Nama : Priandita Setiyawan
NPM : 4621912
Kelas : 3DA01
Sistem Informasi Manajemen #
Ringkasan Materi Ke-3
BAB
9
KEAMANAN
INFORMASI
KEAMANAN INFORMASI
Istilah Keamanan Informasi digunakan
untuk mendeskripsikan perlindungan baik peralatan komputer maupun non-komputer,
fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak
berwenang. Peralatan ini mencakup seperti mesin fotokopi, mesin faks, serta
semua jenis media, termasuk dokumen kertas.
Tujuan Keamanan Informasi
1. Kerahasiaan, melindungi data dan informasi
dari pengungkapan kepada orang-orang yang tidak berwenang.
2. Ketersediaan, menyediakan data dan informasi
sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
3. Integritas, semua sistem informasi harus
memberi representasi akurat atas sistem fisik yang direpresentasikannya.
Manajemen Keamanan Informasi
Aktivitas untuk menjaga agar sumber
daya informasi tetap aman disebut manajemen keamanan informasi (information
security management – ISM). Aktivitas untuk menjaga agar perusahaan dan
sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen
keberlangsungan bisnis (business continuity management – BCM).
CIO adalah orang yang tepat untuk
memikul tanggungjawab atas keamanan informasi, namun kebanyakan organisasi mulai
menunjuk orang-orang tertentu yang dapat mencurahkan perhatian penuh terhadap
aktivitas ini. Jabatan direktur keamanan sistem informasi perusahaan
(corporate information system security Officer – CISSO) digunakan untuk
individu anggota dari unit sistem informasi, yang bertanggungjawab atas
keamanan sistem informasi perusahaan tersebut. untuk mencapai tingkat informasi
yang lebih tinggi lagi di dalam perusahaan dengan cara menunjuk seorang direktur
assurance informasi perusahaan (corporate information assurance officer – CIAO).
KEAMANAN MANAJEMEN INFORMASI
Manajemen Resiko dibuat untuk
menggambarkan pendekatan ini di mana tingkat keamanan sumber daya informasi
perusahaan dibandingkan dengan resiko yang dihadapinya.
Terdapat pilihan lain untuk merumuskan
kebijakan keamanan informasi dengan tolak ukur (benchmark) adalah
tingkat kinerja yang disarankan. Tolak ukur keamanan informasi (information
security benchmark) adalah tingkat keamanan yang disarankan yang dalam
keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang
tidak terotorisasi. Apabila perusahaan mengikuti pendekatan ini, maka disebut
dengan kepatuhan terhadap tolak ukur (benchmark compliance).
ANCAMAN
Ancaman keamanan informasi
(information security threat) adalah
orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk
membahayakan sumber daya informasi perusahaan.
Ancaman dapat bersifat:
Ancaman Internal dan Eksternal
Ancaman Internal mencakup bukan hanya
karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor dan
bahkan mitra bisnis. Diperkirakan menghasilkan kerusakan yang secara potensi
lebih serius disbanding ancaman eksternal, karena pengetahuan ancaman internal
yang lebih mendalam akan sistem tersebut.
Tindakan Kecelakaan dan Disengaja
Banyak terjadi kerusakan karena
kecelakaan, maka dari itu sistem keamanan juga harus mengeliminasi atau
mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.
JENIS ANCAMAN
Malicious software atau malware terdiri
dari program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu
sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem,
serta dapat menghapus file atau menyebabkan sistem tersebut berhenti.
Terdapat beberapa jenis peranti lunak
berbahaya:
1. Virus adalah
program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati
oleh pengguna dan menempelkan salinan dirinya pada program-program dan boot
sector lain.
2. Worm tidak dapat
mereplikasi dirinya sendiri, tetapi dapat menyebarkan salinannya melalui
e-mail.
3. Trojan Horse,
tidak dapat mereplikasi atau mendistribusikan dirinya; si pengguna
menyebarkannya sebagai suatu perangkat. Pada saat perangkat tersebut digunakan,
perangkat itu menghasilkan perubahan-perubahan yang tidak diinginkan dalam
fungsionalitas sistem tersebut.
4. Adware,
memunculkan pesan-pesan iklan yang mengganggu.
5. Spyware,
mengumpulkan data dari mesin pengguna.
Program antispyware sering kali
menyerang cookie, yaitu file teks kecil yang diletakkan perusahaan di
Hard Drive pelanggan untuk untuk mecatat minat belanja pelanggan mereka. Solusi
yang paling efektif adalah menghalangi antispyware untuk menghapus cookies
pihak pertama yang disimpan perusahaan untuk para pelanggannya, tapi hanya
menghapus cookies pihak ketiga yang diletakkan oleh perusahaan lain.
Risiko
Risiko keamanan informasi (information
security risk) adalah potensi output yang tidak diharapkan
dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.
Pengungkapan Informasi yang Tidak Terotorisasi
dan Pencurian
1. Penggunaan yang
Tidak Terotorisasi
Terjadi ketika
orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu
melakukan hal tersebut.
2. Penghancuran yang
Tidak Terotorisasi dan Penolakan Layanan
Seseorang dapat
merusak atau menghancurkan peranti lunak maupun peranti keras, sehingga
menyebabkan operasional komputer tidak berfungsi.
3. Modifikasi yang
Tidak Terotorisasi
Perubahan dapat dilakukan
pada data, informasi dan peranti lunak perusahaan dan tanpa disadari
menyebabkan para pengguna output sistem tersebut mengambil keputusan yang
salah.
PERSOALAN E-COMMERCE
Menurut survei Gartner Group, pemalsuan
kartu kredit 12 kali lebih sering terjadi untuk para peritel e-commerce. Untuk
itu, perusahaan-perusahaan kartu kredit yang utama telah mengimplementasikan
program yang ditujukan secara khusus untuk keamanan kartu kredit e-commerce.
Kartu Kredit “Sekali Pakai”
Berkerja dengan cara: saat pemegang kartu
ingin membeli sesuatu secara online, ia akan memperoleh angka yang acak dari
situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor
kartu kredit pelanggan tersebut, yang diberikan kepada pedagang e-commerce,
yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.
Praktik Keamanan yang Diwajibkan oleh Visa
Visa mengumumkan 10 praktik terkait keamanan
yang diharapkan perusahaan ini untuk diikuti oleh para peritelnya.
1. Memasang dan
memelihara firewall
2. Memperbarui
keamanan
3. Melakukan
enkripsi pada data yang disimpan
4. Melakukan
enkripsi pada data yang dikirim
5. Menggunakan dan
memperbarui peranti lunak antivirus
6. Membatasi akses
data pada orang-orang yang ingin tahu
7. Memberikan ID
unik kepada setiap orang yang memiliki kemudahan mengakses data
8. Memantau akses
data dengan ID unik
9. Tidak menggunakan
kata sandi default yang disediakan oleh vendor
10. Scara teratur menguji sistem keamanan
Selain itu, Visa mengidentifikasi 3 praktik
umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk
semua aktivitas, bukan hanya yang berhubungan dengan e-commerce.
1. Menyaring
karyawan yang memiliki akses terhadap data
2. Tidak meninggalkan
data (disket, kertas, dll) atau komputer dalam keadaan tidak aman
3. Menghancurkan
data jika tidak dibutuhkan lagi
MANAJEMEN RESIKO
Pendefinisian resiko ada 4 langkah:
1. Identifikasi
asset-aset bisnis yang harus dilindungi dari resiko
2. Menyadari
resikonya
3. Menentukan
tingkatan dampak pada perusahaan jika resiko benar-benar terjadi
4. Menganalisis
kelemahan perusahaan tersebut
Tingkat keparahan dampak dapat
diklasifikasikan menjadi:
1. Dampak yang Parah
(serve impact), membuat perusahaan bangkrut atau sangat membatasi kemampuan
perusahaan untuk berfungsi.
2. Dampak Signifikan
(significant impact), menyebabkan kerusakan dan biaya yang signifikan, tetapi
perusahaan tersebut akan selamat.
3. Dampak Minor (minor
impact), menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional
sehari-hari.
Setelah analisis resiko diselesaikan, hasil
temuan sebaiknya didokumentasikan dalam laporan analisis resiko. Isi laporan
ini sebaiknya mencakup informasi berikut ini, mengenai tiap-tiap resiko:
1. Deskripsi Resiko
2. Sumber Resiko
3. Tingginya Tingkat
Resiko
4. Pengendalian yang
Diterapkan pada Resiko
5. (Para) Pemilik
Resiko
6. Tindakan yang
Direkomendasikan Untuk Mengatasi Resiko
7. Jangka Waktu yang
Direkomendasikan Untuk Mengatasi Resiko
Jika perusahaan telah mengatasi resiko
tersebut, laporan harus diselesaikan dengan cara menambahkan bagian akhir:
8. Apa yang Telah
Dilaksanakan Untuk Mengatasi Resiko
KEBIJAKAN KEAMANAN INFORMASI
Kebijakan keamanan harus diterapkan untuk
mengarahkan keseluruhan program.
Ada 5 fase implementasi kebijakan keamanan.
1. Fase I – Inisiasi
Proyek. Tim yang menyusun kebijakan keamanan dibentuk.
2. Fase II –
Penyusunan Kebijakan. Tim proyek berkonsultasi dengan semua pihak yang berminta
dan terpengaruh oleh proyek ini untuk menentukan kebutuhan kebijakan baru
tersebut.
3. Fase III –
Konsultasi dan Persetujuan. Tim proyek berkonsultasi dengan manajemen
untuk memberitahukan semuanya sampai saat itu, serta untuk mendapatkan
pandangan mengenai berbagai persyaratan kebijakan.
4. Fase IV –
Kesadaran dan Edukasi. Program pelatihan kesadaran dan edukasi kebijakan
dilaksanakan dalam unit-unit organisasi.
5. Fase V –
Penyebarluasan Kebijakan. Kebijakan keamanan ini disebarluaskan ke seluruh unit
organisasi di mana kebijakan tersebut dapat diterapkan.
Kebijakan Terpisah Dikembangkan Untuk:
1. Keamanan sistem
informasi
2. Pengendalian
akses sistem
3. Keamanan personel
4. Keamanan
lingkungan dan fisik
5. Keamanan
komunikasi data
6. Klasifikasi
informasi
7. Perencanaan
kelangsungan usaha
8. Akuntabilitas
manajemen
Kebijakan ini diberitahukan kepada karyawan
sebaiknya dalam bentuk tulisan, dan melalui program pelatihan dan edukasi.
Setelah itu, pengendalian dapat diimplementasikan.
PENGENDALIAN
Pengendalian (Control) adalah mekanisme
yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk
meminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut
terjadi.
Pengendalian dibagi menjadi 3 kategori:
1. PENGENDALIAN
TEKNIS
Technical Control
adalah pengendalian yang menjadi satu di dalam
sistem dan dibuat oleh para penyusun sistem salama masa siklus penyusunan
sistem.
Pengendalian
Akses
Dasar untuk
keamanan melawan ancama yang dilakukan oleh orang-orang yang tidak diotorisasi
adalah pengendalian akses. Dilakukan melalui proses 3 tahap yang mencakup:
1. Identifikasi
Pengguna. Mengidentifikasi diri mereka dengan cara memberikan sesuatu yang
mereka ketahui, misal kata sandi.
2. Autentikasi
Pengguna. Memverifikasi hak akses dengan cara memberikan sesuatu yang mereka
miliki, smartcard atau tanda tertentu atau chip identifikasi.
3. Otorisasi
Pengguna. Dapat memperoleh otorisasi untuk memasuki tingkat atau derajat
penggunaan tertentu.
Identifikasi dan Autentikasi memanfaatkan
profil pengguna. Otorisasi memanfaatkan file pengendalian akses.
Sistem Deteksi Gangguan
Mengenali upaya pelanggaran keamanan sebelum
memiliki kesempatan untuk melakukan perusakan. salah satu contoh yang baik
adalah peranti lunak proteksi virus.
Firewall
Pendekatan ketiga adalah membangun dinding
pelindung. Firewall berfungsi sebagai penyaring dan penghalang yang
membatasi aliran data ke dan dari perusahaan tersebut dan internet.
Tiga jenis firewall:
1. Firewall
Penyaring Paket. Router adalah alat jaringan yang mengarahkan
aliran lalu lintas jaringan. Jika router diposisikan antara Internet dan
jaringan internal, router dapat berlaku sebagai firewall.
2. Firewall
Tingkat Sirkuit. Salah satu peningkatan keamanan dari router
adalah firewall tingkat sirkuit yang terpasang antara Internet dan jaringan
perusahaan, tapi lebih dekat dengan medium komunikasi dan memungkinkan tingkat
autentikasi dan penyaringan yang tinggi, jauh lebih tinggi disbanding router.
3. Firewall
Tingkat Aplikasi. Firewall ini berlokasi antara router dan
komputer yang menjalankan aplikasi.
PENGENDALIAN KRIPTOGRAFIS
Data dan informasi yang tersimpan dan
ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi
dengan kriptografi, yaitu penggunaan kode yang menggunakan proses-proses
matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan
juga ditransmisikan ke dalam jaringan.
Pengendalian Fisik
Peringatan pertama terhadap gangguan yang
tidak terotorisasi adalah mengunci pintu ruangan komputer. Kunci yang lebih
canggih, yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta
kamera pengintai dan alat penjaga keamanan.
2. PENGENDALIAN
FORMAL
Mencakup
penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan,
dan pengawasan serat pencegahan perilaku yang berbeda dari panduan yang
berlaku.
3. PENGENDALIAN
INFORMAL
Mencakup program
pelatihan dan edukasi serta program pembangunan manajemen.
MENCAPAI TINGKAT PENGENDALIAN YANG TEPAT
Ketiga jenis pengendalian tersebut
mengharuskan biaya. Dengan demikian, keputusan untuk mengendalikan pada
akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa
industri terdapat pula pertimbangan-pertimbangan lain.
DUKUNGAN PEMERINTAH DAN INDUSTRI
Beberapa organisasi pemerintahan dan
internasional telah menentukan standar-standar yang ditujukan untuk menjadi
panduan bagi organisasi yang ingin mendapatkan keamanan informasi. Beberapa
pihak penentu standar menggunakan istilah Baseline (dasar) dan bukannya benchmark.
Contoh:
1. BS7799 milik
Inggris. Standar Inggris menentukan satu set pengendalian dasar.
2. BSI IT Baseline
Protection Manual. Ditujukan untuk memberikan keamanan yang cukup jika yang
menjadi tujuan adalah kebutuhan proteksi normal .
3. COBIT. Berfokus
pada proses yang dapat diikuti perusahaan dalam menyusun standar, pemeliharaan
dokumentasi.
4. GASSP.
Penekanannya adalah pada alasan penentuan kebijakan keamanan.
5. ISF. Memberikan
perhatian yang cukup banyak pada perilaku pengguna yang diharapkan untuk
kesuksesan program tersebut.
STANDAR INDUSTRI
The Center for Internet Security (CIS) adalah
organisasi nirlaba yang didedikasikan untuk membantu para pengguna komputer
guna membuat sistem mereka lebih aman, dalam 2 bentuk: CIS Benchmark (dengan
cara menerapkan pengendalian khusus teknologi) dan CIS Scoring Tools (untuk
menghitung tingkat keamanan, membandingkannya dengan tolak ukur, dan menyiapkan
laporan yang mengarahkan pengguna dan administrator sistem untuk mengamankan
sistem).
SERTIFIKASI PROFESIONAL
Profesi TI menawarkan program sertifikasi.
Ada 3 contoh:
1. Asosiasi
Audit Sistem dan Pengendalian
2. Konsorsium
Sertifikasi Keamanan Sistem Informasi Internasional
3. Institut
SANS
MELETAKKAN MANAJEMEN KEAMANAN INFORMASI PADA
TEMPATNYA
Kebijakan ini dibuat berdasarkan identifikasi
ancaman dan resiko ataupun berdasarkan panduan yang diberikan oleh pemerintah
dan asosiasi industri.
MANAJEMEN KEBERLANGSUNGAN BISNIS
Awal penggunaan komputer, aktivitas ini
disebut perencanaan bencana, namun istilah yang lebih positif adalah perencanaan
kontijensi. Elemen penting dalam perencanaan kontijensi adalah rencana
kontijensi, yang merupakan dokumen tertulis formal yang menyebutkan secara
detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan pada
operasi komputasi. Terdapat subrencana yang umum:
1. Rencana Darurat.
Menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi.
2. Rencana Cadangan.
Perusahaan harus mengatur agar fasilitas komputer cadangan tersedia seandainya
fasilitas yang biasa hancur atau rusak sehingga tidak bisa digunakan.
Cadangan dapat
diperoleh melalu:
·
Redundansi. Peranti keras, peranti lunak, dan
data diduplikasi.
·
Keberagaman. Sumber daya informasi tidak
dipasang di tempat yang sama.
·
Mobilitas. Membuat perjanjian dengan para
pengguna peralatan yang sama sehingga masing-masing perusahaan dapat
menyediakan cadangan kepada yang lain jika terjadi bencana besar.
3. Rencana Catatan
Penting
Adalah dokumen
kertas, microform dan media penyimpanan optis dan magnetis yang penting untuk
meneruskan bisnis perusahaan. Rencana catatan penting menentukan
bagaimana catatan penting tersebut harus dilindungi.
MELETAKKAN MANAJEMEN KEBERLANGSUNGAN BISNIS
PADA TEMPATNYA
Merupakan salah satu bidang penggunaan
komputer di mana kita dapat melihat perkembangan besar.
Tidak ada komentar:
Posting Komentar