Hello Guys,
My name is Fransiska Lievanie.
This is my Blog. Sorry for not blogging such a long time.
Let's see the next Project guys!
Love you
Kamis, 12 Juli 2018
KEAMANAN INFORMASI
MAKALAH
KEAMANAN INFORMASI
DISUSUN
|
|
|
O
L
E
H
:
|
Nama : Fransiska Lievanie (1609151555)
Sry Haryanti (1609151544)
Sergio Surinato (1609151557)
Lasmaria Panjaitan (1609151562)
Jurusan : M-1 (Akuntansi)
Dosen pembimbing : Lenny Menara Sari Saragih, SE.,M.M
TAHUN AJARAN 2016-2017
KATA PENGANTAR
Puji syukur saya panjatkan kehadirat
Tuhan Yang Maha Esa karena dengan rahmat, karunia, serta hidayah-Nya kami dapat menyelesaikan makalah tentang
Keamanan Informasi ini dengan
baik meskipun banyak kekurangan didalam makalah ini. Dan juga kami berterima
kasih pada Ibu Lenny
Menara Sari Saragih, SE.,M.M dosen mata kuliah Sistem Informasi Managemen yang telah
memberikan tugas makalah ini kepada kami kelompok 6.
Kami sangat berharap makalah ini dapat berguna dalam rangka memahami keamanan informasi yang berkaitan dengan keamanan semua sumber daya informasi, tujuan, ancaman dan pengendalian informasi. Kami juga menyadari sepenuhnya bahwa di dalam makalah ini terdapat kekurangan dan jauh dari kata sempurna. Oleh sebab itu, kami berharap adanya kritik, saran dan usulan demi perbaikan makalah yang telah kami tuliskan di masa yang akan datang, mengingat tidak ada sesuatu yang sempurna tanpa saran dan kritikan yang membangun.
Semoga makalah sederhana ini dapat dipahami bagi siapapun yang membacanya. Sebelumnya, kami mohon maaf apabila terdapat kesalahan kata-kata yang kurang berkenan dan kami memohon kritik dan saran yang membangun dari Anda demi perbaikan makalah ini di waktu yang akan datang.
Kami sangat berharap makalah ini dapat berguna dalam rangka memahami keamanan informasi yang berkaitan dengan keamanan semua sumber daya informasi, tujuan, ancaman dan pengendalian informasi. Kami juga menyadari sepenuhnya bahwa di dalam makalah ini terdapat kekurangan dan jauh dari kata sempurna. Oleh sebab itu, kami berharap adanya kritik, saran dan usulan demi perbaikan makalah yang telah kami tuliskan di masa yang akan datang, mengingat tidak ada sesuatu yang sempurna tanpa saran dan kritikan yang membangun.
Semoga makalah sederhana ini dapat dipahami bagi siapapun yang membacanya. Sebelumnya, kami mohon maaf apabila terdapat kesalahan kata-kata yang kurang berkenan dan kami memohon kritik dan saran yang membangun dari Anda demi perbaikan makalah ini di waktu yang akan datang.
Medan, 09 April 2018
Kelompok 6 (enam)
DAFTAR ISI
KATA
PENGANTAR............................................................................. i
DAFTAR
ISI.......................................................................................... ii
BAB
I PENDAHULUAN…................................................................. 1
1.1 Latar Belakang......................................................................... 1
1.1 Latar Belakang......................................................................... 1
......... 1.2 Rumusan Masalah.................................................................... 2
1.3 Tujuan Makalah........................................................................ 3
1.3 Tujuan Makalah........................................................................ 3
......... 1.4 Manfaat Makalah..................................................................... 4
BAB
II KAJIAN TEORI ...................................................................... 5
......... 2.1 Kebutuhan Organisasi akan
Keamanan dan Pengendalian...... 5
......... 2.2 Keamanan Informasi ............................................................... 6
......... 2.3 Manajemen Keamanan
Informasi............................................ 7
......... 2.4 Ancaman ................................................................................. 9
......... 2.5 Risiko .................................................................................... 12
2.6 Manajemen Risiko.................................................................. 17
2.6 Manajemen Risiko.................................................................. 17
......... 2.7 Kebijakan Keamanan
Informasi............................................. 18
......... 2.8 Pengendalian.......................................................................... 20
......... 2.9 Dukungan Pemerintah dan
Industri....................................... 29
2.10 Manajemen Keberlangsungan Bisnis................................... 35
2.10 Manajemen Keberlangsungan Bisnis................................... 35
BAB
III KASUS (CASE) ................................................................... 39
BAB
IV PEMBAHASAN
KASUS..................................................... 41
BAB
V PENUTUP............................................................................... 46
5.1 Kesimpulan.......................................................................... 46
5.2 Saran.................................................................................... 46
5.1 Kesimpulan.......................................................................... 46
5.2 Saran.................................................................................... 46
DAFTAR
PUSTAKA............................................................................ iii
BAB I
PENDAHULUAN
1.1 Latar Belakang
Semua organisasi memiliki kebutuhan untuk menjaga agar
sumber daya informasi mereka aman. Kalangan industri telah lama menyadari
kebutuhan untuk terjaga keamanan dari para kriminal komputer, dan sekarang
pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara untuk
memerangi terorisme. Ketika organisasi-organisasi ini mengimplementasikan
pengendalian keamanan, isu-isu utama mengenai keamanan versus ketersediaan
serta keamanan versus hak pribadi harus diatasi.
Keamanan informasi ditujukan untuk mendapatkan
kerahasian, ketersediaan, serta integritas pada semua sumber daya informasi
perusahaan-bukan hanya peranti keras dan data. Menajemen keamanan informasi
terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi
(information security management-ISM) dan persiapan-persiapan operasional
setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis
(business continuity managemen-BCM).
Dua pendekatan dapat dilakukan untuk menyusun strategi-strategi
ISM: manajemen resiko dan kepatuhan tolak ukur. Perhatian akan ancaman dan
risiko berhubungan dengan pendekatan manjeman resiko. Ancaman dapat bersifat
internal dan eksternal, tidak disengaja atau disengaja. Risiko dapat mecakup
insiden pengungkapan, penggunaan, dan modifikasi yang tidak diotorisasi serta
pencurian, penghancuran dan penolakan layanan. Ancaman yang paling ditakuti
adalah virus komputer. E-commerce telah menghasilkan risiko tertentu, namun
beberapa respons khusus telah dilakukan oleh organisasi seperti American Epress
dan Visa.
Ada tiga jenis pengendalian yang tersedia. Pengendalian
teknis terdiri atas pembatasan akses, firewall, kriptografi, dan pengendalian
fisik. Pengendalian formal bersifat tertulis dan memiliki harapan hidup jangka
panjang. Pengendalian informal ditujukan untuk menjaga agar para karyawan
perusahaan memahami dan mendukung kebijakan kebijakan keamanan.
Sejumlah pihak pemerintahan telah menentukan standar dan
menetapkan peraturan yang memengaruhi keamanan informasi. Asosiasi-asosiasi
industri juga telah menyediakan berbagai standar dan sertifikasi profesional.
Manajemen keberlangsungan bisnis terdiri atas seperangkat
subrencana untuk (1) menjaga keamanan karyawan, (2) memungkinan keberlangsungan
operasional dengan cara menyediakan fasilitas komputer cadangan, serta (3)
melindungi catatan penting perusahaan. Perusahaan-perusahaan yang ingin
mengembangkan rencana kontijensi baru tidak harus memulai dari awal; beberapa
model berbasis peranti lunak tersedia, seperti halnya garis besar dan paduan
dari pemerintahan.
1.2 Rumusan Masalah
Berdasarkan dari latar belakang tersebut di atas, maka
rumusan masalah pada makalah ini adalah sebagai berikut:
1.
Apa yang dimaksud
dengan kebutuhan organisasi akan keamanan dan pengendalian?
2.
Apa yang dimaksud
dengan keamanan informasi?
3.
Apa yang dimaksud
dengan manajemen keamanan informasi?
4.
Apa yang dimaksud
dengan ancaman?
5.
Apa yang dimaksud
dengan resiko?
6.
Apa yang dimaksud
dengan manajemen risiko?
7.
Apa saja kebijakan
keamanan informasi?
8.
Apa yang dimaksud
dengan pengendalian?
9.
Apa saja dukungan
pemerintah dan industri yang diberikan?
10. Apa yang dimaksud dengan manajemen keberlangsungan
bisnis?
1.3 Tujuan Makalah
Dari
rumusan massalah tersebut dapat menyimpulkan tujuan dari makalah ini, yaitu:
1.
Untuk mengetahui
kebutuhan organisasi akan keamanan dan pengendalian.
2.
Untuk mengetahui
keamanan informasi.
3.
Untuk mengetahui
manajemen keamanan informasi.
4.
Untuk mengetahui
berbagai ancaman.
5.
Untuk mengetahui
berbagai risiko.
6.
Untuk mengetahui
manajemen risiko.
7.
Untuk mengetahui
kebijakan keamanan informasi.
8.
Untuk mengetahui
berbagai pengendalian.
9.
Untuk mengetahui
dukungan pemerintah dan industri.
10. Untuk mengetahui manajemen keberlangsungan bisnis.
1.4 Manfaat Makalah
Menurut Irwandy ( 2013:41), manfaat penelitian adalah aplikasi
hasil penelitian, baik bagi lembaga-lembaga tertentu atau pun masyarakat. Oleh
sebab itu dalam pendahuluan perlu dijelaskan manfaat apa yang dapat diambil
dari hasil penelitian yang dilakukan.
Manfaat penelitian sendiri yaitu untuk menyelidiki keadaan
, alasan maupun konsekuensi terhadap keadaan tertentu. Keadaan tersebut dapat
dikontrol dengan melalui eksperimen maupun berdasarkan observasi. Sebab
penelitian berperan penting untuk memberikan fondasi atas tindak dan juga
keputusan dalam semua aspek.
Manfaat atau Kegunaan hasil
penelitian dapat diklasifikasikan menjadi manfaat teoritis dan manfaat praktis.
Manfaat teoritis artinya hasil penelitian bermanfaat untuk pengembangan ilmu
pengetahuan yang berkaitan dengan obyek penelitian. Manfaat praktis bermanfaat
bagi berbagai pihak yang memerlukannya untuk memperbaiki kinerja, terutama bagi
sekolah, guru, dan siswa serta seseorang untuk melakukan penelitian lebih
lanjut.
1. Pengembangan Ilmu Pengetahuan
Hasil penelitian ini dapat memberi sumbangan yang sangat
berharga pada perkembangan ilmu pendidikan, terutama pada penerapan model-model
pembelajaran untuk meningkatkan hasil proses pembelajaran dan hasil belajar di
kelas.
2. Bagi Kampus
Sebagai bahan masukan bagi kampus untuk memperbaiki praktik-praktik
pembelajaran dosen agar menjadi lebih efektif dan efisien sehingga kualitas
pembelajaran dan hasil belajar mahasiswa-mahasiswi meningkat.
3. Bagi Mahasiswa/Mahasiswi
Meningkatkan hasil belajar dan solidaritas
mahasiswa-mahasiswi untuk menemukan pengetahuan dan mengembangkan wawasan,
meningkatkan kemampuan menganalisis suatu masalah melalui pembelajaran dengan
model pembelajaran inovatif.
4. Bagi Dosen atau Calon Peneliti
Sebagai sumber informasi dan referensi dalam pengembangan
penelitian tindakan kelas dan menumbuhkan budaya meneliti agar terjadi inovasi
pembelajaran.
5. Bagi Peneliti
Sebagai sarana belajar untuk mengintegrasikan pengetahuan
dan keterampilan dengan terjun langsung sehingga dapat melihat, merasakan, dan
menghayati apakah praktik-praktik pembelajaran yang dilakukan selama ini sudah
efektif dan efisien.
BAB II
KAJIAN TEORI
2.1 Kebutuhan Organisasi Akan Keamanan dan Pengendalian
Dalam dunia masa kini, banyak
organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka,
baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan
luar. Sistem komputer yang pertama hanya memiliki sedikit perlindungan
keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah
instalasi komputer dirusak oleh para pemrotes. Pengalaman ini menginspirasi
kalangan industri untuk meletakkan penjagaan keamanan yang bertujuan untuk
menghilangkan atau mengurangi kemungkinan kerusakan atau penghancuran serta
menyediakan organisasi dengan kemampuan untuk melanjutkan kegiatan operasional
setelah menjadi gangguan.
Pemerintah federal
Amerika Serikat sekarang menerapkan pencegahan dan pengendalian yang serupa,
melalui otoritas Patriot Act (Undang-Undang Patriot) dan Office of Homeland
Security (Dinas Keamanan Dalam Negeri). Pendekatan-pendekatan yang dimulai oleh
kalangan industri dicontoh dan diperluas. Ketika pencegahan federal ini
diimpletasikan, dua isu penting harus diatasi. Isu yang pertama adalah keamanan
versus hak-hak individu. Tantangannya adalah bagaimana mengimplementasikan
keamanan yang cukup serta alat-alat pengendalian yang tidak melanggar hak
individu yang dijamin oleh konstitusi. Isu yang kedua adalah keamanan versus
ketersediaan. Isu ini amat menonjol pada bidang pelayanan medis, dimana
kekhawatiran akan privasi catatan medis individu menjadi pusat perhatian.
Keamanan catatan medis saat ini sedang diperluas sehingga melibatkan microchip
yang ditanamkan pada pasien, selain data medis yang disimpan di komputer.
Isu-isu keamanan
amat sulit untuk dipecahkan dan akan mendapatkan perhatikan yang lebih tinggi
di masa yang akan datang.
2.2 Keamanan Informasi
Saat pemerintah dan
kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya
informasi mereka, perhatikan nyaris terfokus secara eksklusif pada perlindungan
piranti keras dan data, maka istilah keamanan sistem (system security) pun
digunakan. Fokus sempit ini kemudian diperluas sehingga mencakup bukan hanya
piranti keras dan data, namun juga piranti lunak, fasilitas komputer, dan
personel. Kini, cakupannya telah meluas hingga mencakup semua jenis data- bukan
hanya data di dalam komputer. Istilah keamanan informasi (information security)
digunakan untuk mendeskripsikan perlindungan baik peralatan komputer, dan non
komputer, fasilitas, data, dan informasi dari penyalahgunaan pihal-pihak yang
tidak berwenang. Definisi yang luas ini mencakup peralatan seperti mesin
fotokopi dan mesin faks serta semua jenis media, termasuk dokumen kertas.
·
Tujuan Keamanan
Informasi
Keamanan informasi ditujukan untuk
mencapai tiga tujuan utama: kerahasiaan, ketersediaan, dan integritas.
·
Kerahasiaan
Perusahaan
berusaha untuk melindungi data dan informasinya dari pengungkapan kepada
orang-orang yang tidak berwenang. Sistem informasi eksekutif, sistem informasi
sumber daya manusia, dan sistem pemrosesan transaksi seperti penggajian,
piutang dagang, pembelian, dan utang dagang amat penting dalam hal ini.
·
Ketersediaan
Tujuan dari
infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia
bagi pihak-pihak yang memilki wewenang untuk menggunakannya. Tujuan ini
penting, khusunya bagi sistem berorientasi informasi seperti sistem informasi
sumber daya manusia dan sistem informasi eksekutif.
·
Integritas
Semua sistem
informasi harus memberikan representasi akurat atas sistem fisik dan
direpresentasikannya.
2.3 Manajemen
Keamanan Informasi
CIO adalah orang yang tepat untuk
memikul tanggung jawab atas keamanan informasi, namun kebanyakan organisasi
mulai menunjuk orang-orang tertentu yang dapat mencurahkan perhatian penuh
terhadap aktivitas ini. Jabatan direktur
keamanan sistem informasi perusahaan (corporate information system security
officer–CISSO) digunakan untuk individu di dalam organisasi, biasanya
anggota dari unit sistem informasi, yang bertanggung jawab atas keamanan sistem
informasi perusahaan tersebut. Namun saat ini, perubahan sedang dibuat untuk
mencapai tingkat informasi yang lebih tinggi lagi di dalam suatu perusahaan
dengan cara menunjuk seorang direktur
assurance informasi perusahaan (corporate information assurance officer – CIAO)
yang akan melapor kepada CEO dan mengelola unit penjagaan informasi.
Seperti yang diharapkan, seorang CIAO harus mendapatkan serangkaian sertifikasi
keamanan dan memiliki pengalaman minimum 10 tahun dalam mengelola suatu fasilitas
keamanan informasi.
v MANAJEMEN
KEAMANAN INFORMASI
Pada bentuknya yang paling dasar,
manajemen keamanan informasi terdiri atas empat tahap: mengidentifikasi ancaman yang dapat menyerang sumber daya
informasi perusahaan; mengidentifikasi risiko
yang dapat disebabkan oleh ancaman-ancaman tersebut; menentukan kebijakan keamanan informasi; serta
mengimplementasikan pengendalian untuk
mengatasi risiko-risko tersebut. Ancaman menghasilkan risiko, yang harus
dikendalikan. Istilah manajemen risiko
(risk management) dibuat untuk menggambarkan pendekatan ini dimanan tingkat
keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang
dihadapinya.
Terdapat pilihan lain untuk
merumuskan kebijakan keamanan informasi suatu perusahaan. Pilihan ini telah
menjadi popular pada beberapa tahun belakangan ini dengan munculnya standar
atau tolok ukur keamanan informasi. Tolok ukur (benchmark) adalah tingkat
kinerja yang disarankan. Tolok ukur
keamanan informasi (information security benchmark) adalah tingkat keamanan
yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang
cukup terhadap gangguan yang tidak terotorisasi. Standar dan tolok ukur semacam
ini ditentukan oleh pemerintah dan asosiasi industry serta mencerminkan
komponen-komponen program keamanan informasi yang baik menurut
otoritas-otoritas tersebut. Ketika perusahaan mengikuti pendekatan ini, yang
disebut kepatuhan terhadap tolok ukur
(benchmark compliance), dapat diasumsikan bahwa pemerintah dan otoritas
industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai
ancaman serta risiko dan tolok ukur tersebut menawararkan perlindugan yang
baik.
2.4 Ancaman
Ancaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang
memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Ketika
kita membayangkan ancaman keamanan informasi, adalah sesuatu yang dialami jika
kita membayangkan beberapa kelompok atau beberapa orang di luar perusahaan
tersebut yang melakukan tindakan yang disengaja. Pada kenyataannya, ancaman
dapat bersifat internal serta eksternal, dan dapat bersifat tidak disengaja
maupun disengaja.
a.
Ancaman Internal dan Eksternal
Ancaman
internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja
temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut.
Survei yang dilakukan oleh Computer Security Institute menemukan bahwa 49
persen responden menghadapi insiden keamanan yang disebabkan oleh tindakan para
pengguna yang sah; proporsi kejahatan komputer yang dilakukan oleh karyawan
diperkirakan mencapai 81 persen. Ancaman internal diperkirakan menghasilkan
kerusakan yang secara potensi lebih serius jika dibandingkan dengan ancaman
eksternal, dikarenakan pegetahuan ancaman internal yang lebih mendalam akan
sistem tersebut.
b.
Tindakan Kecelakaan dan Disengaja
Tidak
semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan
mencelakai. Beberapa merupakan kecelakaan, yang disebabkan oleh orang-orang di
dalam ataupun di luar perusahaan. Sama halnya di mana keamanan informasi harus
ditujukan untuk mencegah ancaman yang disengaja, sistem keamanan juga harus
mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan
kecelakaan.
c.
Jenis Ancaman
Semua
orang pernah mendengar mengenai virus komputer. Sebenarnya, virus hanyalah
salah satu contoh jenis piranti lunak yang menyandang nama peranti lunak yang berbahaya (malicious software). Malicious software atau malware terdiri atas program-program
lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan
fungsi-fungsi yang tidak diharapkan oleh pemilik sistem. Fungsi-fungsi tersebut
dapat menghapus file atau menyebabkan sistem tersebut berhenti. Terdapat
beberapa jenis peranti lunak yang berbahaya; selain virus, terdapat pula worm, trojan horse, adware, dan spyware.
|
Program antispyware sering kali menyerang cookies, yaitu file teks kecil
yang diletakkan perusahaan di hard drive pelanggan untuk mencatat minat belanja
pelanggan mereka. Menghapus cookies menggunakan program antispyware menciptakan
kekhawatiran di kalangan beberapa pemasar. Solusi yang paling efektif yang
memungkinkan adalah menghalangi antispyware untuk menghapus cookies pihak
pertama yang disimpan perusahaan untuk para pelanggannya, tapi hanya menghapus
cookies pihak ketiga yang diletakkan oleh perusahaan lain.
2.5 Risiko
Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak
diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi.
Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti
ini dibagi menjadi empat jenis: pengungkapan informasi yang tidak terotorisasi dan
pencurian, penggunaan yang tidak terotorisasi, penghancuran yang tidak
terotorisasi dan penolakan layanan, serta modifikasi yang tidak terotorisasi.
a.
Pengungkapan Informasi yang Tidak Terotorisasi dan
Pencurian
Ketika
suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang
seharusnya tidak berhak memiliki akses, hasilnya adalah hilangnya informasi
atau uang. Sebagai contoh mata-mata industri dapat
memperoleh
informasi mengenai kompetisi yang berharga, dan kriminal komputer dapat
menyelundupkan dana perushaan.
b.
Penggunaan yang Tidak Terotorisasi
Penggunaan
yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak
menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh
kejahatan komputer tipe ini adalah hacker yang memandang keamanan informasi
sebagiaa suatu tantangan yang harus diatasi. Hacker, misalnya dapat memasuki
jaringan komputer sebuah perusahaan, mendapatkan akses ke dalam sistem telepon,
dan melakukan sambungan telepon jarak jauh tanpa otorisasi.
c.
Penghancuran yang Tidak Terotorisasi dan Penolakan
Layanan
Seseorang
dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga
menyebabkan operasional komputer perusahaan tersebut tidak berfungsi. Dalam hal
ini penjahat komputer bahkan tidak harus berada di lokasi fisik tersebut.
Mereka dapat memasuki jaringan komputer perusahaan dan menggunakan sumber daya
perusahaan (seperti e-mail) hingga tingkatan tertentu sehingga operasional
bisnis normal tidak berlangsung.
d.
Modifikasi yang tidak terotorisasi
Perubahan
dapat dilakukan pada data, informasi, dan peranti lunak perusahaan. Beberapa
perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output
sistem tersebut mengambil keputusan yang salah. Salah satu contoh adalah
perubahan nilai pada catatan akademis seorang siswa.
e.
Persoalan E-COMMERCE
E-commerce
(perdagangan elektronik) telah memperkenalkan suatu permasalahan keamanan baru.
Masalah ini bukanlah perlindungan data, informasi, dan piranti lunak, tapi
perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang dilakukan
oleh Garther Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk
para peritel e-commerce dibandingkan dengan para pedagang yang berurusan dengan
pelanggan mereka secara langsung. Untuk mengatasi masalah ini,
perusahaan-perusahaan kartu kredit yang utama telah mengimplementasikan program
yang ditujukan secara khusus untuk keamanan kartu kredit e-commerce.
f.
Kartu Kredit “Sekali Pakai”
Pada
September 2000, American Express mengumumkan sebuah kartu kredit “sekali
pakai”-tindakan yang ditujukan bagi 60 hingga 70 persen konsumen yang
mengkhawatirkan pemalsuan kartu kredit dari pengunaan internet. Kartu sekali
pakai ini bekerja dengan cara berikut: Saat pemegang kartu ingin membeli
sesuatu secara online, ia akan memperoleh angka yang acak dari situs Web
perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit
pelanggan tersebut, yang diberikan kepada pedagang e-commerce, yang kemudian
melaporkannya ke perusahaan kartu kredit untuk pembayaran.
Meskipun
memelopori kartu sekali pakai ini, American Express kemudian tidak
melanjutkannya. Meskipun demikian, perusahaan kartu kredit lain telah mengikuti
sistem kartu sekali pakai ini. Discover menawarkan kartu Deskshop Virtual
Credit yang memberikan para pembelinya kemampuan untuk melakukan pembelian
berulang kali dari situs Web yang sama. Citibank menawarkan Virtual Account
Numbers, dan MBNA memiliki program yang disebut ShopSafe.
g.
Praktik
Keamanan yang Diwajibkan oleh Visa
Pada
waktu yang bersamaan dengan pengumuman peluncuran kartu sekali pakai American
Express Visa mengumumkan 10 praktik terkait keamanan yang diharapkan perusahaan
ini untuk diikuti oleh para peritelnya. Peritel yang memilih untuk tidak mengikuti
pratik ini akan menghadapi denda, kehilangan keanggotaan dalam program Visa,
atau pembatasan penjualan dengan Visa. Peritel harus:
1.
Memasang dan
memelihara firewall.
2.
Memperbaharui
keamanan.
3.
Melakukan enkripsi
pada data yang disimpan.
4.
Melakukan enkripsi
pada data yang dikirimkan.
5.
Menggunakan dan
memperbaharui peranti lunak antivirus.
6.
Membatasi akses
data kepada orang-orang yang ingin tahu.
7.
Memberikan ID unik
kepada setiap orang yang memiliki kemudahan mengakses data.
8.
Memantau akses data
dengan ID unik.
9.
Tidak menggunakan
kata sandi default yang disediakan oleh vendor.
10. Secara teratur menguji sistem keamanan.
Firewall dan enkripsi akan dibahasa lebih lanjut dalam
bab ini.
Selain itu, Visa
mengidentifikasi tiga praktik umum yang harus diikuti oleh peritel dalam
mendapatkan keamanan informasi untuk semua aktivitas, bukan hanya yang
berhubungan dengan e-commerce.
1.
Menyaring karyawan
yang memiliki akses terhadap data.
2.
Tidak meninggalkan
data (disket, kertas, dan lain-lain) atau komputer dalam keadaan tidak aman.
3.
Menghancurkan data
jika tidak dibutuhkan lagi.
Pratik-praktik
keamanan yang diwajibkan ini telah ditingkatkan lagi melalui Program Pengamanan
Informasi Pemegang Kartu (Cardholder Information Security Program-CISP). CISP
Ditujukan pada peritel; dengan tujuan untuk menjaga data pemegang kartu. Tujuan
ini dicapai melalui penempatan pembatasan-pembatasan pada peritel mengenai data
yang dapat disimpan setelah Visa menyetujui suatu transaksi. Satu-satunya data
yang dapat disimpan adalah nomor rekening pemegang kartu serta nama dan tanggal
kadarluwarsa kartu tersebut.
Semua tindakan yang
diambil perusahaan kartu kredit ini ditujukan untuk menciptakan lingkungan yang
aman bagi konsumen untuk berbelanja secara online.
2.6 Manajemen Risiko
Sebelumnya,
manajemen risiko diidentifikasi sebagai satu dari dua strategi untuk mencapai
keamanan informasi. Risiko dapat dikelola dengan cara mengendalikan atau
menghilangkan risiko atau mengurangi dampaknya. Pendifinisian risiko terdiri
atas empat langkah:
1.
Identifikasi
aset-aset bisnis yang harus dilindungi dari risiko
2.
Menyadari risikonya
3.
Menentukan
tingkatan dampak pada perusahaan jika risiko benar-benar terjadi.
4.
Menganalisis
kelemahan perusahaan tersebut.
Pendekatan yang sistematis dapat dilakukan pada langkah 3
dan 4 menentukan dampak dan menganalisis kelemahan.
Tingkat
keparahan dampak dapat diklasifikasikan menjadi dampak yang parah (severe
impact), membuat perusahaan bangkrut atau sangat membatasi kemampuan
perusahaan tersebut untuk berfungsi; dampak signifikan (significant impact), menyebabkan kerusakan dan biaya yang
signifikan, tetapi perusahaan tersebut akan selamat; atau dampak minor (minor
impact), menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional
sehari-hari. Baik untuk risiko parah maupun signifikan, analisis kelemahan
harus dilaksanakan. Ketika analisis tersebut mengindikasikan kelemahan tingkat
tinggi (terdapat kelemahan substansial di dalam sistem), maka pengendalian
harus diimplementasikan untuk mengeliminasi atau mengurangi kelemahan tersebut.
Jika kelemahan itu bersifat menengah (terdapat beberapa kelemahan), maka
pengendalian sebaiknya diimplementasikan. Jika kelemahan bersifat rendah
(sistem tersebut terkonstruksi dengan baik dan beroperasi dengan benar), pengendalian
yang ada harus tetap dijaga.
Setelah
analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam
laporan analisi risiko. Isi dari laporan ini sebaiknya mencakup informasi
berikut ini, mengenai tiap-tiap risiko:
1.
Deskripsi risiko
2.
Sumber risiko
3.
Tingginya tingkat
risiko
4.
Pengendalian yang
diterapkan pada risiko tersebut
5.
(Para) pemilik
risiko tersebut
6.
Tindakan yang
direkomendasikan untuk mengatasi risiko
7.
Jangka waktu yang
direkomendasikan untuk mengatasi risiko
Jika perusahaan telah mengatasi risiko tersebut, laporan
harus diselesaikan dengan cara menambahkan bagian akhir.
8.
Apa yang telah
dilaksanakan utnuk mengatasi risiko tersebut
2.7 Kebijakan Keamanan Informasi
Dengan
mengabaikan bahwa apakah perusahaan mengikuti strategi manajemen risiko atau
kepatuhan terhadap tolok ukur maupun tidak, suatu kebijakan keamanan harus
diterapkan untuk mengarahkan keseluruhan program. Perusahaan dapat menerapkan
kebijakan keamanannya dengan mengikuti pendekatan yang bertahap.
Mengilustrasikan lima fase implementasi kebijakan keamanan.
·
Fase 1 – Insiasi
proyek.
Tim
yang menyusun kebijakan keamanan dibentuk. Jika komite pengawas MIS perusahaan
tidak dapat melaksanakan tanggung jawab untuk mengawasi proyek kebijakan
keamanan tersebut, suatu komite pengawas khusus dapat dibentuk. Jika komite
khusus telah terbentuk, komite tersebut akan mencakup manajer dari
wilayah-wilayah dimana kebijakan tersebut akan diterapkan.
·
Fase 2 – Penyusunan
kebijakan.
Tim
proyek berkonsultasi dengan manajemen untuk memberitahukan temuannya sampai
saat itu, serta untuk mendapatkan pandangan mengenai berbagai persyaratan
kebijakan.
·
Fase 3 – Konsultasi
dan persetujuan.
Tim
proyek berkonsultasi dengan manajemen untuk memberitahukan temuannya sampai
saat itu, serta untuk mendapatkan pandangan mengenai berbagai persyaratan
kebijakan.
·
Fase 4 – Kesadaran
dan edukasi.
Program
pelatihan kesadaran dan edukasi kebijakan dilaksanakan dalam unit-unit
organisasi. Peserta pelatihan dapat terdiri atass anggota proyek, perwakilan
internal lain seperti orang-orang dari TI dan SDM, atau konsultan luar. Ini
merupakan salah satu contoh manajemen pegetahuan. Manajemen meletakkan program
formal pada tempatnya untuk meningkatkan pegetahuan keamanan karyawan yang
tepat.
·
Fase 5 –
Penyebarluasan kebijakan.
Kebijakan
keamanan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut
dapat diterapkan. Idealnya, para manajer unit melaksanakan pertemuan dengan
karyawan untuk menyakinkan bahwa mereka memahami kebijakan tersebut dan
berkomitmen untuk mengikutinya.
Kebijakan terpisah dikembangkan untuk:
1.
Keamanan sistem
informasi
2.
Pengendalian akses
sistem
3.
Keamanan ponsel
4.
Keamanan lingkungan
dan fisik
5.
Keamanan komunikasi
data
6.
Klasifikasi
informasi
7.
Perencanaan
kelangsungan usaha
8.
Akuntabilitas
manajemen
Kebijakan ini diberitahukan kepada karyawan, sebaiknya
dalam bentuk tulisan, dan melalui program pelatihan dan edukasi. Setelah
kebijakan ini ditetapkan, pengendalian dapat diimplementasikan.
2.8 Pengendalian
Pengendalian
(control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan
dari risiko atau untuk meminimalkan dampak risiko tersebut pada perusahaan jika
risiko tersebut terjadi. Pengendalian dibagi menjadi tiga kategori: teknis,
formal dan informal.
a.
Pengendalian Teknis
Pengendalian
teknis (technical control) adalah pengendalian yang menjadi satu di dalam
sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan
sistem. Melibatkan seorang auditor internal di dalam tim proyek merupakan satu
cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian
dari desain sistem. Kebanyakan pengendalian keamanan dibuat berdasarkan
teknologi piranti keras dan lunak. Yang paling populer akan dijelaskan pada
bagian berikut.
b.
Pengendalian Akses
Dasar
untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak
diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang yang
tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya
informasi, maka pengrusakan tidak dapat dilakukan.
Pengendalian
akses dilakukan melalui proses tiga tahap yang mencakup identifikasi pengguna,
autentikasi penggun, dan otorisasi pengguna. Penggabungkan langkah-langkah ini
menjadi sistem keamanan.
1.
Identifikasi
pengguna.
Para
pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan
sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula
mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan
2.
Otentikasi
pengguna.
Setelah
identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan
cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda
tertentu atau chip identifikasi. Autentikasi pengguna dapat juga dilaksanakan
dengan cara memberikan sesuatu yang menjadi identitas diri, seperti tanda
tangan atau suara atau pola suara.
3.
Otorisasi pengguna.
Setelah
pemeriksaan identifikasi dan autentikasi dilalui, seseorang kemudian dapat
mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu.
Sebagai contoh, seseorang pengguna dapat mendapatkan otorisasi hanya untuk
membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja
memiliki otorisasi untuk melakukan perubahan pada file tersebut.
Identifikasi dan autentikasi memanfaatkan profil pengguna
(user profile), atau deskripsi pengguna yang terotorisasi. Otorisasi
memanfaatkan file pengendalian akses (access control file) yang menentukan
tingkat akses yang tersedia bagi tiap pengguna.
Setelah para pengguna memenuhi syarat tiga fungsi
pengendalian akses, mereka dapat menggunakan sumber daya informasi yang
terdapat di dalam batasan file pengendalian akses. Pencatatan audit yang
berbasis komputer terus dilakukan pada semua aktivitas pengendalian akses,
seperti tanggal dan waktu serta identifikasi terminal, dan digunakan untuk
mempersiapkan laporan keuangan.
Sistem Deteksi Gangguan
Logika dasar dari sistem deteksi gangguan adalah
mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk
melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi
virus (virus protection software) yang telah terbukti efektif melawan virus
yang terkirim melalui e-mail. Piranti lunak tersebut mengidentifikasi pesan
pembawa virus dan mempengaruhi si pengguna.
|
Firewall
Sumber daya komputer selalu berada
dalam risiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah
secara fisik memisahkan situs Web perusahaan dengan jaringan internal
perusahaan yang berisikan data sensitif dan sistem informasi. Cara lain adalah
menyediakan kata sandi kepada mitra dagang yang memungkinkannya memasuki
jaringan internal dari internet. Pendekatan ketiga adalah membangun dinding
pelindung, atau firewall.
Firewall berfungsi sebagai peyaring
dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan
internet. Konsep di balik firewall adalah dibuatnya suatu pengaman untuk semua
komputer pada jaringan perusahaan dan bukannya pengaman terpisah untuk
masing-masing komputer. Beberapa perusahaan yang menawarkan peranti lunak
antivirus (seperti McAfee di WWW.MCAFEE.COM
dan WWW.NORTON.COM)
sekarang memberikan peranti lunak firewall tanpa biaya ekstra dengan pembelian
produk antivirus mereka.
Tiga jenis firewall adalah
penyaring paket, tingkat sirkuit, dan tingkat aplikasi.
a. Firewall
Penyaring Paket
Router adalah alat jaringan yang
mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara
internet dan jaringan internal, router tersebut dapat berlaku sebagai firewall.
Router itu dilengkapi dengan table dan alamat-alamat IP yang menggambarkan
kebijakan penyaringan. Untuk masing-masing transmisi, router mengakses
tabel-tabelnya dan memungkinkan bahwa beberapa jenis pesan dari beberapa lokasi
internet (alamat IP) untuk lewat. Alamat IP (IP address) adalah serangkaian
empat angka (masing-masing dari 0 ke 255) yang acara unik mengidentifikasi
masing-masing komputer yang terhubung dengan internet. Salah satu keterbatasan
router adalah router hanya merupakan titik tunggal keamanan, sehingga jika
hacker dapat melampauinya perusahaan tersebut bisa, mendapatkan masalah “IP
spoofing,” yaitu menipu tabel akses router, adalah salah satu metode yang
digunakan pembajak untuk menipu router.
b. Firewall
Tingkat Sirkuit
Salah satu peningkatan keamanan
dari router adalah firewall tingkat sirkuit yang terpasang antara internet dan
jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit) kepada
router. Pendekatan ini memungkinkan tingkat otentikasi dan penyaringan yang
tinggi, jauh lebih tinggi dibandingkan router. Namun, keterbatasan dari titik
tunggal keamanan tetap berlaku.
c. Firewall
Tingkat Aplikasi
Firewall ini berlokasi antara
router dan komputer yang menjalankan aplikasi tersebut. Kekuatan penuh
pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan diotentikasi
sebagai permintaan yang berasal dari jaringan yang diotorisasi (tingkat sirkuit)
dan dari komputer yang diotorisasi (penyaringan paket), aplikasi tersebut dapat
meminta informasi otentikasi yang lebih jauh seperti menanyakan kata sandi
sekunder, menginformasikan identitas, atau bahkan memeriksa apakah permintaan
tersebut berlangsung selama jam-jam kerja biasa. Meskipun merupakan jenis
firewall yang paling efektif, firewall jenis ini cenderung untuk mengurangi
akses ke sumber daya. Masalah lain adalah seorang programer jaringan harus
menulis kode program yang spesifik untuk masing-masing aplikasi dan mengubah
kode tersebut ketika aplikasi ditambahkan, dihapus, atau di modifikasi.
c. Pengendalian
Kriptografis
Data dan informasi yang tersimpan
dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi
dengan kriptografis, yaitu penggunaan kode yang menggunakan proses-proses
matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan
juga di transmisikan ke dalam jaringan. Jika seseorang yang tidak memiliki
otorisasi memperoleh akses, enkripsi tersebut akan membuat data dan informasi
yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.
Popularitas kriptografi semakin
meningkat karena e-commerce, dan produk khusus yang ditujukan untuk
meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah SET
(Secure Electronic Transactions), yang melakukan pemeriksaan keamanan
menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada
orang-orang yang dapat berpartisipasi dalam transaksi e-commerce pelanggan,
penjual, dan institusi keuangan. Dua tanda tangan biasanya digunakan
menggantikan nomor kartu kredit.
Perhatian yang cukup besar
akhir-akhir ini ditujukan pada enkripsi yang dilakukan pemerintah, yang
mengkhawatirkan pengodean tersebut dapat digunakan untuk menutupi aktivitas
kriminal dan terorisme. Beberapa pembatasan telah dikenakan pada penggunaan
enkripsi. Saat ini, tidak terdapat pembatasan untuk impor peranti lunak
enkripsi dari negara-negara asing, namun terdapat pembatasan pada ekspornya.
Departemen Perdagangan Amerika Serikat menangani kebijakan Amerika Serikat dan
melarang ekspor teknologi enkripsi ke Kuba, Iran, Irak, Libia, Korea Utara,
Sudan, dan Suriah. Berbagai organisasi dan negara yang membela hak individu
untuk menggunakan enkripsi menolak pembatasan.
Dengan meningkatnya popularitas
e-commerce dan perkembangan teknologi enkripsi yang berkelanjutan, penggunannya
diharapkan untuk meningkat di dalam batasan peraturan pemerintah.
d.
Pengendalian Fisik
Peringatan pertama
terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
komputer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih
yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera
pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian
fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya di
tempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitif
terhadap bencana alam seperti gempa bumi, banjir dan badai.
·
Meletakkan Pengendalian
Teknis pada Tempatnya
Anda dapat melihat
dari daftar panjang pengendalian teknis ini (dan tidak semuanya dicantumkan),
bahwa teknologi telah banyak digunakan untuk mengamankan informasi.
Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Perusahaan
biasanya memilih dari daftar ini dan menerapkan kombinasi yang dianggap
menawarkan pengaman yang paling realistis.
e.
Pengendalian Formal
Pengendalian formal
mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang
diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan
yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan
banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan
diharapkan untuk berlaku dalam jangka panjang.
Terdapat
persetujuan universal bahwa supaya pengendalian formal efektif, maka manajemen
puncak harus berpartisipasi secara aktif dalam menentukan dan memberlakukannya.
f.
Pengendalian
Informal
Pengendalian
informal mencakup program-program pelatihan dan edukasi serta program
pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para
karyawan perusahaan memahami serta mendukung program keamanan tersebut.
·
Mencapai Tingkat
Pengendalian Yang Tepat
Ketiga jenis
pengendalian – teknis, formal, dan informal – mengharuskan biaya. Karena
bukanlah merupakan praktik bisnis yang baik untuk menghabiskan lebih banyak
uang pada pengendalian dibandingkan biaya yang diharapkan dari risiko yang akan
terjadi, maka pengendalian harus ditetapkan pada tingkatan yang sesuai. Dengan
demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya
versus keuntungan, tapi dalam beberapa industri terdapat pula
pertimbangan-pertimbangan lain. Misalnya, dalam dunia perbankan, ketika
melakukan manajemen risiko untuk ATM, pengendalian harus membuat sistem aman
tanpa mengurangi kenyamanan pelanggan. Selain itu, dalam pelayanan kesehatan,
pertanyaan-pertanyaan mengenai kesehatan pasien dan hak untuk mendapatkan privasi
harus dipertimbangkan. Sistem tersebut harus tidak dibuat terlalu aman sehingga
mengurangi jumlah informasi pasien yang tersedia bagi rumah sakit dan dokter
yang bertanggung jawab atas kesehatan pasien.
2.9 Dukungan Pemerintah dan Industri
Beberapa organisasi
pemerintahan dan international telah menentukan standar-standar yang ditujukan
untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan
informasi. Beberapa standar ini berbentuk tolok ukur, yang telah diidentifikasi
sebelumnya sebagai penyedia strategi alternatif untuk manajemen risiko.
Beberapa pihak penentu standar menggunakan istilah baseline (dasar) dan
bukannya benchmark (tolok ukur). Organisasi tidak diwajibkan mengikuti standar
ini. Namun standar ini ditujukan untuk memberikan bantuan kepada perusahaan
dalam menentukan tingkat target keamanan. Berikut ini adalah beberapa
contohnya:
·
BS7799 milik
Inggris,
Standar Inggris
menetukan satu set pengendalian dasar. Standar ini pertama kali dipublikasikan
oleh Bristish Standars Institute pada tahun 1995, kemudian dipublikasikan oleh
International Standars Organization sebagai ISO 17799 pada tahun 2000, dan
dibuat tersedia bagi para pengadopsi potensial secara online pada tahun 2003
·
BSI IT Baseline
Protection Manual
Pendekatan baseline
ini juga diikuti oleh German Bundesamt Fur Sicherheit in der
Informationstechnik (BSI). Baseline ini ditunjukan untuk memberikan keamanan
yang cukup jika yang menjadi tujuan adalah kebutuhan proteksi normal. Baseline
dapat juga digunakan sebagai landasan perlindungan dengan kadar yang lebih
tinggi jika dibutuhkan.
·
COBIT
COBIT, dari
Information System Audit and Control Association & Foundation (ISACAF),
berfokus pada proses yang dapat diikuti perusahaan dalam menyusun standar,
dengan berfokus pada penulisan dan pemeliharaan dokumentasi.
·
GASSP (Generally
Accepted System Security Princples (GASSP)
Adalah produk dari
dewan riset nasional Amerika Serikat. Penekanannya adalah pada alasan penentuan
kebijakan keamanan.
·
ISF (Standard of
Good Practice)
Dari information
Security Forum mengambil pendekatan baseline, dengan memberikan perhatian yang
cukup banyak pada perilaku pengguna yang diharapkan untuk kesuksesan program
tersebut. Edisi 2005 berisi topik-topik seperti pesan instan (instant
messaging) yang aman, keamanan server Web, dan perlindungan virus.
Tidak ada satu pun
dari standar-standar ini yang menawarkan cakupan yang menyeluruh dari masalah
ini. Namun, jika disatukan standar-standar tersebut menjadi dasar yang baik
untuk diikuti perusahaan dalam menentukan kebijakan keamanan informasinya
sendiri yang mendukung budaya organisasi tersebut.
1.
Peraturan
Pemerintah
Pemerintah baik di Amerika Serikat
maupun Inggris telah memastikan standar dan menetapkan peraturan yang ditujukan
untuk menanggapi masalah pentingnya keamanan informasi yang makin meningkat,
terutama setelah peristiwa 9/11 dan semakin meluasnya internet serta peluang
terjadinya kejahatan komputer. Beberapa diantaranya adalah:
Studi yang
dilakukan oleh perusahaan riset Gartner memprediksi bahwa hingga 2005, 90
persen dari semua serangan keamanan komputer akan ditujukan pada kelemahan
dimana ada perlindungan yang sudah dikenal. Pemerintah Amerika Serikat
merespons dengan merancangkan program yang ditujukan untuk menerapkan
perlindungan yang sudah dikenal ini. Program tersebut mencakup seperangkat
standar keamanan yang harus dipenuhi oleh organisasi-organisasi yang
berpartisipasi, ditambah tersedianya program peranti lunak yang menilai sistem
para pengguna dan membantu mereka dalam mengonfigurasi sistem mereka untuk
memenuhi standar. National Institute of Standarts and Technology (NIST)
menyediakan kuesioner yang dapat diisi organisasi untuk mengevaluasi keamanan
sistem informasinya. Dua sistem peranti lunak, ASSET - System dan ASSET –
Manajer, menyediakan bantuan untuk mengisi kuesioner dan memeriksa status
rencana keamanan perusahaan.
·
Undang-Undang
Antiterorisme, Kejahatan, dan Keamanan Inggris (ATCSA) 2001.
Di negara Inggris,
Parlemen telah memberlakukan Undang-Undang Antiterorisme, Kejahatan dan
Keamanan (Anti Terrorism, Crime, and Security Act – ATCA) 2001. Undang-undang
ini memiliki tiga pasal:
1.
ISP diharuskan
untuk memelihara data mengenai semua kejadian komunikasi selama 1 tahun,
2.
Otoritas pajak
pemerintah diberi wewenang untuk mengungkapkan informasi mengenai situasi
keuangan seseorang atau organisasi kepada pihak berwajib yang sedang
menyelidiki tindakan kriminal atau terorisme dan
3.
Kewajiban
kerahasiaan dihilangkan untuk badan-badan umum meskipun hanya terdapat
kecurigaan akan adanya tindakan terorisme yang akan terjadi. Sejak
implemetasinya, undang-undang ini telah dikritik oleh kelompok hak asasi
manusia seperti Amnesty International. Akan menarik untuk dilihat apakah kritik
ini berlanjut setelah pengeboman kereta London tahun 2005
2.
Standar Industri
The Center for
Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk
membantu para pengguna komputer guna membuat sistem mereka lebih aman. Bantuan
diberikan melalui dua produk – CIS Benchmarks dan CIS Scoring Tools. CIS
Benchmarks membantu para pengguna untuk mengamankan sistem informasi mereka
dengan cara menerapkan pengendalian khusus teknologi. CIS Scoring Tools memberi
kemampuan bagi pengguna untuk menghitung tingkat keamanan, membandingkannya
dengan tolok ukur, dan menyiapkan laporan yang mengarahkan pengguna dan
administrator sistem untuk mengamankan sistem.
3.
Sertifikasi
Profesional
Mulai tahun
1960-an, profesi TI mulai menawarkan program sertifikasi. Tiga contoh berikut
mengilustrasikan cakupan dari program-program ini.
4.
Asosiasi Audit
Sistem dan Pengendalian
Program sertifikasi
keamanan yang pertama adalah Certified Information System Auditor, yang
ditawarkan oleh Information System Audit and Control Association (ISACA).
Kemudian ISACA memberikan gelar Certified Information Security Manager. Untuk
mendapatkan sertifikasi ini, pendaftar harus mengikuti suatu ujian (yang
ditawarkan untuk pertama kali pada Juni 2003), mengikuti kode etika, dan
memberikan bukti pengalaman kerja dalam bidang keamanan informasi. Informasi
mengenai ISACA dapat ditemukan di WWW.ISACA.ORG.
5.
Konsorsium
Sertifikasi Keamanan Sistem Informasi International
The Certification
Information System Security Professional (CISSP) ditawarkan oleh International
Information System Security Certification Consortium (ISC). Sertifikasi CISSP
memberikan bukti bahwa pemegangnya memiliki keahlian dalam keamanan informasi
yang mencakup topik seperti pengendalian akses, kriptografi, arsitektur
keamanan, keamanan internet, dan praktik manajemen keamanan. Sertifikasi didasarkan
oleh kinerja pada ujian berisikan 250 pertanyaan pilihan berganda. Informasi
lebih banyak dapat ditemukan di WWW.ISC2.ORG.
6.
Institut SANS
Institut SANS
(SysAdmin, Audit, Network, Security) menawarkan sertifikasi melalui Global
Information Assurance Certifiction Program miliknya, yang mencakup mata kuliah
seperti Audit Keamanan IT dan Intisari Pengendalian serta Penulisan dan
Pemeriksaan Kebijakan Keamanan. Informasi mengenai SANS dapat didapatkan dari WWW.SANS.ORG.
·
Meletakkan
Manajemen Keamanan Informasi Pada Tempatnya
Perusahaan harus
mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan
pengendalian. Kebijakan ini dapat dibuat berdasarkan identifikasi ancaman dari
risiko ataupun berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi
industri. Perusahaan harus mengimplementasikan gabungan dari pengendalian
teknis formal dan informal yang diharapkan untuk menawarkan tingkat keamanan
yang diinginkan pada batasan biaya yang telah ditentukan dan disesuaikan dengan
pertimbangan lain yang membuat perusahaan dan sistemnya mampu berfungsi secara
efektif.
2.10
Manajemen
Keberlangsungan Bisnis
Aktivitas yang
ditujukan untuk menentukan operasional setelah terjadi gangguan sistem
informasi disebut dengan manajemen keberlangsungan bisnis (business continuity
management – BCM). Pada tahun-tahun awal penggunaan komputer, aktivitas ini
disebut perencanaan bencana (disaster planning), namun istilah yang lebih
positif, perencanaan kontijensi (contingency plan), yang merupakan dokumen
tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus
dilakukan jika terjadi gangguan, atau ancaman gangguan pada operasi komputasi
perusahaan.
Banyak perusahaan
telah menemukan bahwa dibandingkan sekadar mengandalkan satu rencana kontijensi
besar, pendekatan yang terbaik adalah merancang beberapa subrencana yang
menjawab beberapa kontijensi yang spesifik. Subrencana yang umum mencakup
rencana darurat, rencana cadangan dan rencana catatan penting.
a.
Rencana Darurat
Rencana darurat
(emergency plan) menyebutkan cara-cara yang akan menjaga keamanan karyawan jika
bencana terjadi. Cara-cara ini mencakup sistem alarm, prosedur evakuasi, dan
sistem pemadaman api.
b.
Rencana Cadangan
Perusahaan harus mengatur agar fasilitas komputer
cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga
tidak dapat digunakan. Pengaturan ini merupakan bagian dari rencana cadangan
(backup plan). Cadangan dapat diperoleh melalui kombinasi redundasi,
keberagaman dan mobilitas.
·
Redundansi
Peranti
keras, peranti lunak, dan data diduplikasikan sehingga jika satu set tidak
dapat dioperasikan set cadangannya dapat meneruskan proses.
·
Keberagaman
Sumber
daya informasi tidak dipasang pada tempat yang sama. Perusahaan besar biasanya
membuat pusat komputer yang terpisah untuk wilayah-wilayah operasi yang
berbeda-beda.
·
Mobilitas
Perusahaan
dapat membuat perjanjian dengan para pengguna peralatan yang sama sehingga
masing-masing perusahaan dapat menyediakan cadangan kepada yang lain jika
terjadi bencana besar. Pendekatan yang lebih detail adalah membuat kontrak
dengan jasa pelayanan cadangan di hot site dan cold site. Hot site adalah
fasilitas komputer lengkap yang disediakan oleh pemasok untuk pelanggannya
untuk digunakan jika terdapat situasi darurat. Cold site hanya mencakup
fasilitas bangunan, namun tidak mencakup fasilitas komputer. Perusahaan dapat
mendapatkan cold site dari pemasok atau membangun fasilitasnya sendiri. Untuk
pendekatan yang manapun, perusahaan tersebut harus menyediakan sumber daya
komputernya. Penyedia hot site dan cold cite yang terbesar adalah IBM dan SunGard.
c.
Rencana Catatan
Penting
Catatan penting
(vital records) perusahaan adalah dokumen kertas, mikroform dan media
penyimpanan optis dan magnetis yang penting untuk meneruskan bisnis perusahaan tersebut.
Rencana catatan penting (vital records plan) menentukan cara bagaimana catatan
penting tersebut harus dilindungi. Selain menjaga catatan tersebut di situs
komputer, salinan cadangan harus disimpan di lokasi yang terpencil. Semua jenis
catatan dapat secara fisik dipindahkan ke lokasi terpencil tersebut, namun catatan
komputer dapat ditransmisikan secara elektronik.
·
Meletakkan
Manajemen Keberlangsungan Bisnis Pada Tempatnya
Manajemen
keberlangsungan bisnis merupakan salah satu bidang penggunaan komputer dimana
kita dapat melihat perkembangan besar. Pada akhir 1980-an hanya beberapa
perusahaan yang memiliki rencana seperti itu, dan perusahaan jarang mengujinya.
Sejak itu, banyak upaya telah dilaksanakan untuk mengembangkan perencanaan
kontijensi, dan banyak informasi serta bantuan telah tersedia. Tersedia pula
rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke dalam
kebutuhan khususnya. Sistem Komputer TAMP memasarkan Sistem Pemulihan Bencana
(Disaster Recovery System – DRS) yang mencakup sistem manajemen basis data,
instruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana
pemulihan. Paduan dan garis besar tersedia bagi perusahaan untuk digunakan
sebagai titik awal atau tolok ukur. Panduan untuk perencanaan kontijensi yang
disiapkan oleh Departemen Sumber Daya Informasi Texas dapat diperoleh dari WWW.DIR.STATE.TX.US/SECURITY/CONTINUITY/INDEX.HTM.
BAB III
KASUS (CASE)
·
LAPORAN RAHASIA
Perusahaan Anda,
Fair Heights, disewa oleh perusahaan lain untuk melakukan pemeriksaan latar
belakang terhadap para eksekutif perusahaan. Para eksekutif ini biasanya adalah
manajer senior perusahaan dengan jabatan wakil presiden atau lebih tinggi.
Kebanyakan pemeriksaan ini dilakukan pada eksekutif yang sedang dipertimbangkan
untuk menjabat suatu posisi, namun terkadang Anda juga melakukan pemeriksaan
pada eksekutif yang sudah menjabat. Pengumpulan informasi ini bukanlah jasa
utama yang disediakan oleh Fair Heights. Analisis informasi dan rekomendasi
keamanan adalah layanan yang membuat perusahaan Anda unik.
Selama 10 tahun
terakhir, Fair Heights selalu menyediakan laporan untuk kliennya secara pribadi
atau dalam laporan tertulis yang dikirimkan oleh seorang kurir. Permintaan
untuk membuat rekomendasi ini tersedia di internet semakin meningkat. Alasannya
adalah kebayakan perusahaan ini adalah perusahaan multinasional dan
mengumpulkan eksekutif-eksekutif utama untuk mempelajari laporan Fair Heights
akan menjadi suatu hal yang sulit atau mahal untuk dilakukan. Pengaturan ini
dapat menyebabkan penundaan, dan perusahaan-perusahaan tersebut menginginkan informasi
penting ini dikirimkan secepat mungkin.
Pergantian ke
laporan berbasis Web tidak dapat dicegah lagi. Tugas Anda adalah membuat
laporan untuk komite perencanaan yang mengidentifikasi dan menjawab isu-isu
penting.
·
PENUGASAN
1.
Anda menginginkan laporan Fair Heights agar bersifat rahasia, tersedia
luas, dan memiliki integritas. Jelaskan bagaimana membuat laporan yang dapat
diakses melalui Web akan mempengaruhi masing-masing sifat ini.
2.
Buatlah daftar yang menyebutkan berbagai ancaman eksternal dan ancaman
internal terhadap keamanan laporan Fair Heights. Pastikan Anda menjawab baik
masalah ancaman yang tidak disengaja maupun yang disengaja terhadap keamanan
3.
Buatlah sebuah laporan singkat tentang manajemen risiko (sekitar tiga
paragraf) yang mengidentifikasi beberapa risiko dan mengklasifikasi dampak dari
masing-masing risiko.
BAB IV
PEMBAHASAN KASUS (CASE)
Dari
kasus pada BAB III dapat kami menjawab beberapa pertanyaan yang telah diberikan
yaitu:
1.
Anda menginginkan
laporan Fair Heights agar bersifat rahasia, tersedia luas, dan memiliki
integritas. Jelaskan bagaimana membuat laporan yang dapat diakses melalui Web
akan memengaruhi masing-masing sifat ini.
Jawab:
a.
Rahasia
Di dalam keamanan informasi yang bersifat kerahasiaan ini terdapat sistem
informasi eksekutif, sistem informasi sumber daya, dan sistem pemrosesan
transaksi.
·
Untuk sistem
pemrosesan transaksi sendiri khususnya terdapat hal-hal amat penting bagi
perusahaan. Hal-hal penting itu adalah penggajian, piutang dagang, pembelian,
utang dagang, kas dan beberapa akun-akun penting serta jurnal-jurnal penting.
·
Untuk sistem
pemrosesan sistem informasi sumber daya adanya sistem tunjangan karyawan,
sistem merekrut karyawan, management angkatan kerja, perencanaan angkatan kerja
dan pelaporan lingkungan.
·
Untuk sistem
informasi eksekutif terdapat sistem informasi pemasaran, manufaktur, keuangan
dan SDM. Dimana teknik-teknik pemasaran dan produksi serta laporan keuangan
internal dan cara memanage SDM-SDM di dalam perusahaan
Dan juga Jika laporan ini dapat
diakses Web secara terbuka, maka akan mempengaruhi sifat kerahasiaan informasi
perusahaan. Sehingga dibutuhkan keamanan informasi dalam akses Webnya. Karena
jika dapat diakses secara mudah tanpa adanya keamanan bisa jadi menjadi sasaran
para hacker dalam membobol web mengenai perusahaan kita ini. Jadi kerahasiaan
dalam hal ini kurang aman jika disediakan informasi secara terbuka di Web
kecuali dalam mengaksesnya kita membuat pin ataupun daftar email yang memang
dibatasi dalam mengakses perusahaan ini.
b.
Tersedia luas
Di dalam keamanan informasi yang bersifat ketersediaan ini mempunyai tujuan
menyediakan data dan informasi bagi pihak-pihak yang memiliki wewenang dalam
perusahaan. Jika laporan ini dapat diakses Web, maka akan mempengaruhi sifat
ketersediaan informasi perusahaan, karena orang lain dapat mengetahui informasi
pribadi pihak-pihak yang memiliki wewenang di dalam perusahaan tersebut.
Sehingga melanggar batas ketersediaan data dan informasi yang seharusnya hanya
diketahui pihak-pihak yang memiliki wewenang terkait.
c.
Integritas
Di dalam keamnan informasi yang bersifat integritas mempunyai tujuan
memberikan representasi akurat atas sistem fisik. Jika laporan tentang sistem
fisik perusahaan dapat diakses melalui Web, maka akan ada kemungkinan
perusahaan lain meniru sistem fisik perusahaan tersebut. Kemungkinan terburuknya
dapat mengakibatkan perusahaan tersebut mengalami kemunduran. Tidak hanya
perusahaan lain meniru bahkan sistem-sistem tersebut dipakai oleh sejumlah
perusahaan padahal ada beberapa membuat perusahaan ini berbeda dengan yang lain
tetapi dimanfaatkan oleh orang lain.
2.
Buatlah daftar
yang menyebutkan berbagai ancaman eksternal dan ancaman internal terhadap
keamanan laporan Fair Heights. Pastikan Anda menjawab baik masalah ancaman yang
tidak disengaja maupun yang disengaja terhadap keamanan.
Jawab:
a.
Ancaman eksternal
Laporan yang
dapat diakses Web merupakan masalah ancaman yang disengaja, karena orang lain
berusaha mencari tahu data dan informasi perusahaan dengan tujuan merusak atau
menyebarluaskan kepada kalayak umum. Dengan dapat diakses Web sangatlah berbahaya
jika data sampai tersebar luas maka data tersebut dapat dipakai dan direkayasa
sehingga di dalam perusahaan sendiri juga menimbulkan banyak masalah-masalah
lainnya. Belum lagi jika dapat diakses tanpa adanya keamanan yang bagus itu
dapat membuat para-para oknum digunakan dengan tidak bijaksana. Apalagi
perusahaan besar seperti dapat menjadi sasaran empuk bagi orang-orang yang
tidak bertanggung jawab.
b.
Ancaman internal
Analisis
informasi dan rekomendasi keamanan merupakan masalah ancaman yang tidak
disengaja, karena tidak mungkin pihak-pihak yang memiliki wewenang dalam
perusahaan sengaja salah menganalisis data dan informasi perusahaan tersebut
dan tidak mungkin juga pihak-pihak wewenang terkait menyebarluaskan data dan
informasi penting perusahaan kepada kalayak umum. Hal itu sama saja dengan
merusak tujuan keamanan informasi yang bersifat kerahasiaan. Karena ketika
seseorang telah bergabung di dalam perusahaan ini. Adalah orang yang terpilih
dan harus menjaga rahasia daripada perusahaan karena dari awal telah dijelaskan
dan diberitahu tentang kondisi dan juga situasi perusahaan sehingga karyawan
yang masuk bergabung dengan perusahaan ini seharusnya sudah mengerti ada hal-hal
yang harus dijaga dan tidak boleh disebarluaskan begitu saja. Dan jikalaupun
sampai terjadi hal-hal demikian maka antara pihak perusahaan maupun pihak
internal dari perusahaan memiliki konflik yang rumit sehingga pihak internal
mampu melakukan hal demikian ataupun perusahaan tersebut melakukan hal-hal yang
merusak atau tidak benar terhadap data ataupun dalam menjalankan perusahaan.
Sehingga pihak internal nekad untuk membeberkan rahasia yang ada di dalam
perusahaan.
3. Buatlah sebuah laporan singkat
tentang manajemen risiko (sekitar tiga paragraf) yang mengidentifikasi beberapa
risiko dan mengklasifikasi dampak dari masing-masing risiko.
Jawab:
Manajemen risiko adalah salah satu cara untuk mencapai keamanan informasi. Manajemen
risiko harus dipersiapkan secara maksimal, karena merupakan salah satu kunci
keamanan informasi baik dari dalam maupun luar perusahaan. Jika tidak
dipersiapkan secara maksimal, maka akan menimbulkan beberapa risiko.
Dalam
kasus ini ditemukan beberapa risiko, yaitu: penyediaan laporan tertulis yang
dikirimkan oleh seorang kurir dan laporan yang dapat diakses Web.
Dampak
dari penyediaan laporan tertulis yang dikirimkan oleh seorang kurir adalah
pencurian dan penyebaran data. Jika waktu pengiriman terlalu lama dapat
menyebabkan pencurian data dan informasi perusahaan. Jika data sampai tersebar
maka kerahasiaan data dari perusahaan dapat terbongkar dan hal tersebut
sangatlah berbahaya. Sedangkan dampak dari laporan yang adapat diakses Web
adalah pengguna yang tidak terotorisasi. Jika laporan dapat diakses Web
memungkinkan adanya banyak hacker yang membobol data dan informasi penting
perusahaan. Jika hal itu terjadi dapat menimbulkan banyak masalah dan terjadi
kekacauan yang hebat seperti kasus-kasus belakangan ini yang terjadi pada
tiket.com
BAB V
PENUTUP
5.1 Kesimpulan
Jadi, rumusan masalah harus dinyatakan dalam bentuk petanyaan
bukan pernyataan. Perumusan masalah atau research questions atau disebut juga
sebagai research problem, diartikan sebagai suatu rumusan yang mempertanyakan
suatu fenomena, baik dalam kedudukannya sebagai fenomena mandiri, maupun dalam
kedudukannya sebagai fenomena yang saling terkait di antara fenomena yang satu
dengan yang lainnya, baik sebagai penyebab maupun sebagai akibat. Rumusan
masalah itu merupakan suatu pertanyaan yang akan dicarikan jawabannya melalui
pengumpulan data.
Tujuan penelitian merupakan rumusan kalimat yang
menunjukkan adanya hasil, sesuatu yang diperolah setelah penelitian penelitian
selesai, sesuatu yang akan dicapai/dituju dalam sebuah penelitian.
Rumusan tujuan mengungkapkan keinginan peniliti untuk memperoleh jawaban atas
permasalahan penelitian yang diajukan.
Manfaat penelitian adalah aplikasi hasil penelitian, baik
bagi lembaga-lembaga tertentu atau pun masyarakat. Oleh sebab itu dalam pendahuluan
perlu dijelaskan manfaat apa yang dapat diambil dari hasil penelitian yang
dilakukan.
5.2 Saran
Untuk menentukan tujuan dan manfaat
penelitian sebaiknya dihubungkan dengan rumusan masalah yang ada supaya lebih
mudah dalam menentukan manfaat dan tujuan yang ingin dicapai oleh peneliti. Referensi dari buku harusnya lebih
dari satu jangan terpatok dengan satu buku saja.
DAFTAR PUSTAKA
McLeod, Jr., Raymond; Schell, George P. 2011. Sistem Informasi
Managemen
(Terjemahan). Jakarta: Salemba Empat
Langganan:
Komentar (Atom)