informasi. Perusakan sebuah
komputer atau perangkat lunak dapat menyebabkan kebangkrutan suatu
perusahaan. Karyawan yang tidak puas, knususny yang telah dipecat,
biasanya merupakan pelaku sabotase utama. [6]
C. Pengelolaan Resiko Sistem Informasi
Bencana bisa saja terjadi. Hancurnya World Trade Center di kota New
York merupakan salah satu contoh dari bencana yang tidak diharapkan yang
secara serius telah menginterupsi jalannya aktivitas bisnis. Banyak
organisasi tergantung pada sistem komputer untuk mendukung operasi
bisnisnya sehari-hari. Konsekuensi dari ketergantungan ini adalah, jika
pemrosesan sistem komputer tertunda atau terinterupsi, organisasi mesti
menanggung kerugian yang cukup signifikan. Pengelolaan risiko bencana
merupakan satu hal yang penting untuk memastikan kontinuitas operasi
bisnis jika terjadi suatu bencana.
Pengelolaan risiko bencana memerhatikan pencegahan dan perencanaan
kontingensi. Dalam suatu kasus, asuransi mungkin dapat membantu
mengendalikan risiko, tetapi banyak perusahaan asuransi enggan
menanggung biaya interupsi bisnis perusahaan besar, khususnya perusahaan
yang tidak memiliki, perencanaan pemulihan dari bencana yang mungkin
terjadi. Pencegahan dan perencanaan kontingensi akan didiskusikan di
ulasan berikut ini.
1. Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal pengelolaan
risiko akibat suatu bencana. Banyak bencana yang berasal dari sabotase
dan kesalahan dapat dicegah dengan kebijakan dari perencanaan keamanan
yang baik. Risiko bencana alam harus menjadi pertimbangan pada saat
membangun lokasi gedung. Konsentrasi perakitan komputer dan data harus
ditempatkan di bagian gedung yang paling rendah eksposurnya terhadap
badai, gempa bumi, banjir, kebakaran, dan tindakan sabotase. Sistem
elektronik dan mekanik yang memadai untuk menangani kebakaran, banjir,
dan intrusi merupakan satu hal yang penting. Sistem semprotan air
dapat membahayakan komponen elektronik. Banyak perusahaan menggunakan
sistem pemadam api yang berbasis sesuatu selain air, seperti gas.
2. Perencanaan Kontingensi untuk Mengatasi Bencana
Rencana pemulihan dari bencana harus diimplementasikan pada level
tertinggi di dalam perusahaan. Idealnya, rencana pemulihan mesti
mendapatkan persetujuan dari dewan direksi sebagai bagian dari
perencanaan keamanan komputer secara umum. Langkah pertama
mengembangkan rencana pemulihan dari bencana adalah adanya dukungan
dari manajemen senior dan penetapan komite perencanaan. Setelah kedua
hal tersebut, rencana pemulihan dari bencana harus didokumentasikan
dengan hati-hali dan disetujui oleh kedua pihak tersebut. Secara
keseluruhan, pendekatan siklus hidup harus digunakan untuk mendesain,
mengimplementasikan, mengoperasikan, dan mengevaluasi rencana yang
dibuat. Hasil estimasi menyatakan bahwa biaya awal yang diperlukan
guna mengimplementasikan perencanaan pemulihan dari bencana berkisar
antara 2% sampai 10% dari total anggaran sistem informasi. Desain
perencanaan mencakup tiga komponen utama: evaluasi terhadap kebutuhan
perusahaan, daftar prioritas pemulihan berdasarkan kebutuhan
perusahaan, serta penetapan strategi dan prosedur pemulihan. [7]
D. Sistem dan Kebijakan Keamanan Sistem Informasi
Perlu diingat bahwa sistem keamanan komputer merupakan bagian dari
struktur pengendalian internal perusahaan secara keseluruhan. Ini
berarti, elemen dasar pengendalian internal merupakan aspek penting
dalam sistem keamanan komputer. Keamanan sistem informasi merupakan
sebuah aplikasi prinsip-prinsip pengendalian internal yang secara khusus
digunakan untuk mengatasi masalah-masalah dalam sistem informasi.
Lingkungan pengendalian merupakan dasar keefektifan seluruh sistem
pengendalian. Pembangunan lingkungan pengendalian yang bagus tergantung
pada tujuh faktor, yaitu:
1. Filosofi manajemen dan gaya operasi
Aktivitas pertama dan terpenting dalam keamanan sistem adalah
menciptakan moral yang tinggi dan suatu lingkungan yang kondusif untuk
mendukung terwujudnya keamanan. Tidak peduli seberapa canggih suatu
sistem, pasti selalu ada cara untuk mengganggu keamanan sistem. Oleh
karena itu, garis pertahanan yang utama adalah suasana kesadaran akan
pentingnya keamanan. Menciptakan suasana semacam ini dapat dilakukan
dengan banyak cara. Semua karyawan harus menerima pendidikan mengenai
keamanan. Tujuan pendidikan keamanan adalah agar setiap karyawan
memiliki kepedulian terhadap keamanan. Peraturan keamanan harus selalu
dimonitor. Jika tidak, sistem akan dengan mudah dilupakan. Hubungan
yang baik harus selalu dibina dengan seluruh karyawan.
2. Struktur organisasi
Dalam banyak organisasi, akuntansi, komputasi, dan pemrosesan data
semuanya diorganisasi di bawah chief information officer (CIO). Divisi
semacam ini tidak hanya menjalankan fungsi pencatatan akuntansi
tradisional, tetapi juga berbagai fungsi komputasi. Hal ini
menimbulkan banyak masalah dalam upaya membuat dan menjaga pola
otoritas dan wewenang yang jeias.
3. Dewan direksi dan komitenya
Dewan direksi harus menunjuk komite audit. Komite audit harus
menunjuk atau menyetujui pemilihan auditor internal. Idealnya,
auditor internal seharusnya memiliki pengalaman yang baik terkait
dengan keamanan komputer dan bertindak sebagai chief computer security
officer. Dalam situasi apa pun, individu-individu tersebut harus
melapor secara periodik kepada komite audit mengenai semua ta£ sistem
keamanan komputer. Komite audit harus berkonsultsai secara berkala
dengan auditor eksternal dan manajemen puncak terkait dengan kinerja
chief security officer dan sistem keamanan komputer. [8]
4. Aktivitas pengendalian manajemen
Penting untuk membangun pengendalian terkait dengan penggunaan dan
pertanggungjawaban semua sumber daya sistem komputer dan informasi.
Harus ada anggaran yang dibuat terkait dengan akuisisi peralatan dan
perangkat lunak, terkait dengan biaya operasi, dan terkait dengan
penggunaan. Dalam ketiga kelompok item anggaran tersebut, biaya aktual
harus dibandingkan dengan besamya anggaran. perbedaan yang signifikan
harus diinvestigasi.
Pengendalian anggaran penting dalam lingkungan komputer karena ada
kecenderungan di banyak perusahaan untuk mengeluarkan biaya terlalu
banyak dalam teknologi informasi. Juga banyak perusahaan mengeluarkan
dana untuk membiayai hal-hal yang tidak benar.
5. Fungsi audit internal
Sistem keamanan komputer harus diaudit secara konstan dan
dimodifikasi untuk memenuhi kebutuhan yang terus berubah. Chief
security officer harus membangun kebijakan keamanan yang relevan
dengan sistem yang ada saat ini dan relevan dengan perubahan sistem
yang terjadi. Semua modifikasi sistem, baik perangkat keras, perangkat
lunak, atau personalia, harus diimplementasikan sesuai dengan
kebijakan-keamanan yang telah dibuat.
6. Kebijakan dan praktik personalia
Pemisahan tugas, supervisi yang memadai, rotasi pekerjaan, vakasi
wajib, dan pengecekan ganda semua merupakan praktik personalia yang
penting. Peraturan yang terpenting barangkali adalah memisahkan
pekerjaan pengguna komputer dan personalia sistem komputer. Pemisahan
ini berawal dari perlunya pemisahan penyimpan harta dan tanggung jawab
pencatatan. Pengguna sering memiliki akses fisik ke aktiva komputer
dan personalia sistem sering memiliki akses ke file data yang memuat
catatan akuntansi. Penggabungan kedua tipe hak akses semacam ini
dapat menjadi satu undangan untuk melakukan kecurangan. [9]
7. Pengaruh eksternal
Sistem informasi perusahaan harus sesuai dengan hukum dan regulasi
lokal, federal, dan negara bagian. Hukum dan regulasi mengatur
keamanan dan privasi berbagai tipe data, termasuk data terkait dengan
pelanggan dan kredit mereka, pelanggan dan riwayat mereka, personalia
dan pemerintah. Hukum dan regulasi ini juga mengatur pengiriman
informasi ke negara lain. Kegagalan untuk memberikan keamanan yang
memadai di salah satu dari area ini akan dapat menjadi suatu tuntutan
kriminal. [10]
Telah diketahui bahwa ancaman keamanan sistem informasi ada dua macam,
yaitu ancaman aktif dan ancaman pasif. Organisasi dapat melakukan
pengendalian untuk mencegah ancaman tersebut tidak sampai menganggu
kegiatan internal dalam suatu perusahaan. Adapun cara yang dapat
dilakukan adalah sebagai berikut:
1. Pengendalian ancaman aktif
a. Pengendalian akses lokasi
Tujuan pengendalian akses lokasi adalah untuk memisahkan secara
fisik individu yang tidak berwenang dari sumber daya komputer.
Pemisahan secara fisik harus diterapkan khususnya untuk menjaga
perangkat keras, area penginputan data, area output data,
perpustakaan data, dan jaringan kornunikasi. Semua pengguna
diwajibkan menggunakan tanda identifikasi keamanan (ada fotonya).
Semua ruang yang berisi peralatan komputer atau data yang sensitif
harus memiliki pintu yang terkunci. Lebih baik jika kunci tersebut
diprogram sehingga pintu dapat menolak kunci yang tidak memiliki hak
akses. [11]
b. Pengendalian akses sistem
Pengendalian akses sistem merupakan suatu pengendalian dalam
bentuk perangkat lunak yang didesain untuk mencegah penggunaan
sistem oleh pengguna yang ilegal. [12] Prosedur pengendalian akses
ini mencakup penggunaan passworddan perangkat lunak pengendalian
akses khusus seperti monitor on-line yang menyelenggarakan
pengendalian terhadap menu, daftar otorisasi, file dan program yang
diijinkan untuk diakses oleh pemakainya. [13]
c. Pengendalian akses file
Lapis terakhir dari pengendalian akses diterapkan pada level file.
Pengendalian akses file mencegah 1 akses ilegal ke data dan file
program. Pengendalian akses file yang paling fundamental adalah
pembuatan petunjuk dan prosedur legal untuk mengakses dan mengubah
file. Batasan khusus harus diberikan kepada programer yang memang
memiliki pengetahuan untuk mengubah program. Programer mestinya
tidak diberi akses ke file data perusahaan tanpa ada persetujuan
tertulis. Operator dan supervisor harus diberi tahu untuk mengikuti
1 instruksi dari programer hanya jika programer membawa persetujuan
tertulis. Perubahan program tidak boleh dilakukan tanpa ada
persetujuan tertulis. Ketika mengubah program, programer mestinya;
mengubah saljnan program orisinil. Perubahan tidak langsung
dilakukan terhadap program orisinil itusendiri. [14]
d. Keamanan internet
Topik mengenai keamanan Internet menuntut perhatian khusus karena
koneksi perusahaan denganInternet memberi peluang bagi perusahaan
untuk menjadi sasaran setiap hacker yang ada di dunia. Internet
menciptakan jendela elektronik bagi dunia luar yang mengeliminasi
semua isolasi fisiksumber daya informasi perusahaan. Oleh karena
itu, semua lapisan pemisahan fisik yang terkaitdengan pendekatan
akses berlapis guna menciptakan keamanan sistem, tidak sepenuhnya
dapatmengamankan sistem informasi perusahaan. Sebagai contoh,
perusahaan bisa saja menempatkansebuah komputer di balik pintu yang
terkunci, tetapi komputer itu tidak benar-benar terisolasi jika
iatersambung ke jaringan Internet. [15]
2. Pengendalian ancaman pasif
a. Sistem toleransi kesalahan
Sebagian besar metode yang digunakan untuk menangani kegagalan
komponen sistem adalah pengawasan danredundancy, jika salah satu
sistem gagal, bagian yang redundantakan segera mengambil alih, dan
sistem dapat terus beroperasi tanpa interupsi. Sistem semacam ini
disebut sistem toleransi kesalahan.
b. Memperbaiki kesalahan: backup file ,
Beberapa studi menyatakan bahwa lebih dari 50 % pemilik komputer
personal tidak melakukan backup yang memadai atas file-file yang
mereka miliki. Alasan inilah yang membuat pentingnya sebuah
sistemterpusat yang melakukan backup file-file. Sistem semacam ini
digunakan untuk membackup disk-diskyang penting. Contoh, sistem
Prudential Bache meminta file-filenya di-backup setiap dua sampai
limamenit sekali.
E. Penerapan Keamanan Sistem Informasi pada Tempatnya
Sistem informasi dalam sebuah perusahaan harus dilindungi dan
diperhatikan karena jika informasi perusahaan tersebut diketahui oleh
perusahaan lawan maka akan menimbulkan kerugian bagi perusahaan itu
sendiri. Maka dari itu perusahaan dapat menerapkan kebijakan
keamanannya dengan mengkuti pendekatan yang bertahap. Adapun pendekatan-
pendekatan tersebut antara lain adalah sebagai berikut:
1. Fase 1 – Inisiasi Proyek
Tim yang menyusun kebijakan keamanan dibentuk. Jika komite pengawas
MIS perusahaan tidak dapat melaksanakan tanggung jawab untuk mengawasi
proyek kebijakan keamanan tersebut, suatu komite pengawas khusus dapat
dibentuk. Jika komite khusus telah terbentuk, komite tersebut akan
mencakup manajer dari wilayah-wilayah dimana dimana kebijakan tersebut
akan diterapkan.
2. Fase 2 – Penyusunan Kebijakan
Tim proyek berkonsultasi dengan semua pihak yang berminat dan
berpengaruh oleh proyek ini untuk menentukan kebutuhan kebijakan baru
tersebut.
3. Fase 3 – Konsultasi dan Persetujuan
Tim proyek berkonsultasi dengan manajemen untuk memberitahukan
temuannya sampai saat itu, serta untuk mendapatkan pandangan mengenai
berbagai persyaratan kebijakan.
4. Fase 4 – Kesadaran dan Edukasi
Program pelatihan kesadaran dan edukasi kebijakan dilaksanakan dalam
unit-unit organisasi. Peserta pelatihan dapat terdiri atas anggota
proyek, perwakilan internal lain seperti orang-orang dari TI dan SDM,
atau konsultan luar. Ini merupakan salah satu contoh manajemen
pengetahuan. Manajemen meletakkan program formal pada tempatnya untuk
meningkatkan pengetahuan keamanan karyawan yang tepat.
5. Fase 5 – Penyebarluasan Kebijakan
Kebijakan keamanan ini disebarluaskan ke seluruh unit organisasi di
mana kebijakan tersebut dapat diterapkan. Idealnya, para manajer unit
melaksanakan pertemuan dengan karyawan untuk meyakinkan bahwa mereka
memahami kebijakan tersebut dan berkomitmen untuk mengikutinya. [16]
Bagan Penerapan Keamanan Kebijakan Sistem Informasi
Penetapan
Konsultasi
Konsultasi
Pelatihan kesadaran
dan edukasi kebijakan
Kebijakan keamanan
KESIMPULAN
Sistem keamanan informasi merupakan suatu subsistem dalam suatu
organisasi yang bertugas mengendalikan risiko terkait dengan sistem
informasi berbasis-komputer. Kejahatan berbasis komputer merupakan bagian
dari masalah umum kejahatan kerah putih. Masalah kejahatan kerah putih
merupakan masalah yang serius. Statistik menunjukkan bahwa kerugian
perusahaan terkait dengan kecurangan lebih besar dari total kerugian akibat
suap, perampokan, dan pencurian. Pengelolaan risiko bencana memerhatikan
pencegahan dan perencanaan kontingensi. Perlu diingat bahwa sistem
keamanan komputer merupakan bagian dari struktur pengendalian internal
perusahaan secara keseluruhan. Sistem informasi dalam sebuah perusahaan
harus dilindungi dan diperhatikan karena jika informasi perusahaan tersebut
diketahui oleh perusahaan lawan maka akan menimbulkan kerugian bagi
perusahaan itu sendiri.
DAFTAR PUSTAKA
http://myblogzaitilakbar.blogspot.com/2016/06/makalah-sistem-informasi-
manajemen.html
http://cvrosadi.blogspot.com/2014/07/makalah-manajemen-keamanan-
informasi.html
https://mmsi.binus.ac.id/2017/11/17/keamanan-informasi/
Putra, Yananto Mihadi. (2018). Modul Kuliah Sistem Informasi Manajemen:
Implementasi Sistem Informasi. FEB - Universitas Mercu Buana: Jakarta.)
-----------------------
.
.
[1]George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 199.
[2]George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 200.
[3]George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 216-217.
[4]George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 204.
[5]George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 205.
[6]George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 206.
[7]George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 207.
[8]George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 209.
[9]Mulyadi, AuditingEdisi ke 6 (Jakarta: Salemba Empat, 2002), hlm.
335.
[10]George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 210.
[11]George H. Bodnar dan William S. Hopwood, Sistem …, hlm. 213.
[12]Raymond McLeod dan George P. Schell, Sistem Informasi Manajemen
Edisi 10 (Jakarta: Salemba Empat, 2008), hlm. 278-279.
-----------------------
GAMBAR 5. 1 Laporan Analisis Ancaman
Tim proyek
Fase 1
Inisiasi proyek
Komite pengawas proyek keamanan
Fase 2
Penyusunan kebijakan
Pihak-pihak yang berminat dan berpengaruh
Fase 3
Konsultasi dan persetujuan
Manajemen
Fase 4
Kesadaran dan edukasi
Unit organisasi
Unit organisasi
Fase 5
Penyebarluasan kebijakan
