BAB II

TINJAUAN TEORI

A. Pengertian Keamanan

Menurut Wikipedia, Keamanan adalah keadaan bebas dari bahaya. Istilah ini bias digunakan dengan hubungan kepada kejahatan, segala bentuk kecelakaan, dan lain-lain. Keamanan merupakan topik yang luas termasuk keamanan komputer terhadap hacker atau cracker, keamanan finansial terhadap kehancuran ekonomi dan banyak situasi berhubungan lainnya.

Keamanan informasi memproyeksikan informasi dari ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil kerugian perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha. Manajemen sistem informasi memungkinkan data untuk terdistribusi secara elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan diterima oleh user yang benar.

B. Pengertian Sistem

Menurut Lani Sidharta, sistem adalah suatu susunan komponen yang membentuk suatu kegiatan yang berorentasi kearah tujuan yang sama dengan melalui pengoperasiandan untuk memperoleh suatu informasi. Sedangkan menurut Robert G, sistem sebagai seperangkat elemen-elemen yang terintegrasi dengan maksud yang sama untuk mencapai suatu tujuan bersama.

Jadi secara umum, sistem informasi adalah sekumpulan prosedur organisasi yang pada saat dilaksanaan akan member informasi bagi pengambil keputusan dana atau untuk mengendalikan organisasi.

C. Pengertian Informasi

Menurut Wikipedia informasi adalah data yang telah diproses menjadi bentuk yang memiliki arti bagi penerima dan dapat berupa fakta, suatu nilai yang bermanfaat. Jadi adda suatu proses transformasi data menjadi suatu informasi input-proses-output.

Data merupakan Raw material untuk suatu informasi perbedaan informasi dengan data sangat relatif tergantung pada nilai gunanya bagi manajemen yang memerlukan. Suatu informasi bagi level manajemen tertentu bias menjadi data bagi manajemn level diatasnya, dan sebaliknya.

D. Pengertian Keamanan Sistem Informasi

Keamanan sistem informasi merupakan suatu subsistem dalam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem informasi berbasis komputer. Sistem keamanan informasi memiliki elemen utama sistem informasi, seperti perangkat keras, database prosedur, dan pelaporan. Sebuah contoh, data terkait dengan penggunaan sistem dan pelanggaran keamanan bias jadi dikumpulkan secara real time, disimpan dalam database, dan digunakan untuk menghasilkan laporan.

BAB III

PEMBAHASAN

A. Siklus Hidup Sistem Kemanan Informasi

Sistem keamanan komputer dikembangkan dengan menerapkan metode analisis, desain, implementasi, serta operasi evaluasi, dan pengendalian. Tujuan setiap tahap hidup ini adalah sebagai berikut.

Fase Siklus Hidup	Tujuan
Analisis sistem	Analisis kerentaan sistem dalam arti ancaman yang relevan dan eksposur kerugian yang terkait dengan ancaman tersebut.
Desain sistem	Desain ukuran keamnan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang teridentifikasi.
Implementasi sistem	Menerapan ukurn keamanan seperti yang telah didesain.
Operasi, evaluasi, dan pengendalian sistem	Mengoperasikan sistem dan menaksir efektivitas dan efisiensi. Membuat perubahan sebagaimanan diperlukan sesuai dengan kondisi yang ada.

B. Keamanan Sistem Informasi dalam Organisasi

Dalam praktiknya, impelentasi dari kemanan sistem informasi akuntansi seringkali berjalan kurang efektif. Hal tersebut dikarenakan pengendalinya yang tidak ahli dalam bidangnya. Idealnya, kemanan sistem informasi akuntansi dilakukan oleh seorang CSO (Chief Security Officer). Tugas utama CSO adalah memberikan laporan langsung kepda dewan direksi untuk mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari siklus hidup.

Fase Siklus Hidup	Laporan kepada Dewan Direksi
Analisis sistem	Sebuah ringksan terkait dengan semua eksposur kerugian ang relevan.
Desain sistem	Rencana detik mengenai pengendalian dan pengelolaan kerugian, termasuk anggran sistem keamanan secara lengkap.
Implementasi sistem, operasi, evaluasi, dan pengendalian sistem	Mengungkapkan secara spesifik kinerja sistem ekamnan termasuk kerugian dan plnggaran keamnan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan.

C. Pentingnya Sistem Informasi

Keamanan sisitem dimaksudkan untuk mencapai tiga tujuan utama, yaitu:

1) Kerahasiaan

Setiap organisasi berusaha melindungi data dan informasinya dari pengungkapan kepada pihak-pihak yang tidak berwenang. Sistem informasi yang perku mendapatkan prioritas kerahasiaan yang tinggi mencakup sistem informasi eksekutif, SDM, sistem informasi keuangan.

2) Ketersediaan

Sistem dimaksudkan untuk selalu siap dalam menyajikan data dan informasi bagi mereka yang berwenang untuk menggunakannya.

3) Integritas

Semua sistem dan subsistem yang dibangun harus mampu memberikan gambaran yang lengkap dan akurat dari sistem fisik yang diwakilinya.

D. Analisis Kerentanan dan Ancaman

Dalam menganalisis kerentanan dan ancaman sistem yang digunakan, umumnya ada dua pendekatan, yaitu:

1) Pendekatan Kuantitatif

Menghitung setiap eksposur kerugian sebagai hasil kali biaya kerugian setiap item ekposur dengan kemungkinan terjadinya eksposur tersebut. Manfaat terbesar dari analisis semacam ini adalah ia dapat menunjukkan bahwa ancaman yang paling mungkin terjadi bukanlah ancaman dengan eksposur kerugian terbesar.

2) Pendekatan Kualitatif

Pendekatan ini secara sederhana merinci daftar kerentanan dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item tersebut.

Banyak perusahaan mengombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai, analisis eksposur kerugian tersebut harus mencakup area berikut ini: Interupsi bisnis, Kerugian perangkat lunak, Kerugian data, Kerugian perangkat keras, Kerugian fasilitas, Kerugian jasa dan personel.

E. Kerentanan dan Ancaman

Kerentanan merupakan suatu kelemahan di dalam suatu sistem. Ancaman merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada.

Ancaman dapat dikelompokkan menjadi dua, yaitu:

1) Ancaman Aktif

Mencakup kecurangan sistem informasi dan sabotase koputer. Ada enam metode yang dapat digunakan untuk melakukan kecurangan sistem informasi. Metode ini meliputi manipulasi input, perubahan program, perubahan file secara langsung, pencurian data, sabotase, dan penyalahgunaan atau pencurian sumber daya informasi.

a) Manipulasi Input

Metode ini mensyaratkan kemampuan teknis yang paling minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai cara operasi sistem komputer.

b) Mengubah Program

Metode ini jarang digunakan karena perlu keahlian khusus dan hanya dimiliki sejumlah orang yang terbatas.

c) Mengubah File secara Langsung

Dalam beberapa kasus, individu-individu tertentu menemukan cara memotong (by pass) proses normal untuk menginput data ke dalam program komputer. Jika hal ini terjadi, hasil yang dituai adalah bencana.

d) Pencurian Data

Pencurian data penting merupakan salah satu masalah yang cukup serius dalam sunia bisnis hari ini. Dalam industry dengan tingkat persaingan yang sangat tinggi, informasi kuantittif dan kualitatif terkait dengan salah seorang pesaing merupakan salah satu informas yang cukup diburu.

e) Sabotase

Seorang pnyusup menggunakan sabotase untuk membuat kecurangan menjadi sulit dan membingungkan untuk diungkapkan. Sebagai contoh, seseorang mengubah database akuntansi dan kemudian mencoba menutupi kecurangan tersebut dengan melakukan sabotase terhadap hardisk atau media lain. Ada banyak cara yang dapat dilakukan yang dapat menyebabkan kerusakan yang serius terhadap perangkat keras komputer. Magnet dapat digunakan untuk menghapus tape magnetic dan disket, hanya dengan meletakkan magnet di dekat media/ detak radar juga memiliki efek yang sama jika radar tersebut diarahkan pada bangunan yang berisi media magnetic. Metode lainnya yakni kuda troya, program virus, dan worm.

f) Penyalahgunaan atau Pencurian Sumber Daya Informasi

Salah satu jenis penyalahgunaan informasi terjadi pada saat seorang karyawan menggunakan sumber daya komputer organisasi untuk kepentingan pribadi. Contohnya, lima orang karyawan dinyatakan bersalah karena menggunakan komputer mainframe perusahaan di jam-jam senggang untuk mengoperasikan pemrosesan data perusahaan mereka sendiri.

2) Ancaman Pasif, mencakup kegagalan sistem, termasuk bencana alam, seperti gempa bumi, banjir, kebakaran dan angin badai. Kegagalan sistem menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan hardisk, matinya aliran listrik, dan lain sebaginya.

F. Individu Yang Dapat Menjadi Ancaman Bagi Sistem Informasi

1) Personel Sistem Komputer

Personel sistem meliputi personel pemelihraan komputer, programmer, operator, personel dministrasi sistem informasi, dan karyawan pengendalian data.

a) Personel Pemeliharaan Sistem

Personel pemeliharaan sistem menginstal perangkat keras dan perangkat lunak, memperbaiki perangkat keras, dan membetulkan kesalahan kecil di dalam perangkat lunak. Individu-individu semacam ini mungkin tidak bekerja untuk perusahaan, tetapi bekerja untuk pemasok tempat perusahaan membeli perangkat lunak akuntansi. Beberapa personel pemeliharaan biasa saja berada dalam poisi yang memungkinkan ia melakuakn modifikai yang tidak diharapkan terhadap keamanan dalam sistem operasi.

b) Programer

Programmer sering menulis program untuk memodifikasi dan memperluas sistem operasi jaringan. Individu-individu semacam ini bisanya diberi account dengan kewenangan akses universal ke semua file perusahaan.

c) Operator Jaringan

Individu yang mengamati dan memonitor operasi komputer dan jaringan komunikasi disebut operator jaringan. Biasanya, operator diberi tingkat keamanan yang cukup tinggi sehingga memungkinkan operator secara diam-diam mengawasi semua jaringan komunikasi (termasuk pada saat pengguna individu memasukkan password), dan juga mengakses semua file di dalam sistem.

d) Personel Administrasi Sistem Informasi

Supervisor menempat posisi kepercyaan yang sangat tinggi. Orang ini biasanya memiliki akse ke rahasia keamanan, file, program, dan lain sebagainya. Administrasi account memiliki kemampuan untuk menciptakan account fiktif atau untuk member password pada account yang sudah ada.

e) Karyawan Pengendali Data

Mereka yang bertanggung jawab terhadap penginputan data ke dalam komputer disebut karyawan pengendali data. Posisi ini memberi peluang bagi karyawan untuk melakukan manipulasi data input.

2) Pengguna

Pengguna diartikan sebagai orang-orang (heterogen) yang menggunakan sistem informasi akuntansi tersebut. Banyak pengguna memiliki akses ke data yang sensitive yang dapat merek bocorkan kepada pesaing perusahaan. Pengguna memiliki kendali terhadap input komputer yang cukup penting, sperti memo kredit, kredit rekening, dan lain sebagainya.

3) Penyusup

Setiap orang yag memiliki akses ke peralatan, data elektronik, ata file tanpa hak yang legal merupakan peyusup (intruder). Penyusup yang menyerang sistem inormasi sebagai sebuah kesenangan dan tantangan dikenal dengan nama hacker. Tipe lain dari penyusup antara lain unnoticed intrudruder, wiretapper, piggybacker, impersonating intruder, dan eavesdropper.

G. Pengendalian Terhadap Ancaman Kemanan Sistem Informasi

1) Pengendalian Ancaman Aktif

Cara utama untuk mencegah ancaman aktif terkait dengan kecurangan dan sabotase adalah dengan menetapkan tahap-tahap pengendalian akses. Pengendalian akses memisahkan penyusup dari sasaran potensial mereka. Tiga tahap yang dapat digunakan dalam pengendalian ancaman aktif antara lain, pengendalian akses lokasi, pengendalian akses internal, dan pengendalian akses file.

a) Pengendalian akses lokasi

Tujuannya adalah untuk memisahkan secara fisik individu yang tidak berwenang dari sumber daya komputer. Semua pengguna diwajibkan menggunakan tanda identifikasi keamanan. Ruangan yang berisi peralatan komputer atau data yang sensitif harus memiliki pintu yang terkunci. Misalnya dengan sistem autentikasi perangkat keras biometrik. Secara otomatis mengidentifikasi individu berdasarkan sidik jari mereka, ukuran tangan, pola retina, pola suara, dan lain sebagainya.

b) Pengendalian akses sistem

Merupakan suatu pengendalian dalam bentuk perangkat lunak didesain untuk mencegah penggunaan sistem oleh pengguna yang ilegal. Tujuan pengendalian ini untuk mengecek keabsahan pengguna dengan menggunakan sarana seperti ID pengguna, password, alamat Internet Protocol (IP), dan perangkat-perangkat keras.

c) Pengendalian akses file

Pengendalian akses file mencegah akses ilegal ke data dan file program. Umumnya dengan membuat petunjuk dan prosedur resmi untuk mengakses dan mengubah file.

2) Pengendalian Ancaman Pasif

Dalam ancaman pasif, yang umumnya tejadi adalah kerusakan perangkat keras yang dikarenakan oleh berbagai hal, diantaranya bencana alam. Pengendalian ancaman pasif dapat berupa pengendalian preventif maupun korektif.

a) Sistem toleransi kesalahan

Sebagian besar metode yang digunakan untuk menangani kegagalan komponen sistem adalah pengawasan dan redundancy. Jika salah satu sistem gagal, bagian yang redundant akan segera mengambil alih, dan sistem dapat terus beroperasi tanpa interupsi. Sistem semacam ini disebut sistem toleransi kesalahan yang dapat diterapkan pada lima level pada jaringan komunikasi prosesor CPU, DASD, jaringan listrik, dan pada transaksi individual.

Misalnya toleransi kesalahan terhadap mati listrik dapat dicapai dengan menggunakan uninterruptable power supply (UPS). Ini artinya Jika listrik mati, sistem backup yang ada kalanya bertenaga baterai, mengambil alih beberapa detik untuk memastikan tidak ada pemutusan mendadak terhadap aktivitas permrosesan yang sedang berlangsung.

b) Memperbaiki kesalahan (Backup File)

Ada tiga jenis back up, yakni:

(1) Backup Penuh, yaitu membuat back up semua file yang ada dalam suatu disk.

(2) Backup inkremental, melakukan backup semua file dengan nilai archive bit 1, kapan saja file tersebut mengalami perubahan, kemudian, setiap archive bit file akan kembali diset menjadi 0 selama proses backup.

(3) Backup diferensial, sama dengan backup inkremental. Hanya saja, archive bit tidak diset menjadi 0 selama proses backup.

H. Pengelolaan Resiko Bencana

1) Mencegah Terjadinya Bencana

Mencegah terjadinya bencana merupakan langkah awal pengelolaan risiko akibat suatu bencana. Studi menunjukkan frekuensi penyebab terjadinya bencana adalah: Bencana alam (30%), Tindakan kejahatan yang terencana (45%), dan Kesalahan manusia (25%). Implikasi dari data tersebut adalah persentase terbesar penyebab terjadinya bencana dapat dikurangi atau dihindari dari kebijakan keamanan yang baik. Banyak bencana yang berasal dari sabotase dan kesalahan dapat dicegah dengan kebijkan dan perencanaan keamanan yang baik.

2) Perencanaan Kontingensi untuk Mengatasi Bencana

Rencana pemulihan dari bencana harus diimplementasikan pada level tertinggi di dalam perusahaan. Langkah pertama mengembangkan rencana pemulihan dari bencana adalah dukungan dari manajemen senior dan penetapan komite perencanaan. Setelah kedua hal tersebut, rencana pemulihan dari bencana harus didokumentasikan dengan hati-hati dan disetujui oleh kedua pihak tersebut. Desain perencanaan mencakup tiga komponen utama: evaluasi terhadap kebutuhan perusahaan, daftar prioritas pemulihan berdasarkan kebutuhan perusahaan, serta penetapan strategi dan prosedur pemulihan.

a) Menaksir Kebutuhan Perusahaan

Semua sumber daya yang penting harus diidentifikasi. Sumber daya yang penting ini mecakup perangkat keras, perangkat lunak, peraltan listrik, peralatan pemeliharaan, ruang gedung, catatan yang vital, dan sumber daya manusia.

b) Strategi dan Prosedur Pemulihan

Serangkaian strategi dan prosedur untuk pemulihan merupakan hal yang penting. Perencanaan ini mesti mencakup hal-hal yang cukup detail sedemikian rupa sehingga, pada saat bencana benar-benar terjadi, perusahaan segera tahu apa yang harus dilakukan, siapa yang harus melakukan, bagaimana melakukannya, dan berapa lama hal-hal tersebut harus dilakukan.

c) Pusat Respons Darurat

Pada saat bencana terjadi, semua wewenang pengolahan data dan operasi komputer dialihkan kepada tim respons darurat, yang dipimpin oleh direktur operasi darurat.

d) Prosedur Eskalasi

Prosedur eskalasi menyatakan kondisi seperti apa yang mengharuskan perlunya pengumuman terjadinya bencana, siapa yang harus mengumumkan, dan siapa yang harus diberi tahu tentang adanya bencana.

e) Menentukan Pemrosesan Komputer Alternatif

Bagian terpenting dari rencana pemulihan dari bencana adalah menentukan spesifikasi lokasi cadangan yang akan digunakan jika lokasi komputasi primer rusak atau tidak dapat berfungsi. Ada tiga macam lokasi cadangan, yaitu:

(1) Cold site merupakan alternatif lokasi komputasi yang memiliki instalasi kabel komputer, tetapi tidak dilengkapi dengan peralatan komputasi.

(2) Hot site merupakan lokasi alternatif yang dilengkapi dengan instalasi kabel dan peralatan komputasi.

(3) Flying-start site merupakan alternatif yang dilengkapi dengan instalasi kabel, peralatan, dan juga data backup dan perangkat lunak yang up-to-date.

f) Rencana Relokasi Karyawan

Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya memindahkan karyawan ke lokasi cadangan.

g) Rencana Penggantian Karyawan

Penggantian seorang karyawan dengan kemampuan yang tinggi merupakan satu hal yang tidak mudah. Penggantian karyawan semacam ini memerlukan pelatihan yang sangat ekstensif.

h) Perencanaan Penyelamatan

Dalam beberapa bencana, perusahaan masih dapat menyelamatkan peralatan dan catatan yang berharga dari kerugian lebih lanjut, jika perusahaan dapat mengambil tindakan yang tepat secra cepat.

i) Perencanaan Pengujian Sistem dan Pemeliharaan Sistem

Kebutuhan komputasi perusahaan sering berubah dengan sangat cepat. Perencanaan yang kadaluwarsa atau tidak teruji barangkali tidak dapat dijalankan pada saat bencana benar-benar terjadi.

BAB IV

PENUTUP

A. Kesimpulan

Kesimpulan yang dapat kita ambil dari penjelasan-penjelasan yang telah diuraikan diatas adalah :

a. Keamanan sebuah sistem informasi harus dinomor satukan karena keamanan sebuah sistem yang menjaga informasi akan memberi rasa aman terhadap informasi yang dimiliki.

b. Dalam hal tanggungjawab keamanan bukanlah hanya terhadap pemimpin saja melainkan seluruh pihak didalaamnya.

c. Ancaman terhadap keamanan sistem dapat diatasi apabila dalam pengoperasian keamanan sistem selalu dipantau.

d. Keamanan sebuah sistem haruslah di prioritaskan agar data dan informasi didalamnya aman dan tidak merugikan pihak yag bersangkutan apabila data tersebut hilangatau rusak.

B. Saran

Penyusun menyadari bahwasannya dalam penyusunan makalah ini masih banyak kekurangan, oleh karena itu kami selaku penyusun mengharapkan kritik dan saran yang membangun untuk dapat memotivasi kami dalam pembuatan makalah yang lainnya.