BAB II
TINJAUAN TEORI
A. Pengertian
Keamanan
Menurut Wikipedia, Keamanan adalah keadaan bebas
dari bahaya. Istilah ini bias digunakan dengan hubungan kepada kejahatan,
segala bentuk kecelakaan, dan lain-lain. Keamanan merupakan topik yang luas
termasuk keamanan komputer terhadap hacker atau cracker, keamanan finansial
terhadap kehancuran ekonomi dan banyak situasi berhubungan lainnya.
Keamanan informasi memproyeksikan informasi dari
ancaman yang luas untuk memastikan kelanjutan usaha, memperkecil kerugian
perusahaan dan memaksimalkan laba atas investasi dan kesempatan usaha.
Manajemen sistem informasi memungkinkan data untuk terdistribusi secara
elektronis, sehingga diperlukan sistem untuk memastikan data telah terkirim dan
diterima oleh user yang benar.
B. Pengertian
Sistem
Menurut Lani Sidharta, sistem adalah suatu susunan
komponen yang membentuk suatu kegiatan yang berorentasi kearah tujuan yang sama
dengan melalui pengoperasiandan untuk memperoleh suatu informasi. Sedangkan menurut
Robert G, sistem sebagai seperangkat elemen-elemen yang terintegrasi dengan
maksud yang sama untuk mencapai suatu tujuan bersama.
Jadi secara umum, sistem informasi adalah sekumpulan
prosedur organisasi yang pada saat dilaksanaan akan member informasi bagi
pengambil keputusan dana atau untuk mengendalikan organisasi.
C. Pengertian
Informasi
Menurut Wikipedia informasi adalah data yang telah
diproses menjadi bentuk yang memiliki arti bagi penerima dan dapat berupa
fakta, suatu nilai yang bermanfaat. Jadi adda suatu proses transformasi data
menjadi suatu informasi input-proses-output.
Data merupakan Raw
material untuk suatu informasi perbedaan informasi dengan data sangat relatif
tergantung pada nilai gunanya bagi manajemen yang memerlukan. Suatu informasi
bagi level manajemen tertentu bias menjadi data bagi manajemn level diatasnya,
dan sebaliknya.
D. Pengertian
Keamanan Sistem Informasi
Keamanan sistem informasi merupakan suatu subsistem
dalam suatu organisasi yang bertugas mengendalikan risiko terkait dengan sistem
informasi berbasis komputer. Sistem keamanan informasi memiliki elemen utama
sistem informasi, seperti perangkat keras, database prosedur, dan pelaporan.
Sebuah contoh, data terkait dengan penggunaan sistem dan pelanggaran keamanan
bias jadi dikumpulkan secara real time, disimpan dalam database, dan digunakan
untuk menghasilkan laporan.
BAB III
PEMBAHASAN
A.
Siklus Hidup Sistem Kemanan Informasi
Sistem keamanan
komputer dikembangkan dengan menerapkan metode analisis, desain, implementasi,
serta operasi evaluasi, dan pengendalian. Tujuan setiap tahap hidup ini adalah
sebagai berikut.
Fase Siklus Hidup
|
Tujuan
|
Analisis sistem
|
Analisis kerentaan
sistem dalam arti ancaman yang relevan dan eksposur kerugian yang terkait
dengan ancaman tersebut.
|
Desain sistem
|
Desain ukuran
keamnan dan rencana kontingensi untuk mengendalikan eksposur kerugian yang
teridentifikasi.
|
Implementasi sistem
|
Menerapan ukurn
keamanan seperti yang telah didesain.
|
Operasi, evaluasi,
dan pengendalian sistem
|
Mengoperasikan
sistem dan menaksir efektivitas dan efisiensi. Membuat perubahan sebagaimanan
diperlukan sesuai dengan kondisi yang ada.
|
B. Keamanan Sistem Informasi dalam Organisasi
Dalam praktiknya, impelentasi dari kemanan sistem informasi akuntansi
seringkali berjalan kurang efektif. Hal tersebut dikarenakan pengendalinya yang
tidak ahli dalam bidangnya. Idealnya, kemanan sistem informasi akuntansi
dilakukan oleh seorang CSO (Chief
Security Officer). Tugas
utama CSO adalah memberikan laporan langsung kepda dewan direksi untuk
mendapatkan persetujuan dewan direksi. Laporan ini mencakup setiap fase dari
siklus hidup.
Fase Siklus Hidup
|
Laporan kepada
Dewan Direksi
|
Analisis sistem
|
Sebuah ringksan
terkait dengan semua eksposur kerugian ang relevan.
|
Desain sistem
|
Rencana detik
mengenai pengendalian dan pengelolaan kerugian, termasuk anggran sistem
keamanan secara lengkap.
|
Implementasi
sistem, operasi, evaluasi, dan pengendalian sistem
|
Mengungkapkan
secara spesifik kinerja sistem ekamnan termasuk kerugian dan plnggaran
keamnan yang terjadi, analisis kepatuhan, serta biaya operasi sistem keamanan.
|
C.
Pentingnya Sistem Informasi
Keamanan sisitem
dimaksudkan untuk mencapai tiga tujuan utama, yaitu:
1)
Kerahasiaan
Setiap organisasi berusaha
melindungi data dan informasinya dari pengungkapan kepada pihak-pihak yang
tidak berwenang. Sistem informasi yang perku mendapatkan prioritas kerahasiaan
yang tinggi mencakup sistem informasi eksekutif, SDM, sistem informasi
keuangan.
2)
Ketersediaan
Sistem dimaksudkan untuk selalu
siap dalam menyajikan data dan informasi bagi mereka yang berwenang untuk
menggunakannya.
3)
Integritas
Semua sistem dan subsistem yang dibangun harus mampu
memberikan gambaran yang lengkap dan akurat dari sistem fisik yang diwakilinya.
D.
Analisis Kerentanan dan Ancaman
Dalam menganalisis kerentanan dan ancaman sistem yang digunakan,
umumnya ada dua pendekatan, yaitu:
1)
Pendekatan Kuantitatif
Menghitung setiap eksposur kerugian sebagai hasil kali biaya
kerugian setiap item ekposur dengan kemungkinan terjadinya eksposur tersebut.
Manfaat terbesar dari analisis semacam ini adalah ia dapat menunjukkan bahwa
ancaman yang paling mungkin terjadi bukanlah ancaman dengan eksposur kerugian
terbesar.
2) Pendekatan Kualitatif
Pendekatan ini secara sederhana merinci daftar kerentanan
dan ancaman terhadap sistem, kemudian secara subjektif meranking item-item
tersebut.
Banyak perusahaan
mengombinasikan kedua pendekatan tersebut. Apa pun metode yang dipakai,
analisis eksposur kerugian tersebut harus mencakup area berikut ini: Interupsi
bisnis, Kerugian perangkat lunak, Kerugian data, Kerugian perangkat keras,
Kerugian fasilitas, Kerugian jasa dan personel.
E. Kerentanan dan Ancaman
Kerentanan merupakan suatu kelemahan di dalam suatu sistem.
Ancaman merupakan suatu potensi eksploitasi terhadap suatu kerentanan yang ada.
Ancaman dapat dikelompokkan menjadi dua, yaitu:
1)
Ancaman Aktif
Mencakup kecurangan
sistem informasi dan sabotase koputer. Ada enam metode yang dapat digunakan
untuk melakukan kecurangan sistem informasi. Metode ini meliputi manipulasi
input, perubahan program, perubahan file secara langsung, pencurian data, sabotase, dan penyalahgunaan
atau pencurian sumber daya informasi.
a) Manipulasi Input
Metode ini mensyaratkan kemampuan teknis yang paling
minimal. Seseorang bisa saja mengubah input tanpa memiliki pengetahuan mengenai
cara operasi sistem komputer.
b) Mengubah Program
Metode ini jarang digunakan karena perlu keahlian khusus dan
hanya dimiliki sejumlah orang yang terbatas.
c) Mengubah File secara Langsung
Dalam beberapa kasus, individu-individu tertentu menemukan
cara memotong (by pass) proses normal untuk menginput data ke dalam program
komputer. Jika hal ini terjadi, hasil yang dituai adalah bencana.
d) Pencurian Data
Pencurian data penting merupakan salah satu masalah yang
cukup serius dalam sunia bisnis hari ini. Dalam industry dengan tingkat
persaingan yang sangat tinggi, informasi kuantittif dan kualitatif terkait
dengan salah seorang pesaing merupakan salah satu informas yang cukup diburu.
e) Sabotase
Seorang pnyusup menggunakan sabotase untuk membuat
kecurangan menjadi sulit dan membingungkan untuk diungkapkan. Sebagai contoh,
seseorang mengubah database akuntansi dan kemudian mencoba menutupi kecurangan
tersebut dengan melakukan sabotase terhadap hardisk atau media lain. Ada banyak
cara yang dapat dilakukan yang dapat menyebabkan kerusakan yang serius terhadap
perangkat keras komputer. Magnet dapat digunakan untuk menghapus tape magnetic
dan disket, hanya dengan meletakkan magnet di dekat media/ detak radar juga
memiliki efek yang sama jika radar tersebut diarahkan pada bangunan yang berisi
media magnetic. Metode lainnya yakni kuda troya, program virus, dan worm.
f) Penyalahgunaan atau Pencurian Sumber
Daya Informasi
Salah satu jenis penyalahgunaan informasi terjadi pada saat
seorang karyawan menggunakan sumber daya komputer organisasi untuk kepentingan
pribadi. Contohnya, lima orang karyawan dinyatakan bersalah karena menggunakan
komputer mainframe perusahaan di jam-jam senggang untuk mengoperasikan
pemrosesan data perusahaan mereka sendiri.
2)
Ancaman Pasif, mencakup kegagalan sistem, termasuk bencana
alam, seperti gempa bumi, banjir, kebakaran dan angin badai. Kegagalan sistem
menggambarkan kegagalan komponen peralatan sistem, seperti kegagalan hardisk,
matinya aliran listrik, dan lain sebaginya.
F.
Individu Yang Dapat Menjadi Ancaman Bagi Sistem Informasi
1) Personel Sistem Komputer
Personel sistem meliputi personel pemelihraan komputer,
programmer, operator, personel dministrasi sistem informasi, dan karyawan
pengendalian data.
a) Personel Pemeliharaan Sistem
Personel pemeliharaan sistem menginstal perangkat keras dan
perangkat lunak, memperbaiki perangkat keras, dan membetulkan kesalahan kecil di
dalam perangkat lunak. Individu-individu semacam ini mungkin tidak bekerja
untuk perusahaan, tetapi bekerja untuk pemasok tempat perusahaan membeli perangkat
lunak akuntansi. Beberapa personel pemeliharaan biasa saja berada dalam poisi
yang memungkinkan ia melakuakn modifikai yang tidak diharapkan terhadap
keamanan dalam sistem operasi.
b)
Programer
Programmer sering menulis program untuk memodifikasi dan
memperluas sistem operasi jaringan. Individu-individu semacam ini bisanya
diberi account dengan kewenangan akses universal ke semua file perusahaan.
c) Operator Jaringan
Individu yang mengamati dan memonitor operasi komputer dan
jaringan komunikasi disebut operator jaringan. Biasanya, operator diberi
tingkat keamanan yang cukup tinggi sehingga memungkinkan operator secara diam-diam
mengawasi semua jaringan komunikasi (termasuk pada saat pengguna individu
memasukkan password), dan juga mengakses semua file di dalam sistem.
d) Personel Administrasi Sistem Informasi
Supervisor menempat posisi kepercyaan yang sangat tinggi.
Orang ini biasanya memiliki akse ke rahasia keamanan, file, program, dan lain
sebagainya. Administrasi account memiliki kemampuan untuk menciptakan account
fiktif atau untuk member password pada account yang sudah ada.
e) Karyawan Pengendali Data
Mereka yang bertanggung jawab terhadap penginputan data ke
dalam komputer disebut karyawan pengendali data. Posisi ini memberi peluang
bagi karyawan untuk melakukan manipulasi data input.
2) Pengguna
Pengguna diartikan
sebagai orang-orang (heterogen) yang menggunakan sistem informasi akuntansi
tersebut. Banyak pengguna memiliki akses ke data yang sensitive yang dapat
merek bocorkan kepada pesaing perusahaan. Pengguna memiliki kendali terhadap
input komputer yang cukup penting, sperti memo kredit, kredit rekening, dan
lain sebagainya.
3) Penyusup
Setiap orang yag memiliki akses ke
peralatan, data elektronik, ata file tanpa hak yang legal merupakan peyusup
(intruder). Penyusup yang menyerang sistem inormasi sebagai sebuah kesenangan
dan tantangan dikenal dengan nama hacker.
Tipe lain dari penyusup antara lain unnoticed intrudruder, wiretapper, piggybacker, impersonating intruder, dan eavesdropper.
G. Pengendalian Terhadap Ancaman Kemanan
Sistem Informasi
1) Pengendalian Ancaman Aktif
Cara utama untuk mencegah ancaman aktif terkait dengan
kecurangan dan sabotase adalah dengan menetapkan tahap-tahap pengendalian
akses. Pengendalian akses memisahkan penyusup dari sasaran potensial mereka.
Tiga tahap yang dapat digunakan dalam pengendalian ancaman aktif antara lain,
pengendalian akses lokasi, pengendalian akses internal, dan pengendalian akses
file.
a) Pengendalian akses lokasi
Tujuannya adalah untuk memisahkan secara fisik individu yang
tidak berwenang dari sumber daya komputer. Semua pengguna diwajibkan
menggunakan tanda identifikasi keamanan. Ruangan yang berisi peralatan komputer
atau data yang sensitif harus memiliki pintu yang terkunci. Misalnya dengan sistem
autentikasi perangkat keras biometrik. Secara otomatis mengidentifikasi
individu berdasarkan sidik jari mereka, ukuran tangan, pola retina, pola suara,
dan lain sebagainya.
b) Pengendalian akses sistem
Merupakan suatu pengendalian dalam bentuk perangkat lunak
didesain untuk mencegah penggunaan sistem oleh pengguna yang ilegal. Tujuan
pengendalian ini untuk mengecek keabsahan pengguna dengan menggunakan sarana
seperti ID pengguna, password, alamat Internet Protocol (IP), dan
perangkat-perangkat keras.
c) Pengendalian akses file
Pengendalian akses file mencegah akses ilegal ke data dan
file program. Umumnya dengan membuat petunjuk dan prosedur resmi untuk
mengakses dan mengubah file.
2) Pengendalian Ancaman Pasif
Dalam ancaman pasif, yang umumnya tejadi adalah kerusakan
perangkat keras yang dikarenakan oleh berbagai hal, diantaranya bencana alam.
Pengendalian ancaman pasif dapat berupa pengendalian preventif maupun korektif.
a) Sistem toleransi kesalahan
Sebagian besar metode yang digunakan untuk menangani
kegagalan komponen sistem adalah pengawasan dan redundancy. Jika salah satu
sistem gagal, bagian yang redundant akan segera mengambil alih, dan sistem
dapat terus beroperasi tanpa interupsi. Sistem semacam ini disebut sistem
toleransi kesalahan yang dapat diterapkan pada lima level pada jaringan
komunikasi prosesor CPU, DASD, jaringan listrik, dan pada transaksi individual.
Misalnya toleransi
kesalahan terhadap mati listrik dapat dicapai dengan menggunakan uninterruptable
power supply (UPS). Ini artinya Jika listrik mati, sistem backup yang ada
kalanya bertenaga baterai, mengambil alih beberapa detik untuk memastikan tidak
ada pemutusan mendadak terhadap aktivitas permrosesan yang sedang berlangsung.
b) Memperbaiki kesalahan (Backup File)
Ada
tiga jenis back up, yakni:
(1) Backup Penuh, yaitu membuat back
up semua file yang ada dalam suatu disk.
(2) Backup inkremental, melakukan backup
semua file dengan nilai archive bit
1, kapan saja file tersebut mengalami perubahan, kemudian, setiap archive bit file akan kembali diset
menjadi 0 selama proses backup.
(3) Backup diferensial, sama dengan backup
inkremental. Hanya saja, archive bit tidak diset menjadi 0 selama proses backup.
H. Pengelolaan Resiko Bencana
1) Mencegah Terjadinya Bencana
Mencegah terjadinya bencana merupakan langkah awal
pengelolaan risiko akibat suatu bencana. Studi menunjukkan frekuensi penyebab
terjadinya bencana adalah: Bencana alam (30%), Tindakan kejahatan yang
terencana (45%), dan Kesalahan manusia (25%). Implikasi dari data tersebut
adalah persentase terbesar penyebab terjadinya bencana dapat dikurangi atau dihindari
dari kebijakan keamanan yang baik. Banyak bencana yang berasal dari sabotase
dan kesalahan dapat dicegah dengan kebijkan dan perencanaan keamanan yang baik.
2) Perencanaan Kontingensi untuk Mengatasi
Bencana
Rencana pemulihan dari bencana harus diimplementasikan pada
level tertinggi di dalam perusahaan. Langkah pertama mengembangkan rencana
pemulihan dari bencana adalah dukungan dari manajemen senior dan penetapan
komite perencanaan. Setelah kedua hal tersebut, rencana pemulihan dari bencana
harus didokumentasikan dengan hati-hati dan disetujui oleh kedua pihak
tersebut. Desain perencanaan mencakup tiga komponen utama: evaluasi terhadap
kebutuhan perusahaan, daftar prioritas pemulihan berdasarkan kebutuhan
perusahaan, serta penetapan strategi dan prosedur pemulihan.
a) Menaksir Kebutuhan Perusahaan
Semua sumber daya yang penting harus diidentifikasi. Sumber
daya yang penting ini mecakup perangkat keras, perangkat lunak, peraltan
listrik, peralatan pemeliharaan, ruang gedung, catatan yang vital, dan sumber daya
manusia.
b) Strategi dan Prosedur Pemulihan
Serangkaian strategi dan prosedur untuk pemulihan merupakan
hal yang penting. Perencanaan ini mesti mencakup hal-hal yang cukup detail
sedemikian rupa sehingga, pada saat bencana benar-benar terjadi, perusahaan
segera tahu apa yang harus dilakukan, siapa yang harus melakukan, bagaimana
melakukannya, dan berapa lama hal-hal tersebut harus dilakukan.
c) Pusat Respons Darurat
Pada saat bencana terjadi, semua wewenang pengolahan data
dan operasi komputer dialihkan kepada tim respons darurat, yang dipimpin oleh
direktur operasi darurat.
d) Prosedur Eskalasi
Prosedur eskalasi menyatakan kondisi seperti apa yang
mengharuskan perlunya pengumuman terjadinya bencana, siapa yang harus
mengumumkan, dan siapa yang harus diberi tahu tentang adanya bencana.
e) Menentukan Pemrosesan Komputer
Alternatif
Bagian terpenting dari rencana pemulihan dari bencana adalah
menentukan spesifikasi lokasi cadangan yang akan digunakan jika lokasi
komputasi primer rusak atau tidak dapat berfungsi. Ada tiga macam lokasi
cadangan, yaitu:
(1) Cold site merupakan alternatif lokasi komputasi yang memiliki
instalasi kabel komputer, tetapi tidak dilengkapi dengan peralatan komputasi.
(2) Hot site merupakan lokasi alternatif yang dilengkapi dengan
instalasi kabel dan peralatan komputasi.
(3) Flying-start site merupakan alternatif yang dilengkapi dengan instalasi
kabel, peralatan, dan juga data backup dan perangkat lunak yang up-to-date.
f) Rencana Relokasi Karyawan
Perencanaan kontingensi perlu mempertimbangkan kemungkinan perlunya
memindahkan karyawan ke lokasi cadangan.
g) Rencana Penggantian Karyawan
Penggantian seorang karyawan dengan kemampuan yang tinggi
merupakan satu hal yang tidak mudah. Penggantian karyawan semacam ini
memerlukan pelatihan yang sangat ekstensif.
h) Perencanaan Penyelamatan
Dalam beberapa bencana, perusahaan masih dapat menyelamatkan
peralatan dan catatan yang berharga dari kerugian lebih lanjut, jika perusahaan
dapat mengambil tindakan yang tepat secra cepat.
i)
Perencanaan Pengujian Sistem dan Pemeliharaan Sistem
Kebutuhan komputasi perusahaan sering berubah dengan sangat
cepat. Perencanaan yang kadaluwarsa atau tidak teruji barangkali tidak dapat
dijalankan pada saat bencana benar-benar terjadi.
BAB IV
PENUTUP
A.
Kesimpulan
Kesimpulan yang dapat kita ambil dari
penjelasan-penjelasan yang telah diuraikan diatas adalah :
a. Keamanan sebuah sistem informasi harus
dinomor satukan karena keamanan sebuah sistem yang menjaga informasi akan
memberi rasa aman terhadap informasi yang dimiliki.
b. Dalam hal tanggungjawab keamanan
bukanlah hanya terhadap pemimpin saja melainkan seluruh pihak didalaamnya.
c. Ancaman terhadap keamanan sistem dapat
diatasi apabila dalam pengoperasian keamanan sistem selalu dipantau.
d. Keamanan sebuah sistem haruslah di
prioritaskan agar data dan informasi didalamnya aman dan tidak merugikan pihak
yag bersangkutan apabila data tersebut hilangatau rusak.
B.
Saran
Penyusun menyadari bahwasannya dalam
penyusunan makalah ini masih banyak kekurangan, oleh karena itu kami selaku
penyusun mengharapkan kritik dan saran yang membangun untuk dapat memotivasi
kami dalam pembuatan makalah yang lainnya.
DAFTAR PUSTAKA
Rahardjo,
Budi. (2012). “ Keamanan Sistem Informasi Berbasis Internet”. [Online]. Tersedia
Ibisa. 2011. Keamanan Sistem
Informasi. Yogyakarta: CV Andi Offset
Terima Kasih sangat Membantu
BalasHapus