Add to collection(s) Add to saved
  1. Bisnis
  2. Manajemen

PENGAMANAN DAN PENGENDALIAN SISTEM INFORMASI

advertisement 
PENGAMANAN DAN PENGENDALIAN SISTEM INFORMASI
MAKALAH
UNTUK MEMENUHI TUGAS MATAKULIAH
Sistem Informasi Manajemen
yang dibina oleh Bapak Drs. Mohammad Arief., M.Si
Oleh:
Kelompok 6
Jessica Hanna H
(120413423988)
Kaldera Wibowo
(120413423974)
Kisvangga Enjaquare (120413423986)
Lailatul Jannah
(120413403073)
UNIVERSITAS NEGERI MALANG
FAKULTAS EKONOMI
JURUSAN MANAJEMEN
MARET 2014
KATA PENGANTAR
Puji syukur penulis panjatkan kepada Tuhan Yang Maha Esa, yang telah
memberikan berkat rahmat serta hidayah-Nya kepada kita semua, sehingga atas
berkat karunia-Nya penulis dapat menyelesaikan makalah ini.
Tidak lupa penulis sampaikan rasa terimakasih kepada semua pihak atas
bantuannya dalam menyelesaikan tugas makalah ini. Serta ucapan terimakasih
pula kepada pembimbing matakuliah sistem informasi manajemen Bapak
Mohammad Arief, yang telah membantu dalam menyelesaikan makalah ini.
Dalam penyusunan makalah ini penulis berharap dapat memberikan
manfaat serta wawasan kepada pembaca sekalian serta penulis pada khususnya.
Penulis menyadari bahwa dalam penulisan makalah ini terdapat kelebihan dan
kekurangannya sehingga penulis mengharap kritik dan saran yang dapat
memperbaiki untuk penulisan makalah selanjutnya.
Terima kasih.
Malang, 12 Maret 2014
Penulis
i
DAFTAR ISI
Halaman
KATA PENGANTAR.............................................................................
i
DAFTAR ISI……………………………………………………………
BAB I
ii
PENDAHULUAN
1.1 Latar Belakang………………………………………....
1.2 Rumusan Masalah……………………………………...
1.3 Tujuan Penulisan…………………………………….....
1
2
2
PEMBAHASAN
2.1 Pengertian Sistem Informasi ………………...................
2.2 Pengendalian Dalam Sistem Informasi….......................
2.3 Kontrol-Kontrol Dalam Pengamanan Sistem Informasi..
3
4
10
BAB III PENUTUP
3.1 Kesimpulan……………………………………………..
3.2 Saran……………………………………………………
17
17
DAFTAR RUJUKAN………………………………………………....
18
BAB II
ii
BAB I
PENDAHULUAN
1.1 Latar Belakang
Pengendalian yang dimaksud merupakan sejauh mana pengendalian
aplikasi mempunyai peran dalam mencegah dan mendeteksi adanya kesalahankesalahan. Di dalam tindakan atau perilaku pada system informasi,sangatlah
dibutuhkan/pentingnya pengendalian keamanan dan control,karena bertujuan
untuk memastikan bahwa CBIS(Computer Based Information System) telah
diimplementasikan seperti yang direncanakan,system sendiri telah beroperasi
seperti yang dikehendaki,dan operasi tetap dalam keadaan aman dari
penyalahgunaan atau gangguan komunikasi. Maka dari itu kita harus
mempunya security dalam system informasi. Tugas control CBIS Kontrol
CBIS mencakup semua fase siklus hidup. Selama siklus hidup, kontrol dapat
dibagi menjadi kontrol-kontrol yang berhubungan dengan pengembangan,
disain dan operasi. Manajer dapat memperoleh kontrol dalam ketiga area
secara langsung melalui ahli lain, seperti auditor.
Sebuah pengendalian dikatakan berhasil ketika kesalahan-kesalahan
dapat diminimalisir. Betapa pentingnya informasi dalam kehidupan manusia,
sehingga informasi yang datang tidak boleh terlambat , tidak boleh bias (berat
sebelah) harus bebas dari kesalahan-kesalahan dan relevan dengan
penggunanya,sehingga informasi tersebut menjadi informasi yang berkualitas
dan berguna bagi pemakainya. Untuk mendapatkan informasi yang berkualitas
perlu dibangun sebuah sistem informasi sebagai media pembangkitnya. Sistem
informasi merupakan cara menghasilkan informasi yang berguna . informasi
yang berguna akan mendukung sebuah keputusan bagi pemakainya.
Pendekatan sistem adalah suatu prosedur langkah demi langkah yang
digunakan dalam memecahkan masalah. Tiap langkah mencakup satu
keputusan atau lebih, dan untuk tiap keputusan diperlukan informasi.
Definisi Keamanan sendiri adalah proteksi perlindungan atas sumbersumber fisik dan konseptual dari bahaya alam dan manusia. Keamanan terhadap
1
sumber konseptual meliputi data dan informasi. Keamanan sendiri mempunyai
tujuan-tujuan yang di maksudkan untuk mencapai tujuan utama,yaitu:
1. Kerahasiaan, perusahaan berusaha melindungi data dan informasi dari orangorang yang tidak berhak.
2.
Ketersediaan, tujuan CBIS adalah menyediakan data dan informasi bagi
mereka yang berwenang untuk menggunakannya.
3. Integritas, semua subsistem CBIS harus menyediakan gambaran akurat dari
sistem fisik yang diwakilinya.
Pengendalian Akses dicapai melalui suatu proses 3 langkah, yang mencakup :
1.
Indentifikasi User.
2.
Pembuktian Keaslian User.
3.
Otorisasi User.
1.2 Rumusan Masalah
1. Bagaimana yang dimaksud dengan system informasi?
2. Bagaimana yang dimaksud dengan pengendalian system informasi?
3. Bagaimana kontrol-kontrol yang dapat dilakukan dalam pengamanan
system informasi?
1.3 Tujuan Penulisan
1. Untuk mengetahui yang dimaksud dengan system informasi.
2. Untuk mengetahui yang dimaksud dengan pengendalian system informasi .
3. Untuk
mengetahui
kontrol-kontrol
yang
dapat
dilakukan
dalam
pengamanan system informasi.
2
BAB II
PEMBAHASAN
2.1 Pengertian Sistem Informasi
Pengertian sistem informasi menurut beberapa ahli, adalah sebagai berikut:
1. Mcleod (2001) Sistem Informasi merupakan sistem yang mempunyai
kemampuan untuk mengumpulkan informasi dari semua sumber dan
menggunakan berbagai media untuk menampilkan informasi.
2. Sutabri (2005: 36) Sistem informasi adalah suatu sistem di dalam suatu
organisasi yang mempertemukan kebutuhan pengolahan transaksi harian yang
mendukung fungsi organisasi yang bersifat manajerial dalam kegiatan strategi
dari suatu organisasi untuk dapat menyediakan kepada pihak luar tertentu
dengan laporan – laporan yang diperlukan.
3. Arbie (2000: 35) Sistem informasi adalah sistem di dalam suatu organisasi
yang mempertemukan kebutuhan pengolahan transaksi harian, membantu dan
mendukung kegiatan operasi, bersifat manajerial dari suatu organisasi dan
membantu mempermudah penyediaan laporan yang diperlukan.
4. Muhyuzir (2001: 8) Sistem informasi adalah data yang dikumpulkan,
dikelompokkan dan diolah sedemikian rupa sehingga menjadi sebuah satu
kesatuan informasi yang saling terkait dan saling mendukung sehingga
menjadi suatu informasi yang berharga bagi yang menerimanya.
5. O’Brien (2005: 5), Sistem informasi
adalah
suatu
kombinasi terartur
apapun dari people (orang), hardware (perangkat keras), software (piranti
lunak), computer networks and data communications (jaringan komunikasi),
dan database (basis data) yang mengumpulkan, mengubah dan menyebarkan
informasi di dalam suatu bentuk organisasi.
6. Sidharta (1995: 11), “Sebuah sistem informasi adalah sistem buatan manusia
yang berisi himpunan terintegrasi dari komponen – komponen manual dan
komponen
–
komponen
terkomputerisasi
yang
bertujuan
untuk
mengumpulkan data, memproses data, dan menghasilkan informasi untuk
pemakai”.
3
7. Robert A. Leitch & K. Roscoe Davis dalam Jogiyanto (1999: 11)menyatakan
bahwa “Sistem informasi adalah suatu sistem di dalam suatu organisasi yang
mempertemukan kebutuhan pengolahan transaksi harian, mendukung operasi,
bersifat manajerial dan kegiatan strategi dari suatu organisasi dan
menyediakan pihak luar tertentu dengan laporan-laporan yang diperlukan.”
8. Davis (1991: 91) menyatakan bahwa “Sistem informasi adalah suatu sistem
yang menerima masukan data dan instruksi, mengolah data tersebut sesuai
dengan instruksi dan mengeluarkan hasilnya.”
Dari paparan tersebut dapat disimpulkan bahwa yang dimaksud dengan
sistem informasi merupakan data yang dikumpulkan, dikelompokkan dan diolah
sedemikian rupa sehingga menjadi sebuah satu kesatuan informasi yang berharga
yang dalam menampilkannya menggunakan berbagai media, informasi tersebut
digunakan dalam kegiatan strategi dari suatu organisasi atau perusahaan untuk
dapat menyediakan kepada pihak luar tertentu dalam bentuk informasi berupa
laporan – laporan yang diperlukan.
2.2 Pengendalian Dalam Sistem Informasi
Arief (2013) menyatakan bahwa Pengendalian sistem informasi terbagi
atas pengendalian umum dan pengendalian aplikasi. Pengendalian umum
diterapkan pada keseluruhan aktivitas dan aplikasi sistem informasi. Pengendalian
umum ini dipasangkan atau melekat di dalam suatu sistem informasi dengan
tujuan untuk mengendalikan rancangan, pengamanan, dan penggunaan programprogram komputer, serta pengamanan atas file data di dalam infrastruktur
teknologi informasi, pengendalian umum dipasangkan di keseluruhan aplikasi
yang terkomputerisasi dan terdiri dari: perangkat keras, perangkat lunak, dan
prosedur manual yang mampu untuk menciptakan lingkungan pengendalian
secara menyeluruh. Pengendalian aplikasi adalah pengendalian yang secara
khusus dipasangkan pada aplikasi tertentu atau suatu subsistem tertentu, misalnya
pengendalian aplikasi yang dipasangkan di aplikasi sistem penggajian, piutang,
atau pemrosesan order untuk pengadaan barang dan jasa. Terdiri dari
pengendalian - pengendalian yang dipasangkan pada areal pengguna atas sistem
tertentu dan dari prosedur-prosedur yang telah diprogram.
4
Pengendalian umum sistem informasi berhubungan dengan risiko-risiko
yang berkaitan di berbagai area kegiatan, seperti: sistem operasi, sumber daya
data, pemeliharaan sistem, pusat komputer, komunikasi data, pertukaran data
elektronik (electronic data interchange - EDI), komputer mikro, dan sebagainya.
empat jenis risiko yang berkaitan dengan sasaran keamanan informasi, yaitu :
a. Penggunaan informasi yang tidak terotorisasi. Risiko ini terjadi ketika orang
yang tidak berhak menggunakan sumber daya informasi perusahaan mampu
melakukan hal tersebut. Contoh kejahatan komputer tipe ini adalah hacker yang
memandang keamanan informasi sebagai suatu tantangan yang harus diatasi.
Hacker dapat memasuki jaringan komputer sebuah perusahaan, mendapat akses
dalam sistem telepon dan melakukan sambungan telepon jarak jauh tanpa
otorisasi.
b. Penghancuran yang tidak terotorisasi dan penolakan layanan. Seseorang dapat
menghancurkan hardware atau software sehingga operasional komputer
perusahaan tidak berfungsi. Dalam hal ini bahkan penjahat komputer tidak harus
berada di lokasi fisik tersebut. Mereka dapat memasuki jaringan komputer
perusahaan dan menggunakan sumber daya perusahaan sehingga operasional
bisnis tidak dapat berfungsi.
c. Pengungkapan dan pencurian informasi yang tidak terotorisasi. Ketika suatu
basis data dan perpustakaan software perusahaan dimasuki oleh orang yang tidak
berhak maka risiko yang terjadi misalnya informasi yang hilang. Perusahaan
pesaing memperoleh informasi penting mengenai kompetisi dari database
perusahaan.
d. Modifikasi yang tidak terotorisasi. Perubahan dapat dilakukan pada data,
informasi dan software perusahaan.
Beberapa perubahan
dapat berlangsung
tanpa disadari dan berakibat pada para pengguna output mengambil keputusan
yang salah. Contoh lain adalah serangan penyusup dengan cara merubah web
site perusahaan dengan pesan-pesan yang merugikan pemilik web site.
Sistem operasi mengendalikan sistem komputer lainnya dan memberikan
ijin aplikasi-aplikasi untuk menggunakan secara bersamasama sumberdaya dan
peralatan komputer. Karena
ketergantungannya, masalah yang timbul dalam
sistem operasi ini dapat menimbulkan masalah-masalah lain pada seluruh
5
pengguna dan aplikasinya. Fungsi-fungsi sistem operasi adalah menerjemahkan
bahasa tingkat tinggi ke bahasa mesin dengan menggunakan pengkompilasi
(compiler) dan penerjemah (interpreter); mengalokasikan sumber daya komputer
ke berbagai aplikasi melalui pembebanan memori dan pemberian akses ke
peralatan dan arsip-arsip (file) data; serta mengelola tugas – tugas penjadualan dan
program yang dijalankan bersamaan. Sehubungan dengan fungsi-fungsi tersebut,
auditor biasanya ditugaskan untuk memastikan bahwa tujuan pengendalian atas
sistemoperasi tercapai dan prosedur-prosedur pengendaliannya ditaati.
Sedangkan Tujuan dan resiko pengendalian sistem operasi menurut Arief
(2013) adalah sebagai berikut:
Tujuan pengendalian system operasi
a. Mencegah
akses
oleh
pengguna
atau
aplikasi
yang
dapat
mengakibatkan
penggunaan tak terkendali ataupun merugikan sistem operasi atau arsip
data.
b. Mengendalikan pengguna yang satu dari pengguna lainnya agar
seorang pengguna
tidak dapat menghancurkan atau mengkorupsi program atau data
pengguna lainnya.
c. Mencegah arsip-arsip atau program seorang pengguna dirusak oleh
program lainnya yang digunakan oleh pengguna yang sama.
d. Mencegah sistem operasi dari bencana yang disebabkan oleh kejadian
eksternal, seperti kerusakan pada pembangkit listrik. Juga agar sistem
dapat memulihkannya kembali jika hal ini sampai terjadi.
Risiko-risiko yang mungkin dihadapi oleh sistem operasi dalam penggunaannya,
antara lain adalah :
a. Penyalahgunaan oleh pengguna melalui akses ke sistem operasi,
seperti layaknya
manajer sistem.
b. Penyalahgunaan oleh pengguna yang mendapat keuntungan dari akses
yang tidak sah.
6
c. Perusakan oleh pengguna-pengguna yang secara serius mencoba untuk
merusak
sistem atau fungsi-fungsi.
Prosedur-prosedur pengendalian terhadap sistem operasi yang biasanya dilakukan
adalah sebagai berikut:
a. Pemberian atau pengendalian password.
b. Pengamanan pemberian akses ke pegawai.
c. Pembuatan pernyataan dari pengguna tentang tanggung-jawab mereka
untuk menggunakan sistem dengan tepat dan jaminan akan menjaga
kerahasiaannya.
d. Pembentukan suatu kelompok keamanan (security group) untuk
memonitor dan
e. melaporkan pelanggaran.
Penetapan kebijakan formal untuk mengatasi para pelanggan
Rosyid (2011) menyatakan bahwa “pengendalian dalam sebuah sistem
pada dasarnya berarti menjaga agar sistem beroperasi dalam batas prestasi
tertentu”. Sebuah sistem yang berada dalam kendali akan beroperasi dalam batas
toleransi yang telah ditentukan, dimana keluaran dari sebuah sistem kadangkadang tidak sesuai dengan keluaran yang semestinya (standar), hal ini
membutuhkan pengendalian melalui sistem umpan balik untuk mencari gangguangangguan yang menghambat. Agar sistem umpan balik itu dapat berjalan baik
maka sistem harus memiliki standar keterukuran keluaran, sensor yang dapat
menangkap kondisi setiap keluaran, alat yang dapat membandingkan keluaran
yang terjadi dengan keluaran standar, serta alat yang bergerak mengoreksi
masukan. Tentu saja tidak seluruh tanggapan korektif dari sistem umpan balik
harus diterima, hal ini akan tergantung kepada kepentingan organisasi, karena itu
berlaku fungsi penyaringan. Artinya hal-hal yang tidak prinsipil dan tidak terlalu
mengganggu jalannya organisasi tanggapan korektif bisa diabaikan.
Rosyid (2011) juga menyatakan beberapa unsur yang ada dalam
pengendalian, yaitu sebagai berikut:
1. prestasi
yang diharap,
hal ini besa berupa anggaran prosedur
pengoperasian,atau suatu algoritma keputusan.
7
2. suatu ukuran prestasi aktual.
3. suatu perbandingan antara prestasi yang diharapkan dan nyata.
4. suatu laporan penyimpangan pada sebuah unit pengendalian, misalnya
seorang manajer
5. suatu rangkaian tindakan yang diambil unit pengendalian untuk mengubah
prestasi
mendatang
kalau
saat
ini
ada
keadaan
yang
kurang
menguntungkan disertai serangkaian aturan keputusan untuk pemilihan
jawaban yang tepat.
Tugas pengendalian dalam Sistem Informasi yang terdiri dari :
Proses menjamin bahwa tugas tertentu dilaksanakan secara efektif dan
efesien.
b. Berorientasi pada transaksi.
c. Dilakukan berulangkali (amat sistematis).
d. Ada hubungan sebab akibat (lebih ilmiah).
a.
Raymond dan George (2008) menyatakan pengendalian adalah mekanisme
yang diterapkan baik untuk melindungi perusahaan dari risiko atau untuk
meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadi.
a.Pengendalian teknis
Pengendalian teknis adalah pengendalian yang menjadi satu di dalam
sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan
sistem. Melibatkan seorang auditor internal di dalam tim proyek merupakan satu
cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi
bagian dari desain sistem. Kebanyakan pengendalian keamanan dibuat
berdasarkan teknologi peranti keras dan lunak.
1.Pengendalian akses.
Dasar untuk keamanan melawan ancaman yang dilakukanoleh orang –
orang yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: jika
orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber
daya informasi, maka pengrusakan tidak dapat dilakukan. Pengendalian akses
dilakukan melalui proses tiga tahap:
1. Identifikasi
pengguna.
Para
pengguna
pertama-tama
mengidentifikasi diri mereka dengan cara memberikan sesuatu
yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula
8
mencakup lokasi pengguna, seperti nomor telepon atau titik masuk
jaringan.
2. Otentikasi pengguna. Setelah identifikasi awal telah dilakukan,
para pengguna memverifikasi hak akses dengan cara memberikan
sesuatu yang mereka milik, seperti smart card atau tanda tertentu
atau chip identifikasi. Autentikasi pengguna dapat juga
dilaksanakan dengan cara memberikan sesuatu yang menjadi
identitas diri, seperti tanda tangan atau suara atau pola suara.
3. Otorisasi pengguna. Setelah pemeriksaan identifikasi dan
autentikasi dilalui, seseorang kemudian dapat mendapatkan
otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu.
Sebagai contoh, seorang pengguna dapat mendapatkan otorisasi
hanya saja memiliki otorisasi untuk melakukan perubahan pada file
tersebut.
2.Pengendalian Kriptografis.
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi
dari pengungkapan yang tidak terotorisasi dengan kriptografis, yaitu penggunaan
kode yang menggunakan proses-proses matematika. Data dan informasi tersebut
dapat dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan.
Jika seseorang yang tidak memiliki otorisasi memperoleh akses, enkripsi tersebut
akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan
mencegah kesalahan penggunaan.
3.Pengendalian Fisik.
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah
mengunci pintu ruangan computer. Perkembangan seterusnya menghasilkan
kunci-kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan dan
cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan
dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara
menempatkan pusat komputernya di tempat terpencil yang jauh dari kota dan jauh
dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir, dan
badai.
b.Pengendalian Formal.
Pengendalian formal mencangkup penentuan cara berperilaku,
dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta
pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini
bersifat formal karena manajemen menghabiskan banyak waktu untuk
9
menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan
untuk berlaku dalam jangka panjang.
c.Pengendalian Informal.
Pengendalian informal mencakup program-program pelatihan dan edukasi
serta program pembangunan manajemen. Pengendalian ini ditujukan untuk
menjaga agar para karyawan perusahaan memahami serta mendukung program
keamanan tersebut.
Dukungan Pemerintah dan Industri.
Beberapa organisasi pemerintahan dan internasional telah menentukan
standar-standar yang ditujukan untuk menjadi panduan bagi organisasi yang ingin
mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolok ukur,
yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternatif untuk
manajemen risiko. Beberapa pihak penentu standar menggunakan istilah baseline
(dasar) dan bukannya benchmark (tolok ukur). Organisasi tidak diwajibkan
mengikuti standar ini. Namun, standar ini ditujukan untuk memberikan bantuan
kepada perusahaan dalam menentukan tingkat target keamanan. Contohnya:
1. BS7799 milik Inggris. Standar Inggris menentukan satu set
pengendalian dasar. Standar ini pertama kali dipublikasikan oleh
British Standards Institue pada tahun 1995, kemudian
dipublikasikan oleh International Standards Organization sebagai
ISO 17799 pada tahun 2000, dan dibuat tersedia bagi para
pengadopsi potensial secara online pada tahun 2003.
2. COBIT. COBIT, dari Information Systems Audit and Control
Association & Foundation (ISACAF), berfokus pada proses yang
dapat diikuti perusahaan dalam menyusun standar, dengan
berfokus pada proses yang dapat diikuti perusahaan dalam
menyusun standar, dengan berfokus pada penulisan dan
pemeliharaan dokumentasi.
3. GASSP. Generally Accepted System Security Principles (GASSP)
adalah produk dari Dewan Riset Nasional Amerika Serikat.
Penekanannya adalah pada alasan penentuan kebijakan keamanan.
2.3 Kontrol-Kontrol Dalam Pengamanan Sistem Informasi
Raymond dan George (2008) menyatakan pada bentuknya yang paling
dasar, manajemen keamanan informasi terdiri atas empat tahap: mengidentifikasi
ancaman yang dapat menyerang sumber daya informasi perusahaan,
mendefinisikan risiko yang dapat disebabkan oleh ancaman-ancaman tersebut,
10
menentukan kebijakan keamanan informasi, serta
pengendalian untuk mengatasi risiko-risiko tersebut.
mengimplementasikan
a.Ancaman.
Ancaman keamanan informasi (information security threat) adalah orang,
organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk
membahayakan sumber daya informasi perusahaan. Ketika kita membayangkan
ancaman keamanan informasi, adalah sesuatu yang dialami jika kita
membayangkan beberapa kelompok atau beberapa orang di luar perusahaan
tersebut yang melakukan tindakan yang disengaja. Pada kenyataannya, ancaman
dapat bersifat internal serta eksternal, dan dapat bersifat tidak sengaja maupun
disengaja.
1.Ancaman internal dan eksternal.
Ancaman internal mencangkup bukan hanya karyawan perusahaan, tetapi
juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan
tersebut. Survei yang dilakukan oleh Computer Security Institute menemukan
bahwa 49% responden menghadapi insiden keamanan yang disebabkan oleh
tindakan para pengguna yang sah, proporsi kejahatan komputer yang dilakukan
oleh karyawan diperkirakan mencapai 81%. Ancaman internal diperkirakan
menghasilkan kerusakan secara potensi lebih serius jika dibandingkan dengan
ancaman eksternal, dikarenakan pengetahuan ancaman internal yang lebih
mendalam akan sistem tersebut.
2.Tindakan kecelakaan dan disengaja.
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan
dengan tujuan mencelakai. Beberapa merupakan kecelakaan, yang disebabkan
oleh orang-orang didalam ataupun di luar perusahaan. Sama halnya di mana
keamanan juga harus mengeliminasi atau mengurangi kemungkinan terjadinya
kerusakan yang disebabkan kecelakaan.
b.Risiko.
Risiko keamanan informasi (information security risk) didefinisikan
sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan
informasi oleh ancaman keamanan informasi. Semua risiko mewakili tindakan
yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis:
1.Pengungkapan informasi yang tidak terotorisasi dan pencurian
Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi
orang-orang yang seharusnya tidak berhak memiliki akses, hasilnya adalah
hilangnya informasi atau uang. Sebagai contoh, mata-mata industri dapat
11
memperoleh informasi mengenai kompetisi yang berharga, dan kriminal komputer
dapat menyelundupkan dana perusahaan.
2.Penggunaan yang tidak terotorisasi
Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang
biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan
hal tersebut. Contoh kejahatan komputer tipe ini Contoh kejahatan komputer tipe
ini adalah hacker yang memandang keamanan informasi sebagai suatu tantangan
yang harus diatasi. Hacker, misalnya, dapat memasuki jaringan komputer sebuah
perusahaan, mendapatkan akses ke dalam sistem telepon, dan melakukan
sambungan telepon jarak jauh tanpa otorisasi.
3.Penghancuran yang tidak terotorisasi dan penolakan layanan
Seseorang dapat merusak atau menghancurkan peranti keras atau peranti
lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak
berfungsi. Dalam hal ini penjahat komputer bahkan tidak harus berada di lokasi
fisik tersebut. Mereka dapat memasuki jaringan komputer perusahaan dan
menggunakan sumber daya perusahaan (seperti e-mail) hingga tingkatan tertentu
sehingga operasional bisnis normal tidak berlangsung.
4.Modifikasi yang tidak terotorisasi
Perubahan dapat dilakukan pada data, informasi, dan peranti lunak
perusahaan. Beberapa perubahan dapat berlangsung tanpa disadari dan
menyebabkan para pengguna output sistem tersebut mengambil keputusan yang
salah. Salah satu contoh adalah perubahan nilai pada catatan akademis seorang
siswa.
c.Kebijakan keamanan informasi
Dengan mengabaikan bahwa apakah perusahaan mengikuti strategi
manajemen risiko atau kepatuhan terhadap tolok ukur maupun tidak, suatu
kebijakan keamanan harus diterapkan untuk mengarahkkan keseluruhan program.
Perusahaan dapat menerapkan kebijakan keamanannya dengan mengikuti
pendekatan yang bertahap.
12
Riyanarto dan Irsyat (2009) menyatakan keamanan bisa dicapai dengan
beberapa cara yang bisa dilakukan secara simultan atau dilakukan dalam
kombinasi satu dengan lainnya. Strategi- strategi dari Keamanan Informasi
masing- masing memiliki fokus dan dibangun tujuan tertentu sesuai kebutuhan.
Contoh dari Keamanan Informasi antara lain :
a) Phsical Security adalah Keamanan Informasi yang memfokuskan pada
strategi untuk mengamankan individu atau anggota organisasi, aset fisik,
13
b)
c)
d)
e)
dan tempat kerja dari berbagai ancaman meliputi bahaya kebakaran, akses
tanpa otorisasi, dan bencana alam.
Personal Security adalah Keamanan Informasi yang berhubungan dengan
keamanan personil. Biasanya saling berhubungan dengan ruang lingkup
physical security.
Operation Security adalah Keamanan Informasi yang membahas
bagaimana strategi suatu organisasi untuk mengamankan kemampuan
organisasi tersebut untuk beroperasi tanpa gangguan.
Communications Security dalah Keamanan Informasi yang bertujuan
mengamankan media komunisasi, teknologi komunikasi serta apa yang
ada di dalamnya. Serta kemampuan untuk memanfaatkan media dan
teknologi komunikasi untuk mencapai tujuan organisasi.
Network Security adalah Keamanan Informasi yang memfokuskan pada
bagaimana pengamanan peralatan jaringan, data organisasi, jaringannya
dan isinya, serta kemampuan untuk menggunakan jaringan tersebut dalam
memenuhi fungsi komunikasi data organisasi.
Metode - metode Keamanan Informasi
1.Password
Cara yang paling umum digunakan untuk mengamankan Informasi adalah dengan
mengatur atau membatasi akses ke Informasi tersebut melalui mekanisme “acces
control”, dimana implementasi dari mekanisme ini paling banyak dikenal dengan
istilah “password”. Di sistem Unix, untuk menggunakan sebuah sistem atau
komputer, pemakai diharuskan melalui proses authentication dengan menuliskan
userid dan password, Informasi yang diberikan ini dibandingkan dengan userid
dan password yang berada di dalam sistem.
a. Keamanan Password
Akses ke Informasi menggunakan sistem password sepenuhnya belum
menjadikan jaminan aman. Hacker bisa saja mencari file atau berkas
tempat penyimpanan password dari user- user yang tersimpan. Untuk
itu kita perlu melakukan keamanan-keamanan terhadap data password
tersebut.
b. Shadow Password
Salah satu cara untuk mempersulit mendapatkan berkas yang berisi
password (meskipun terenkripsi) adalah dengan menggunakan
“shadow password”. Contoh untuk system UNIX Mekanisme ini
menggunakan berkas /etc/ shadow untuk menyimpan encrypted
password, sementara kolom password diberkas /etc/password yang
berisi karakter “X”, berkas /etc/shadow tidak dapat dibaca secara
14
langsung oleh pemakai biasa (bersifat hidden) tetapi bisa diakses oleh
user root.
c. Pemilihan Password
Cara lain untuk mempersulit menemukan password kita adalah dengan
pemilihan karakter password yang sulit ditebak, karena jika kita
menggunakan karakter password yang umum dengan menggunakan
program password cracker maka password akan mudah ditebak oleh
karena itu pemilihan karakter password sangat penting dan
memerlukan perhatian khusus.
2.Enkripsi
Enkripsi adalah proses pengubahan/ konversi/ penyajian suatu Informasi
kebentuk lain atau tertentu sehingga tidak dapat dimengerti / tidak dapat
dimanfaatkan oleh pihak yang tidak berhak.
Enkripsi digunakan untuk
melindungi data atau Informasi yang kita miliki agar hanya kita saja atau orang
lain yang telah kita tahu kode- kodenya dapat memanfaatkan Informasi kita.
3.Kriptografi
Kriptografi dapat didefinisikan sebagai metode untuk menyamarkan
(merahasiakan) isi dari data sehingga data tidak mudah untuk dibaca oleh orang
yang tidak berhak untuk membacanya. Dengan adanya Kriptografi, walaupun
seseorang pada akhirnya bisa memperoleh data dan melanggar aspek perolehan
data, tapi paling tidak data yang sudah diperoleh tersebut tidak dapat lagi dengan
mudah untuk dibaca.
a.
Kontrol Proses Pengembangan
Selama fase disain dan analisis dari siklus hidup system, Analis System, DBA
dan Manajer Jaringan membangun fasilitas kontrol tertentu dalam disain system.
Selama fase implementasi, programmer menggabungkan kontrol tersebut ke
dalam system. Disain system dikontrol dengan cara menggabungkan kontrol
software menjadi lima bagian pokok. Untuk memastikan bahwa CBIS yg
diimplementasikan dpt memenuhi kebutuhan pemakai atau berjalan sesuai
rencana..
b.
Kontrol Pengoperasian Sistem
Kontrol pengoperasian sistem dimaksudkan untuk mencapai efisiensi
dan keamanan. Kontrol yang memberikan kontribusi terhadap tujuan ini dapat
diklasifikasikan menjadi 5 area :
1. Struktur organisasional.
15
Staf pelayanan informasi diorganisir menurut bidang spesialisasi. Analisis,
Programmer,
dan
Personel
operasi
biasanya
dipisahkan
dan
hanya mengembangkan ketrampilan yang diperlukan untuk area pekerjaannya
sendiri.
2. Kontrol perpustakaan.
Perpustakaan komputer adalah sama dengan perpustakaan buku,
dimana didalamnya ada pustakawan, pengumpulan media, area tempat
penyimpanan media dan prosedur untuk menggunakan media tersebut. Yang
boleh mengakses perpustakaan media hanyalah pustakawannya.
4. Pemeliharaan Peralatan.
Orang yang tugasnya memperbaiki computer yang disebut Customer
Engineer (CE) / Field Engineer (FE) / Teknisi Lapangan menjalankan
pemeliharaan yang terjadwal / yang tak terjadwal.
5. Kontrol lingkungan dan keamanan fasilitas.
Untuk menjaga investasi dibutuhkan kondisi lingkungan yang khusus
seperti ruang komputer harus bersih keamanan fasilitas yang harus dilakukan
dengan penguncian ruang peralatan dan komputer.
Perencanaan disaster:
1.Rencana Keadaan darurat.
Prioritas utamanya adalah keselamatan tenaga kerja perusahaan.
2.Rencana Backup.
Menjelaskan bagaimana perusahaan dapat melanjutkan operasinya dari
ketika terjadi bencana sampai ia kembali beroperasi secara normal.
3.Rencana Record.
Penting Rencana ini mengidentifikasi file data penting & menentukan
tempat penyimpanan kopi duplikat.
4.Rencana Recovery
Rencana ini mengidentifikasi sumber-sumber peralatan pengganti,
fasilitas komunikasi dan pasokan-pasokan.
16
BAB III
PENUTUP
3.1 Kesimpulan
Berdasarkan paparan yang terdapat dalam pembahasan, maka penulis
dapat menyimpulkan isi dari makalah ini adalah sebagai berikut:
1. Sistem informasi merupakan data yang dikumpulkan, dikelompokkan dan
diolah sedemikian rupa sehingga menjadi sebuah satu kesatuan informasi
yang berharga yang dalam menampilkannya menggunakan berbagai
media, informasi tersebut digunakan dalam kegiatan strategi dari suatu
organisasi atau perusahaan untuk dapat menyediakan kepada pihak luar
tertentu dalam bentuk informasi berupa laporan – laporan yang diperlukan.
2. Pengendalian sistem merupakan pengendalian yang secara khusus
dipasangkan pada aplikasi tertentu atau suatu subsistem tertentu. Bertujuan
untuk mencegah akses oleh pengguna atau aplikasi yang dapat
mengakibatkan penggunaan tak terkendali ataupun merugikan sistem
operasi atau arsip data, mengendalikan pengguna yang satu dari pengguna
lainnya agar seorang pengguna tidak dapat menghancurkan atau
mengkorupsi program atau data pengguna lainnya, mencegah arsip-arsip
atau program seorang pengguna dirusak oleh program lainnya yang
digunakan oleh pengguna yang sama, mencegah sistem operasi dari
bencana yang disebabkan oleh kejadian eksternal, seperti kerusakan pada
pembangkit listrik.
3.2 Saran
Sebaiknya para pengguna menggunakan strategi - strategi dari keamanan
informasi untuk mengamankan informasinya yang penting supaya dapat
mencegah akses oleh pengguna atau aplikasi yang dapat mengakibatkan
penggunaan tak terkendali ataupun merugikan sistem operasi atau arsip data,
mencegah arsip-arsip atau program seorang pengguna dirusak oleh program
lainnya yang digunakan oleh pengguna yang sama, dll. Serta diharapkan
menggunakan metode - metode keamanan Informasi seperti keamanan password,
dll.
17
DAFTAR RUJUKAN
Arbie, E. 2000. Pengantar Sistem Informasi Manajemen. Edisi Ketujuh. Jilid 1.
Jakarta: Bina Alumni Indonesia
Arief, M. 2013. Pengamanan dan Pengendalian Sistem Informasi. (online).
(http://sinformasi.files.wordpress.com/2013/02/bab-11-pengamanan.doc).
Diakses tangal 10 Maret 2014.
Davis. G.B. 1991. Kerangka Dasar Sistem Informasi Manajemen Bagian 1.
Jakarta: PT. Pustaka Binamas Pressindo.
Jogiyanto, H.M. 1999. Analisis dan Disain Informasi: Pendekatan Terstruktur
Teori dan Praktek Aplikasi Bisnis. Yogyakarta: Andi Offset.
Mcleod, R. 2001. Sistem Informasi Manajemen. Jakarta: PT.Prenhallindo.
Mcleod, R. dan Schell, G. P. Sistem Informasi Manajemen. Terjemahan Ali Akbar
Yulianto; Afia R. Fitriati. 2008. Jakarta: Penerbit Salemba Empat.
Muhyuzir, T.D. 2001, Analisa Perancangan Sistem Pengolahan Data. Cetakan
Kedua. Jakarta: PT.Elex Media Komputindo.
O’Brein, J.A. 2005. Pengantar Sistem Informasi. Jakarta: Salemba 4.
Rosyid, Z.A. 2011. Keamanan dan Kontrol Sistem Informasi.(online).
(http://zaidarrosyid.blogspot.com/2011/11/keamanan-dan-kontrol-sisteminformasi.html). Diakses tanggal 10 Maret 2014.
Sarno, R. & Iffano, I. 2009. Sistem Manajemen Keamanan Informasi. Penerbit:
ITSPress Surabaya.
Sidharta, L. 1995. Pengantar Sistem Informasi Bisnis. Jakarta: PT.ELEX Media
Komputindo.
Sutabri, T. 2005. Sistem Informasi Manajemen. 2005. Yogyakarta: Andi Offset.
18
Related documents
pertemuan 1
pertemuan 1
Ancaman-ancaman Terhadap Jaringan Komputer Kebutuhan untuk
Ancaman-ancaman Terhadap Jaringan Komputer Kebutuhan untuk
EK109-052122-666-12 39KB Nov 01 2011 09:21:27 AM
EK109-052122-666-12 39KB Nov 01 2011 09:21:27 AM
BAB 9 - Desi Rianti
BAB 9 - Desi Rianti
KEAMANAN SISTEM KOMPUTER
KEAMANAN SISTEM KOMPUTER
Aplikasi berbasis web
Aplikasi berbasis web
Form Surat Permohonan Perubahan alamat e
Form Surat Permohonan Perubahan alamat e
manajemen agenda - Cita Kreasi Latena
manajemen agenda - Cita Kreasi Latena
Perilaku Organisasi.
Perilaku Organisasi.
Langkah Akses server DTE JTPM 593KB Jan 05 2015 12:07
Langkah Akses server DTE JTPM 593KB Jan 05 2015 12:07
Analisa Hacking Password Pada Sistem Operasi Windows 7
Analisa Hacking Password Pada Sistem Operasi Windows 7
BAB 7 - PENGATURAN KEAMANAN_
BAB 7 - PENGATURAN KEAMANAN_
Download
advertisement