Diajukan untuk memenuhi salah satu tugas individu Mata
Kuliah Sistem Informasi Akuntansi dengan identitas mahasiswa sebagai berikut :
Nama :
Istifah Rianar
NPM :
113080105
Kelas :
4.D
Prodi :
Pendidikan Ekonomi
Mata Kuliah :
Sistem Informasi Akuntansi (SIA)
Dosen :
Moh. Joharudin, S.Pd. M.Pd
Pertemuan Ke : 5 (Lima)
Hari/Tanggal : Kamis / 15 Desember 2016
Keamanan Sistem Informasi
A.
Kebutuhan
Organisasi Akan Keamanan Dan Pengendalian
Dalam dunia masa kini, banyak organisasi semakin sadar
akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual
maupun fisik agar aman dari ancaman baik dari dalam atau dari luar. Sistem
komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal
ini berubah pada saat perang viaetnam ketika sejumlah instalasi keamanan
komputer dirusak pemrotes. Pengalaman ini menginspirasi kalangan industri untuk
meletakkan penjagaan keamanan yang bertujuan untuk menghilangkan atau
mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi
dengnan kemampuan untuk melanjutkan kegiatan operasional setelah terjadi
gangguan.
Pendekatan-pendekatan yang dimulai di kalangan
industri dicontoh dan diperluas. Ketika pencegahan federal ini
diimplementasikan, dua isu penting harus diatasi yakni keamana versus hak-hak individu
dan keamaan versus ketersediaan.
B.
Keamanan
Informasi
Saat pemerintah dan kalangan industri mulai menyadari
kebutuhan untuk mengamankan sumber daya informasi mereka, perhatian nyaris
terfokus secara eksklusif pada perlindunga peranti keras data maka istilah
keamanan sistem digunakan. Istilah keamanan sistem digunakan untuk mengambarkan
perlindungna baik peralatan komputer dan nonkomputer, fasilitas,data dan
informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
Tujuan
Keamanan Informasi
Keamanan informasi ditujuakn untuk mencapai tiga tujuan utama yakni:
a.
Kerahasiaan. Perusahaan berusaha untuk melindungi data
dan informasinya dari pengungkapan orang-orang yang tidak berwenang.
b.
Ketersediaan. Tujuan dari infrastruktur informasi
perusahaan adalah menyediakan data dan informasi bagi pihak-pihak yang memiliki
wewenang untuk menggunakannya.
c.
Integritas. Semua sistem informasi harus memberikan
representasi akurat atas sistem fisik yang direpresentasikannya.
C.
Manajemen
Keamanan Informasi
Pada bentuknya yang paling dasar, manajemen keamanan
informasi terdiri atas empat tahap yakni:
a. Mengidentifikasi
ancaman yang dapat menyerang sumber daya informasi perusahaan
b. Mendefenisikan
risiko yang dapat disebabkan oleh ancaman-ancaman tersebut
c. Menentukan kebijakan
keamanan informasi
d. Mengimplementasikan
pengendalian untuk mengatasi risiko-risiko tersebut.
Istilah manajemen risiko (risk management) dibuat
untuk menggambarkan pendekatan ini dimana tingkat keamanan sumber daya
informasi perusahaan dibandingkan dengan risiko yang dihadapinya.
Tolak ukur (benchmark) adalah tingkat kinerja yag
disarankan. Tolak ukur keamanan informasi (information security benchmark)
adalah tingkat kemanan yang disarankan yang dalam keadaan normal harus
menawarkan perlindungan yang cukup terhadap gangguan yang tidak
terotorisasi.standar atau tolak ukur semacam ini ditentukan oleh pemerintah dan
asosiasi industri serta mencerminkan komponen-komponen program keamanan
informais yang baik menurut otoritas tersebut.
Ketika perusahaan mengikuti pendekatan ini, yang
disebut kepatuhan terhadap tolak ukur (benchmark compliance) dapat diasumsikan
bahwa pemerintah dan otoritas industri telah melakukan pekerjaan yang baik
dalam mempertimbangkan berbagai ancaman serta risiko dan tolak ukur tersebut
menawarkan perlindungan yang baik.
B.
Ancaman
Ancaman Keamanan Informasi (Information Security Threat) merupakan orang,
organisasi, mekanisme, atauperistiwa yang memiliki potensi untuk membahayakan
sumber daya informasi perusahaan. Pada kenyataannya, ancaman dapat bersifat
internal serta eksternal dan bersifat disengaja dan tidak disengaja.
Ancaman Internal dan Eksternal
Ancaman internal bukan hanya
mencakup karyawan perusahaan, tetapi juga pekerja temporer, konsultan,
kontraktor, bahkan mitra bisnis perusahaan tersebut. Ancaman internal
diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika
dibandingkan denga ancaman eksternal, dikarenakan pengetahuan anccaman internal
yang lebih mendalam akan sistem tersebut. Ancaman eksternal misalnya perusahaan
lain yang memiliki produk yang sama dengan produk perusahaan atau disebut juga
pesaing usaha.
Tindakan Kecelakaan dan disengaja
Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan
tujuan mencelakai. Beberapa merupakan kecelakaan yang disebabkan oelh
orang-orang di dalam ataupun diluar perusahaan. sama halnya
Jenis- Jenis
Ancaman:
Malicious software, atau malware terdiri atas program-program lengkap atau
segmen-segmen kode yang dapat menyerang suatu system dan melakukan fungsi-fungsi
yang tidak diharapkan oleh pemilik system. Fungsi-fungsi tersebut dapat
menghapus file,atau menyebabkan sistem tersebut berhenti. Terdapat beberapa
jensi peranti lunak yang berbahaya, yakni:
a.
Virus. Adalah program komputer yang dapat mereplikasi
dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan
dirinya pada program-program dan boot sector lain
b.
Worm. Program yang tidak dapat mereplikasikan dirinya
sendiri di dalam sistem, tetapi dapat menyebarkan salinannya melalui e-mail
c.
Trojan Horse. Program yang tidak dapat mereplikasi
atau mendistribusikan dirinya sendiri, namun disebarkan sebagai perangkat
d.
Adware. Program yang memunculkan pesan-pesan iklan
yang mengganggu
e.
Spyware. Program yang mengumpulkan data dari mesin
pengguna
C.
Risiko
Risiko Keamanan Informasi (Information Security Risk) didefinisikan sebagai
potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh
Ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak
terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis yaitu:
a.
Pengungkapan Informsi yang tidak terotoritasis dan
pencurian. Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi
orang-orang yang seharusnya tidak memiliki akses, hasilnya adalah hilangnya informasi
atau uang.
b.
Penggunaan yang tidak terotorisasi. Penggunaan yang
tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak
menggunakan sumber daya perusahaan mampu melakukan hal tersebut.
c.
Penghancuran yang tidak terotorisasi dan penolakan
layanan. Seseorang dapat merusak atau menghancurkan peranti keras atau peranti
lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak
berfungsi.
d.
Modifikasi yang terotorisasi. Perubahan dapat
dilakukan pada data, informasi, dan peranti lunak perusahaan yang dapat
berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut
mengambil keputusan yang salah.
D.
Manajemen
Risiko (Management Risk) Dan Kebijakan
Keamanan Informasi
Manajemen Risiko merupakan satu dari dua strategi untuk mencapai keamanan
informasi.Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan
risiko atau mengurangi dampaknya. Pendefenisian risiko terdiri atas empat
langkah :
1.
Identifikasi aset-aset bisnis yang harus dilindungi
dari risiko
2.
Menyadari risikonya
3.
Menentukan tingkatan dampak pada perusahaan jika
risiko benar-benar terjadi
4.
Menganalisis kelemahan perusahaan tersebut
Tabel
Tingkat Dampak dan Kelemahan
|
Dampak Parah
|
Dampak Signifikan
|
Dampak Minor
|
|
|
Kelemahan Tingkat Tinggi
|
Melaksanakan analisis kelemahan. Harus meningkatkan
pengendalian
|
Melaksanakan analisis kelemahan. Harus meningkatkan
pengendalian
|
Analisis kelemahan tidak dibutuhkan
|
|
Kelemahan Tingkat Menengah
|
Melaksanakan analisis kelemahan. Sebaiknya
meningkatkan pengendalian.
|
Melaksanakan analisis kelemahan. Sebaiknya
meningkatkan pengendalian.
|
Analisis kelemahan tidak dibutuhkan
|
|
Kelemahan Tingkat Rendah
|
Melaksanakan analisis kelemahan. Menjaga Pengendalian tetap ketat.
|
Melaksanakan analisis kelemahan. Menjaga Pengendalian tetap ketat.
|
Analisis kelemahan tidak dibutuhkan
|
Tingkat keparahan dampak dapat
diklasifikasikan menjadi:
1.
dampak yang parah (severe impact) yang membuat
perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk
berfungsi
2.
dampak signifikan (significant impact) yang
menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut
tetap selamat
3.
dampak minor (minor impact) yang menyebabkan kerusakan
yang mirip dengan yang terjadi dalam operasional sehari-hari.
Setelah analisis risiko diselesaikan, hasil temuan
sebaiknya didokumentasikan dalam laporan analisis risiko. Isi dari laporan ini
sebaiknya mencakup informasi berikut ini, mengenai tiap-tiap risiko:
1.
diskripsi risiko
2.
sumber risiko
3.
tingginya tingkat risiko
4.
pengendalian yang diterapkan pada risiko tersebut
5.
para pemilik risiko tersebut
6.
tindakan yang direkomendasikan untuk mengatasi risiko
7.
jangka waktu yang direkomendasikan untuk mengatasi
risiko
Jika perusahaan telah mengatasi risiko tersebut,
laporan harus diselesaikan dengan cara menambahkan bagian akhir :
8.
apa yang telah dilaksanakan untuk mengatasi risiko
tersebut
Suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan
program. Perusahaan dapat menerapkan keamanan dengan pendekatan yang bertahap,
diantaranya:
a.
Fase 1, Inisiasi Proyek. Membentuk sebuah tim untuk
mengawas proyek kebijakan keamanan tersebut.
b.
Fase 2, Penyusunan Kebijakan. Berkonsultasi dengan
semua pihak yang berminat dan terpengaruh.
c.
Fase 3, Konsultasi dan persetujuan. Berkonsultasi
dengan manajemen untuk mendapatkan pandangan mengenai berbagai persyaratan
kebijakan.
d.
Fase 4, Kesadaran dan edukasi. Melaksanakan program
pelatihan kesadaran dan edukasi dalam unit-unit organisasi.
e.
Fase 5, Penyebarluasan Kebijakan. Kebijakan ini
disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat
diterapkan.
Kebijakan Keamanan yang Terpisah
dikembangkan untuk
a.
Keamanan Sistem Informasi
b.
Pengendalian Akses Sistem
c.
Keamanan Personel
d.
Keamanan Lingkungan Fisik
e.
Keamanan Komunikasi data
f.
Klasifikasi Informasi
g.
Perencanaan Kelangsungan Usaha
h.
Akuntabilitas Manajemen
Kebijakan terpisah ini diberitahukan kepada karyawan, biasanya dalam bentuk
tulisan, dan melalui program pelatihan dan edukasi. Setelah kebijakan ini
ditetapkan, pengendalian dapat diimplementasikan.
E.
Pengendalian
Pengendalian (control) adalah mekanisme yang diterapkan baik untuk
melindungi perusahaan dari resiko atau untuk meminimalkan dampak resiko
tersebut pada perusahaan jika resiko tersebut terjadi. Engendalian dibagi
menjadi tiga kategori, yaitu :
1.
Pengendalian Teknis
Pengendalian teknis (technical
control) adalah pengendalian yang menjadi satu di dalam
system dan dibuat oleh para penyusun system selam masa siklus penyusunan
system. Didalam pengendalian teknis, jika melibatkan seorang auditor internal
didalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar
pengendalian semacam ini menjadi bagian dari desain system. Kebanyakan
pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.
a.
Pengendalian
Akses
Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang
tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang
yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya
informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup:
·
Identifikasi
pengguna. Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara
memberikan sesuatu yang mereka ketahui,
misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan.
·
Autentifikasi
pengguna. Setelah identifkasi awal telah dilakukan, para pengguna memverikasi hak
akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card
atau tanda tertentu atau chip
identifikasi. Autentifikasi pengguna dapat juga dilaksanakan dengan cara
memberikan sesuatau yang menjadi identitas diri, seperti tanda tangan atau
suara atau pola suara.
·
Otorisasi
pengguna. Setelah pemeriksaan identifikasi dan autentifikasi dilalui, seseorang
kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat
penggunaan tertentu. Sebagai contoh, seorang pengguna dapat mendapatkan
otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi
untuk melakukan perubahan pada file
tersebut.
b.
System Deteksi Gangguan
Logika dasar dari system deteksi gangguan adalah mengenali upaya
pelanggaran keamanan sebelum memiliki
kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang telah
terbukti efektif melawan virus yang terkirim melalui e-mail. Peranti lunak tersebut mengidentifikasi pesan pembawa virus
dan memperingatkan si pengguna.
Contoh deteksi pengganggu yang lain adalah peranti lunak yang ditujukan
untuk mengidentifikasikan calon pengganggu sebelum memiliki kesempatan untuk
membahayakan. Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun sedemikian rupa
sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang di dalam
perusahaan, akses ke dalam data yang sensitive, kemampuan untuk mengubah
komponen peranti keras, jenis aplikasi yang digunakan, file yang dimilki, dan penggunaan protocol jaringan tertentu.
Hasil pembuatan profilan seperti ini, yang beberapa berbentuk kuantitatif,
dapat mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan,
mencurigakan, dan tidak berbahaya.
c.
Firewall
Sumber daya komputer selalu berada dalam resiko jika terhubung ke jaringan.
Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web
perusahaan dengan jaringan internal perusahaan yang berisikan data sensitive
dan system informasi. Cara lain adalah menyediakan kata sandi kepada mitra
dagang yang memungkinkannya memasuki jaringan internal dari Internet.
Pendekatan ketiga adalah membangun dinding pelindung atau firewall. Firewall berfungsi sebagai penyaring dan penghalang yeng membatasi
aliran data ked an dari perusahaan tersebut dan Internet. Konsep dibalik firewall adalah dibuatnya suatu pengaman
untuk semua komputer pada jaringan perusahaan dan bukannya pengaman terpisah
untuk masing-masing computer. Beberapa perusahaan yang menawarkan peranti lunak
antivirus (seperti McAfee di www.mcafee.com dan www.norton.com ) sekarang memberikan peranti lunak firewall tanpa biaya ekstra dengan
pembelian produk antivirus mereka. Ada
tiga jenis firewall, yaitu:
·
Firewall
Penyaring Paket. Router adalah
alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara Internet dan
jaringan internal, maka router dapat berlaku sebagai firewall. Router
dilengkapi dengan table data dan alamat-alamat IP yang menggambarkan kebijakan
penyaringan. Untuk masing-masing transmisi, router
mengakses table-tabelnya dan memungkinkan hanya beberapa jenis pesan dari
beberapa lokasi Internet (alamat IP) untuk lewat. Alamat IP (IP Address) adalah serangkaian empat
angka (masing-masing dari 0 ke 255) yang secara unik mengidentifikasi
masing-masing computer yang terhubung dengan Internet. Salah satu keterbasan router adalah router hanya merupakan titik tunggal keamanan, sehingga jika hacker
dapat melampuinya perusahaan tersebut bisa mendapatkan masalah. “IP spoofing”, yaitu menipu table akses router, adalah dalah satu metode yang
digunakan untuk pembajak untuk menipu router.
·
Firewall
Tingkat Sirkuit. Salah satu peningkatan keamanan dari router adalah firewall tingkat sirkuit yang terpasang antara Internet dan
jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit)
daripada router. Pendekatan ini
memungkinkan tingkat autentifikasi dan penyaringan yang tinggi, jauh lebih
tinggi dibandingkan router. Namun,
keterbatasan dari titik tunggal keamanan tetap berlaku.
·
Firewall
Tingkat Aplikasi. Firewall ini berlokasi antara router dan computer yang menajlankan aplikasi tersebut. Kekuatan
penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan
diautentifikasi sebagai permintaan yang berasal dari jaringan yang diotorisasi
(tingkat sirkuit) dan dari computer yang diotorisasi (penyaringan paket),
aplikasi tersebut dapat memnita informasi autentifikasi yang lebih jauh seperti
menanyakan kata sandi sekunder, mengonfirmasikan identitas, atau bahkan
memeriksa apakah permintaan tersebut berlangsung
selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang paling efektif, firewall
ini cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah
seorang programmer jaringan harus penulis kode program yang spesifik untuk masing-masing
aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus,
dimodifikasi.
d.
Pengendalian Kriptografis
Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari
pengungkapan yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode
yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat
dienkripsi dalam penyimpanan dan juga ditransmisikan kedalam jaringan. Jika
seseorang yang tidak memiliki otorisasi memperoleh akses enkripsi tersebut akan
membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah
kesalahan penggunaan.
Popularitas kriptografis semakin meningkat karena e-commerce, dan produk khusus ditujukan untuk meningkatkan keamanan
e-commerce telah dirancang. Salah
satunya adalah SET (Secure Electronic
Transactions), yang ,melakukan pemeriksaan keamanan menggunakan tanda
tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang dapat
berpartisispasi dalam transaksi e-commerce
– pelanggan, penjual, dan institusi keuangan. Dua tanda tangan biasanya
digunakan menggantikan nomor kartu kredit.
e.
Pengendalian Fisik
Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah
mengunci pintu ruangan computer. Perkembangan seterusnya menghasilkan
kunci-kunci yang lebih canggih yaitu dibuka dengan cetakan telapak tangan dan
cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan
dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara
menempatkan pusat komputernya ditempat terpencil yang jauh dari kota dan jauh
dari wilayah yang sensitive terhadap bencana alam seperti gempa bumi, banjir,
dan badai.
f.
Meletakkan Pengendalian Teknis Pada Tempatnya
Anda dapat melihat dari daftar penjang pengendalian teknis ini (dan tidak
semuanya dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan
informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan.
Perusahaan biasanya memilih dari daftar ini dan menerapkan kombinasi yang dianggap
menawarkan pengaman yang paling realisitis.
2.
Pengendalian
Formal
Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi
prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahanperilaku
yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena
manajemen menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya
dalam bentuk tulisan, dan diharapkan dapat berlaku dalam jangka panjang.
3.
Pengendalian
Informal
Pengendalian informal mencakup program-program pelatihan dan edukasi serta
program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar
para karyawan perusahaan memahami serta mendukung program keamanan tersebut.
Referensi:
Reymond, MC Leod.
2009. Sistem Informasi Manajemen. Salemba Empat
http://megyanggraini.blogspot.com/2013/07/sistem-informasi-manajemen-keamanan.html
http://www.academia.edu/9760290/keamanan_sistem_informasi
http://kumpulanmakalahsim.blogspot.co.id/2014/05/keamanan-informasi.html
Tidak ada komentar:
Posting Komentar