KEAMANAN INFORMASI

MAKALAH

KEAMANAN INFORMASI

DISUSUN

O L E H :

 

Nama                           :           Fransiska Lievanie      (1609151555)

            Sry Haryanti                (1609151544)

            Sergio Surinato           (1609151557)

            Lasmaria Panjaitan      (1609151562) 

Jurusan                        :           M-1 (Akuntansi)

Dosen pembimbing     :           Lenny Menara Sari Saragih, SE.,M.M

TAHUN AJARAN 2016-2017

KATA PENGANTAR

 Puji syukur saya panjatkan kehadirat Tuhan Yang Maha Esa karena dengan rahmat, karunia, serta  hidayah-Nya kami dapat menyelesaikan makalah tentang Keamanan Informasi ini dengan baik meskipun banyak kekurangan didalam makalah ini. Dan juga kami berterima kasih pada Ibu Lenny Menara Sari Saragih, SE.,M.M dosen mata kuliah Sistem Informasi Managemen yang telah memberikan tugas makalah ini kepada kami kelompok 6.
       Kami sangat berharap makalah ini dapat berguna dalam rangka memahami keamanan informasi yang berkaitan dengan keamanan semua sumber daya informasi, tujuan, ancaman dan pengendalian informasi. Kami juga menyadari sepenuhnya bahwa di dalam makalah ini terdapat kekurangan dan jauh dari kata sempurna. Oleh sebab itu, kami berharap adanya kritik, saran dan usulan demi perbaikan makalah yang telah kami tuliskan di masa yang akan datang, mengingat tidak ada sesuatu yang sempurna tanpa saran dan kritikan yang membangun.
       Semoga makalah sederhana ini dapat dipahami bagi siapapun yang membacanya. Sebelumnya, kami mohon maaf apabila terdapat kesalahan kata-kata yang kurang berkenan dan kami memohon kritik dan saran yang membangun dari Anda demi perbaikan makalah ini di waktu yang akan datang.

      Medan, 09 April 2018

                                             Kelompok 6 (enam)

DAFTAR ISI

KATA PENGANTAR............................................................................. i

DAFTAR ISI.......................................................................................... ii

BAB I  PENDAHULUAN…................................................................. 1
1.1 Latar Belakang......................................................................... 1

......... 1.2 Rumusan Masalah.................................................................... 2
1.3 Tujuan Makalah........................................................................ 3

......... 1.4 Manfaat Makalah..................................................................... 4

BAB II KAJIAN TEORI ...................................................................... 5

......... 2.1 Kebutuhan Organisasi akan Keamanan dan Pengendalian...... 5

......... 2.2 Keamanan Informasi ............................................................... 6

......... 2.3 Manajemen Keamanan Informasi............................................ 7

......... 2.4 Ancaman ................................................................................. 9

......... 2.5 Risiko .................................................................................... 12
2.6 Manajemen Risiko.................................................................. 17

......... 2.7 Kebijakan Keamanan Informasi............................................. 18

......... 2.8 Pengendalian.......................................................................... 20

......... 2.9 Dukungan Pemerintah dan Industri....................................... 29
2.10 Manajemen Keberlangsungan Bisnis................................... 35

BAB III KASUS (CASE) ................................................................... 39

BAB IV PEMBAHASAN KASUS..................................................... 41

BAB V PENUTUP............................................................................... 46
5.1 Kesimpulan.......................................................................... 46
5.2 Saran.................................................................................... 46

DAFTAR PUSTAKA............................................................................ iii

BAB I

PENDAHULUAN

1.1  Latar Belakang

Semua organisasi memiliki kebutuhan untuk menjaga agar sumber daya informasi mereka aman. Kalangan industri telah lama menyadari kebutuhan untuk terjaga keamanan dari para kriminal komputer, dan sekarang pemerintah telah mempertinggi tingkat keamanan sebagai salah satu cara untuk memerangi terorisme. Ketika organisasi-organisasi ini mengimplementasikan pengendalian keamanan, isu-isu utama mengenai keamanan versus ketersediaan serta keamanan versus hak pribadi harus diatasi.

Keamanan informasi ditujukan untuk mendapatkan kerahasian, ketersediaan, serta integritas pada semua sumber daya informasi perusahaan-bukan hanya peranti keras dan data. Menajemen keamanan informasi terdiri atas perlindungan harian, yang disebut manajemen keamanan informasi (information security management-ISM) dan persiapan-persiapan operasional setelah suatu bencana, yang disebut dengan manajemen keberlangsungan bisnis (business continuity managemen-BCM).

Dua pendekatan dapat dilakukan untuk menyusun strategi-strategi ISM: manajemen resiko dan kepatuhan tolak ukur. Perhatian akan ancaman dan risiko berhubungan dengan pendekatan manjeman resiko. Ancaman dapat bersifat internal dan eksternal, tidak disengaja atau disengaja. Risiko dapat mecakup insiden pengungkapan, penggunaan, dan modifikasi yang tidak diotorisasi serta pencurian, penghancuran dan penolakan layanan. Ancaman yang paling ditakuti adalah virus komputer. E-commerce telah menghasilkan risiko tertentu, namun beberapa respons khusus telah dilakukan oleh organisasi seperti American Epress dan Visa.

Ada tiga jenis pengendalian yang tersedia. Pengendalian teknis terdiri atas pembatasan akses, firewall, kriptografi, dan pengendalian fisik. Pengendalian formal bersifat tertulis dan memiliki harapan hidup jangka panjang. Pengendalian informal ditujukan untuk menjaga agar para karyawan perusahaan memahami dan mendukung kebijakan kebijakan keamanan.

Sejumlah pihak pemerintahan telah menentukan standar dan menetapkan peraturan yang memengaruhi keamanan informasi. Asosiasi-asosiasi industri juga telah menyediakan berbagai standar dan sertifikasi profesional.

Manajemen keberlangsungan bisnis terdiri atas seperangkat subrencana untuk (1) menjaga keamanan karyawan, (2) memungkinan keberlangsungan operasional dengan cara menyediakan fasilitas komputer cadangan, serta (3) melindungi catatan penting perusahaan. Perusahaan-perusahaan yang ingin mengembangkan rencana kontijensi baru tidak harus memulai dari awal; beberapa model berbasis peranti lunak tersedia, seperti halnya garis besar dan paduan dari pemerintahan.

1.2  Rumusan Masalah

Berdasarkan dari latar belakang tersebut di atas, maka rumusan masalah pada makalah ini adalah sebagai berikut:

1.      Apa yang dimaksud dengan kebutuhan organisasi akan keamanan dan pengendalian?

2.      Apa yang dimaksud dengan keamanan informasi?

3.      Apa yang dimaksud dengan manajemen keamanan informasi?

4.      Apa yang dimaksud dengan ancaman?

5.      Apa yang dimaksud dengan resiko?

6.      Apa yang dimaksud dengan manajemen risiko?

7.      Apa saja kebijakan keamanan informasi?

8.      Apa yang dimaksud dengan pengendalian?

9.      Apa saja dukungan pemerintah dan industri yang diberikan?

10.  Apa yang dimaksud dengan manajemen keberlangsungan bisnis?

1.3  Tujuan Makalah

Dari rumusan massalah tersebut dapat menyimpulkan tujuan dari makalah ini, yaitu:

1.      Untuk mengetahui kebutuhan organisasi akan keamanan dan pengendalian.

2.      Untuk mengetahui keamanan informasi.

3.      Untuk mengetahui manajemen keamanan informasi.

4.      Untuk mengetahui berbagai ancaman.

5.      Untuk mengetahui berbagai risiko.

6.      Untuk mengetahui manajemen risiko.

7.      Untuk mengetahui kebijakan keamanan informasi.

8.      Untuk mengetahui berbagai pengendalian.

9.      Untuk mengetahui dukungan pemerintah dan industri.

10.  Untuk mengetahui manajemen keberlangsungan bisnis.

1.4  Manfaat Makalah

Menurut Irwandy ( 2013:41), manfaat penelitian adalah aplikasi hasil penelitian, baik bagi lembaga-lembaga tertentu atau pun masyarakat. Oleh sebab itu dalam pendahuluan perlu dijelaskan manfaat apa yang dapat diambil dari hasil penelitian yang dilakukan.

Manfaat penelitian sendiri yaitu untuk menyelidiki keadaan , alasan maupun konsekuensi terhadap keadaan tertentu. Keadaan tersebut dapat dikontrol dengan melalui eksperimen maupun berdasarkan observasi. Sebab penelitian berperan penting untuk memberikan fondasi atas tindak dan juga keputusan dalam semua aspek.

Manfaat atau Kegunaan hasil penelitian dapat diklasifikasikan menjadi manfaat teoritis dan manfaat praktis. Manfaat teoritis artinya hasil penelitian bermanfaat untuk pengembangan ilmu pengetahuan yang berkaitan dengan obyek penelitian. Manfaat praktis bermanfaat bagi berbagai pihak yang memerlukannya untuk memperbaiki kinerja, terutama bagi sekolah, guru, dan siswa serta seseorang untuk melakukan penelitian lebih lanjut.

      1.      Pengembangan Ilmu Pengetahuan

Hasil penelitian ini dapat memberi sumbangan yang sangat berharga pada perkembangan ilmu pendidikan, terutama pada penerapan model-model pembelajaran untuk meningkatkan hasil proses pembelajaran dan hasil belajar di kelas.

2.   Bagi Kampus

Sebagai bahan masukan bagi kampus untuk memperbaiki praktik-praktik pembelajaran dosen agar menjadi lebih efektif dan efisien sehingga kualitas pembelajaran dan hasil belajar mahasiswa-mahasiswi meningkat.

3.   Bagi Mahasiswa/Mahasiswi

Meningkatkan hasil belajar dan solidaritas mahasiswa-mahasiswi untuk menemukan pengetahuan dan mengembangkan wawasan, meningkatkan kemampuan menganalisis suatu masalah melalui pembelajaran dengan model pembelajaran inovatif.

4.   Bagi Dosen atau Calon Peneliti

Sebagai sumber informasi dan referensi dalam pengembangan penelitian tindakan kelas dan menumbuhkan budaya meneliti agar terjadi inovasi pembelajaran.

5.   Bagi Peneliti

Sebagai sarana belajar untuk mengintegrasikan pengetahuan dan keterampilan dengan terjun langsung sehingga dapat melihat, merasakan, dan menghayati apakah praktik-praktik pembelajaran yang dilakukan selama ini sudah efektif dan efisien.

BAB II

KAJIAN TEORI

2.1  Kebutuhan Organisasi Akan Keamanan dan Pengendalian

Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar. Sistem komputer yang pertama hanya memiliki sedikit perlindungan keamanan, namun hal ini berubah pada saat perang Vietnam ketika sejumlah instalasi komputer dirusak oleh para pemrotes. Pengalaman ini menginspirasi kalangan industri untuk meletakkan penjagaan keamanan yang bertujuan untuk menghilangkan atau mengurangi kemungkinan kerusakan atau penghancuran serta menyediakan organisasi dengan kemampuan untuk melanjutkan kegiatan operasional setelah menjadi gangguan.

Pemerintah federal Amerika Serikat sekarang menerapkan pencegahan dan pengendalian yang serupa, melalui otoritas Patriot Act (Undang-Undang Patriot) dan Office of Homeland Security (Dinas Keamanan Dalam Negeri). Pendekatan-pendekatan yang dimulai oleh kalangan industri dicontoh dan diperluas. Ketika pencegahan federal ini diimpletasikan, dua isu penting harus diatasi. Isu yang pertama adalah keamanan versus hak-hak individu. Tantangannya adalah bagaimana mengimplementasikan keamanan yang cukup serta alat-alat pengendalian yang tidak melanggar hak individu yang dijamin oleh konstitusi. Isu yang kedua adalah keamanan versus ketersediaan. Isu ini amat menonjol pada bidang pelayanan medis, dimana kekhawatiran akan privasi catatan medis individu menjadi pusat perhatian. Keamanan catatan medis saat ini sedang diperluas sehingga melibatkan microchip yang ditanamkan pada pasien, selain data medis yang disimpan di komputer.

Isu-isu keamanan amat sulit untuk dipecahkan dan akan mendapatkan perhatikan yang lebih tinggi di masa yang akan datang.

2.2  Keamanan Informasi

Saat pemerintah dan kalangan industri mulai menyadari kebutuhan untuk mengamankan sumber daya informasi mereka, perhatikan nyaris terfokus secara eksklusif pada perlindungan piranti keras dan data, maka istilah keamanan sistem (system security) pun digunakan. Fokus sempit ini kemudian diperluas sehingga mencakup bukan hanya piranti keras dan data, namun juga piranti lunak, fasilitas komputer, dan personel. Kini, cakupannya telah meluas hingga mencakup semua jenis data- bukan hanya data di dalam komputer. Istilah keamanan informasi (information security) digunakan untuk mendeskripsikan perlindungan baik peralatan komputer, dan non komputer, fasilitas, data, dan informasi dari penyalahgunaan pihal-pihak yang tidak berwenang. Definisi yang luas ini mencakup peralatan seperti mesin fotokopi dan mesin faks serta semua jenis media, termasuk dokumen kertas.

·         Tujuan Keamanan Informasi

Keamanan informasi ditujukan untuk mencapai tiga tujuan utama: kerahasiaan, ketersediaan, dan integritas.

·         Kerahasiaan

Perusahaan berusaha untuk melindungi data dan informasinya dari pengungkapan kepada orang-orang yang tidak berwenang. Sistem informasi eksekutif, sistem informasi sumber daya manusia, dan sistem pemrosesan transaksi seperti penggajian, piutang dagang, pembelian, dan utang dagang amat penting dalam hal ini.

·         Ketersediaan

Tujuan dari infrastruktur informasi perusahaan adalah menyediakan data dan informasi sedia bagi pihak-pihak yang memilki wewenang untuk menggunakannya. Tujuan ini penting, khusunya bagi sistem berorientasi informasi seperti sistem informasi sumber daya manusia dan sistem informasi eksekutif.

·         Integritas

Semua sistem informasi harus memberikan representasi akurat atas sistem fisik dan direpresentasikannya.

2.3  Manajemen Keamanan Informasi

Seperti halnya cakupan keamanan informasi telah meluas, demikian juga pandangan akan tanggung jawab manajemen. Manajemen tidak hanya diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebolnya sistem keamanan. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management-ISM), sedangkan aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap berfungsi setelah adanya bencana disebut manajemen keberlangsungan bisnis (business continuity management-BCM).

CIO adalah orang yang tepat untuk memikul tanggung jawab atas keamanan informasi, namun kebanyakan organisasi mulai menunjuk orang-orang tertentu yang dapat mencurahkan perhatian penuh terhadap aktivitas ini. Jabatan direktur keamanan sistem informasi perusahaan (corporate information system security officer–CISSO) digunakan untuk individu di dalam organisasi, biasanya anggota dari unit sistem informasi, yang bertanggung jawab atas keamanan sistem informasi perusahaan tersebut. Namun saat ini, perubahan sedang dibuat untuk mencapai tingkat informasi yang lebih tinggi lagi di dalam suatu perusahaan dengan cara menunjuk seorang direktur assurance informasi perusahaan (corporate information assurance officer – CIAO) yang akan melapor kepada CEO dan mengelola unit penjagaan informasi. Seperti yang diharapkan, seorang CIAO harus mendapatkan serangkaian sertifikasi keamanan dan memiliki pengalaman minimum 10 tahun dalam mengelola suatu fasilitas keamanan informasi.

v  MANAJEMEN KEAMANAN INFORMASI

Pada bentuknya yang paling dasar, manajemen keamanan informasi terdiri atas empat tahap: mengidentifikasi ancaman yang dapat menyerang sumber daya informasi perusahaan; mengidentifikasi risiko yang dapat disebabkan oleh ancaman-ancaman tersebut; menentukan kebijakan keamanan informasi; serta mengimplementasikan pengendalian untuk mengatasi risiko-risko tersebut. Ancaman menghasilkan risiko, yang harus dikendalikan. Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan ini dimanan tingkat keamanan sumber daya informasi perusahaan dibandingkan dengan risiko yang dihadapinya.

Terdapat pilihan lain untuk merumuskan kebijakan keamanan informasi suatu perusahaan. Pilihan ini telah menjadi popular pada beberapa tahun belakangan ini dengan munculnya standar atau tolok ukur keamanan informasi.  Tolok ukur (benchmark) adalah tingkat kinerja yang disarankan. Tolok ukur keamanan informasi (information security benchmark) adalah tingkat keamanan yang disarankan yang dalam keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang tidak terotorisasi. Standar dan tolok ukur semacam ini ditentukan oleh pemerintah dan asosiasi industry serta mencerminkan komponen-komponen program keamanan informasi yang baik menurut otoritas-otoritas tersebut. Ketika perusahaan mengikuti pendekatan ini, yang disebut kepatuhan terhadap tolok ukur (benchmark compliance), dapat diasumsikan bahwa pemerintah dan otoritas industri telah melakukan pekerjaan yang baik dalam mempertimbangkan berbagai ancaman serta risiko dan tolok ukur tersebut menawararkan perlindugan yang baik.

2.4  Ancaman

Ancaman keamanan informasi (information security threat) adalah orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk membahayakan sumber daya informasi perusahaan. Ketika kita membayangkan ancaman keamanan informasi, adalah sesuatu yang dialami jika kita membayangkan beberapa kelompok atau beberapa orang di luar perusahaan tersebut yang melakukan tindakan yang disengaja. Pada kenyataannya, ancaman dapat bersifat internal serta eksternal, dan dapat bersifat tidak disengaja maupun disengaja.

a.      Ancaman Internal dan Eksternal

Ancaman internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor, dan bahkan mitra bisnis perusahaan tersebut. Survei yang dilakukan oleh Computer Security Institute menemukan bahwa 49 persen responden menghadapi insiden keamanan yang disebabkan oleh tindakan para pengguna yang sah; proporsi kejahatan komputer yang dilakukan oleh karyawan diperkirakan mencapai 81 persen. Ancaman internal diperkirakan menghasilkan kerusakan yang secara potensi lebih serius jika dibandingkan dengan ancaman eksternal, dikarenakan pegetahuan ancaman internal yang lebih mendalam akan sistem tersebut.

b.      Tindakan Kecelakaan dan Disengaja

Tidak semua ancaman merupakan tindakan disengaja yang dilakukan dengan tujuan mencelakai. Beberapa merupakan kecelakaan, yang disebabkan oleh orang-orang di dalam ataupun di luar perusahaan. Sama halnya di mana keamanan informasi harus ditujukan untuk mencegah ancaman yang disengaja, sistem keamanan juga harus mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.

c.       Jenis Ancaman

Semua orang pernah mendengar mengenai virus komputer. Sebenarnya, virus hanyalah salah satu contoh jenis piranti lunak yang menyandang nama peranti lunak yang berbahaya (malicious software). Malicious software atau malware terdiri atas program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem. Fungsi-fungsi tersebut dapat menghapus file atau menyebabkan sistem tersebut berhenti. Terdapat beberapa jenis peranti lunak yang berbahaya; selain virus, terdapat pula worm, trojan horse, adware, dan spyware.

11

            Virus adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh si pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain. Tidak seperti virus, worm (cacing) tidak dapat mereplikasi dirinya sendiri di dalam sistem, tapi dapat menyebarkan salinannya melalui e-mail. Trojan horse (kuda troya) tidak dapat mereplikasi ataupun mendistribusikan dirinya sendiri; si pengguna menyebarkannya sebagai suatu perangkat. Pada saat perangkat tersebut digunakan, perangkat itu menghasilkan perubahan-perubahan yang tidak diinginkan dalam fungsionalitas sistem tersebut. Adware memunculkan pesan-pesan iklan yang mengganggu, dan spyware memgumpulkan data dari mesin pengguna. Dari beragam jenis malware ini, adware dan spyware merupakan yang terkini. Baru pada awal 2005, setelah menyadari besarnya masalah ini, Microsoft memutuskan untuk memasuki perang antispyware. Situs Web MSN Korea Selatan diserang pada Juni 2005, dan serangan ini tidak ditemukan selama berhari-hari.

            Program antispyware sering kali menyerang cookies, yaitu file teks kecil yang diletakkan perusahaan di hard drive pelanggan untuk mencatat minat belanja pelanggan mereka. Menghapus cookies menggunakan program antispyware menciptakan kekhawatiran di kalangan beberapa pemasar. Solusi yang paling efektif yang memungkinkan adalah menghalangi antispyware untuk menghapus cookies pihak pertama yang disimpan perusahaan untuk para pelanggannya, tapi hanya menghapus cookies pihak ketiga yang diletakkan oleh perusahaan lain.

2.5  Risiko

Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko-risiko seperti ini dibagi menjadi empat jenis: pengungkapan informasi yang tidak terotorisasi dan pencurian, penggunaan yang tidak terotorisasi, penghancuran yang tidak terotorisasi dan penolakan layanan, serta modifikasi yang tidak terotorisasi.

a.      Pengungkapan Informasi yang Tidak Terotorisasi dan Pencurian

Ketika suatu basis data dan perpustakaan peranti lunak tersedia bagi orang-orang yang seharusnya tidak berhak memiliki akses, hasilnya adalah hilangnya informasi atau uang. Sebagai contoh mata-mata industri dapat

memperoleh informasi mengenai kompetisi yang berharga, dan kriminal komputer dapat menyelundupkan dana perushaan.

b.      Penggunaan yang Tidak Terotorisasi

Penggunaan yang tidak terotorisasi terjadi ketika orang-orang yang biasanya tidak berhak menggunakan sumber daya perusahaan mampu melakukan hal tersebut. Contoh kejahatan komputer tipe ini adalah hacker yang memandang keamanan informasi sebagiaa suatu tantangan yang harus diatasi. Hacker, misalnya dapat memasuki jaringan komputer sebuah perusahaan, mendapatkan akses ke dalam sistem telepon, dan melakukan sambungan telepon jarak jauh tanpa otorisasi.

c.       Penghancuran yang Tidak Terotorisasi dan Penolakan Layanan

Seseorang dapat merusak atau menghancurkan peranti keras atau peranti lunak, sehingga menyebabkan operasional komputer perusahaan tersebut tidak berfungsi. Dalam hal ini penjahat komputer bahkan tidak harus berada di lokasi fisik tersebut. Mereka dapat memasuki jaringan komputer perusahaan dan menggunakan sumber daya perusahaan (seperti e-mail) hingga tingkatan tertentu sehingga operasional bisnis normal tidak berlangsung.

d.      Modifikasi yang tidak terotorisasi

Perubahan dapat dilakukan pada data, informasi, dan peranti lunak perusahaan. Beberapa perubahan dapat berlangsung tanpa disadari dan menyebabkan para pengguna output sistem tersebut mengambil keputusan yang salah. Salah satu contoh adalah perubahan nilai pada catatan akademis seorang siswa.

e.       Persoalan E-COMMERCE

E-commerce (perdagangan elektronik) telah memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan piranti lunak, tapi perlindungan dari pemalsuan kartu kredit. Menurut sebuah survei yang dilakukan oleh Garther Group, pemalsuan kartu kredit 12 kali lebih sering terjadi untuk para peritel e-commerce dibandingkan dengan para pedagang yang berurusan dengan pelanggan mereka secara langsung. Untuk mengatasi masalah ini, perusahaan-perusahaan kartu kredit yang utama telah mengimplementasikan program yang ditujukan secara khusus untuk keamanan kartu kredit e-commerce.

f.       Kartu Kredit “Sekali Pakai”

Pada September 2000, American Express mengumumkan sebuah kartu kredit “sekali pakai”-tindakan yang ditujukan bagi 60 hingga 70 persen konsumen yang mengkhawatirkan pemalsuan kartu kredit dari pengunaan internet. Kartu sekali pakai ini bekerja dengan cara berikut: Saat pemegang kartu ingin membeli sesuatu secara online, ia akan memperoleh angka yang acak dari situs Web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor kartu kredit pelanggan tersebut, yang diberikan kepada pedagang e-commerce, yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.

Meskipun memelopori kartu sekali pakai ini, American Express kemudian tidak melanjutkannya. Meskipun demikian, perusahaan kartu kredit lain telah mengikuti sistem kartu sekali pakai ini. Discover menawarkan kartu Deskshop Virtual Credit yang memberikan para pembelinya kemampuan untuk melakukan pembelian berulang kali dari situs Web yang sama. Citibank menawarkan Virtual Account Numbers, dan MBNA memiliki program yang disebut ShopSafe.

g.      Praktik Keamanan yang Diwajibkan oleh Visa

Pada waktu yang bersamaan dengan pengumuman peluncuran kartu sekali pakai American Express Visa mengumumkan 10 praktik terkait keamanan yang diharapkan perusahaan ini untuk diikuti oleh para peritelnya. Peritel yang memilih untuk tidak mengikuti pratik ini akan menghadapi denda, kehilangan keanggotaan dalam program Visa, atau pembatasan penjualan dengan Visa. Peritel harus:

1.      Memasang dan memelihara firewall.

2.      Memperbaharui keamanan.

3.      Melakukan enkripsi pada data yang disimpan.

4.      Melakukan enkripsi pada data yang dikirimkan.

5.      Menggunakan dan memperbaharui peranti lunak antivirus.

6.      Membatasi akses data kepada orang-orang yang ingin tahu.

7.      Memberikan ID unik kepada setiap orang yang memiliki kemudahan mengakses data.

8.      Memantau akses data dengan ID unik.

9.      Tidak menggunakan kata sandi default yang disediakan oleh vendor.

10.  Secara teratur menguji sistem keamanan.

Firewall dan enkripsi akan dibahasa lebih lanjut dalam bab ini.

Selain itu, Visa mengidentifikasi tiga praktik umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk semua aktivitas, bukan hanya yang berhubungan dengan e-commerce.

1.      Menyaring karyawan yang memiliki akses terhadap data.

2.      Tidak meninggalkan data (disket, kertas, dan lain-lain) atau komputer dalam keadaan tidak aman.

3.      Menghancurkan data jika tidak dibutuhkan lagi.

Pratik-praktik keamanan yang diwajibkan ini telah ditingkatkan lagi melalui Program Pengamanan Informasi Pemegang Kartu (Cardholder Information Security Program-CISP). CISP Ditujukan pada peritel; dengan tujuan untuk menjaga data pemegang kartu. Tujuan ini dicapai melalui penempatan pembatasan-pembatasan pada peritel mengenai data yang dapat disimpan setelah Visa menyetujui suatu transaksi. Satu-satunya data yang dapat disimpan adalah nomor rekening pemegang kartu serta nama dan tanggal kadarluwarsa kartu tersebut.

Semua tindakan yang diambil perusahaan kartu kredit ini ditujukan untuk menciptakan lingkungan yang aman bagi konsumen untuk berbelanja secara online.

2.6  Manajemen Risiko

Sebelumnya, manajemen risiko diidentifikasi sebagai satu dari dua strategi untuk mencapai keamanan informasi. Risiko dapat dikelola dengan cara mengendalikan atau menghilangkan risiko atau mengurangi dampaknya. Pendifinisian risiko terdiri atas empat langkah:

1.      Identifikasi aset-aset bisnis yang harus dilindungi dari risiko

2.      Menyadari risikonya

3.      Menentukan tingkatan dampak pada perusahaan jika risiko benar-benar terjadi.

4.      Menganalisis kelemahan perusahaan tersebut.

Pendekatan yang sistematis dapat dilakukan pada langkah 3 dan 4 menentukan dampak dan menganalisis kelemahan.

      Tingkat keparahan dampak dapat diklasifikasikan menjadi dampak yang parah (severe impact), membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan tersebut untuk berfungsi; dampak signifikan (significant impact), menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan tersebut akan selamat; atau dampak minor (minor impact), menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional sehari-hari. Baik untuk risiko parah maupun signifikan, analisis kelemahan harus dilaksanakan. Ketika analisis tersebut mengindikasikan kelemahan tingkat tinggi (terdapat kelemahan substansial di dalam sistem), maka pengendalian harus diimplementasikan untuk mengeliminasi atau mengurangi kelemahan tersebut. Jika kelemahan itu bersifat menengah (terdapat beberapa kelemahan), maka pengendalian sebaiknya diimplementasikan. Jika kelemahan bersifat rendah (sistem tersebut terkonstruksi dengan baik dan beroperasi dengan benar), pengendalian yang ada harus tetap dijaga.

      Setelah analisis risiko diselesaikan, hasil temuan sebaiknya didokumentasikan dalam laporan analisi risiko. Isi dari laporan ini sebaiknya mencakup informasi berikut ini, mengenai tiap-tiap risiko:

1.      Deskripsi risiko

2.      Sumber risiko

3.      Tingginya tingkat risiko

4.      Pengendalian yang diterapkan pada risiko tersebut

5.      (Para) pemilik risiko tersebut

6.      Tindakan yang direkomendasikan untuk mengatasi risiko

7.      Jangka waktu yang direkomendasikan untuk mengatasi risiko

Jika perusahaan telah mengatasi risiko tersebut, laporan harus diselesaikan dengan cara menambahkan bagian akhir.

8.      Apa yang telah dilaksanakan utnuk mengatasi risiko tersebut

2.7  Kebijakan Keamanan Informasi

Dengan mengabaikan bahwa apakah perusahaan mengikuti strategi manajemen risiko atau kepatuhan terhadap tolok ukur maupun tidak, suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruhan program. Perusahaan dapat menerapkan kebijakan keamanannya dengan mengikuti pendekatan yang bertahap. Mengilustrasikan lima fase implementasi kebijakan keamanan.

·         Fase 1 – Insiasi proyek.

Tim yang menyusun kebijakan keamanan dibentuk. Jika komite pengawas MIS perusahaan tidak dapat melaksanakan tanggung jawab untuk mengawasi proyek kebijakan keamanan tersebut, suatu komite pengawas khusus dapat dibentuk. Jika komite khusus telah terbentuk, komite tersebut akan mencakup manajer dari wilayah-wilayah dimana kebijakan tersebut akan diterapkan.

·         Fase 2 – Penyusunan kebijakan.

Tim proyek berkonsultasi dengan manajemen untuk memberitahukan temuannya sampai saat itu, serta untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan.

·         Fase 3 – Konsultasi dan persetujuan.

Tim proyek berkonsultasi dengan manajemen untuk memberitahukan temuannya sampai saat itu, serta untuk mendapatkan pandangan mengenai berbagai persyaratan kebijakan.

·         Fase 4 – Kesadaran dan edukasi.

Program pelatihan kesadaran dan edukasi kebijakan dilaksanakan dalam unit-unit organisasi. Peserta pelatihan dapat terdiri atass anggota proyek, perwakilan internal lain seperti orang-orang dari TI dan SDM, atau konsultan luar. Ini merupakan salah satu contoh manajemen pegetahuan. Manajemen meletakkan program formal pada tempatnya untuk meningkatkan pegetahuan keamanan karyawan yang tepat.

·         Fase 5 – Penyebarluasan kebijakan.

Kebijakan keamanan ini disebarluaskan ke seluruh unit organisasi dimana kebijakan tersebut dapat diterapkan. Idealnya, para manajer unit melaksanakan pertemuan dengan karyawan untuk menyakinkan bahwa mereka memahami kebijakan tersebut dan berkomitmen untuk mengikutinya.

Kebijakan terpisah dikembangkan untuk:

1.      Keamanan sistem informasi

2.      Pengendalian akses sistem

3.      Keamanan ponsel

4.      Keamanan lingkungan dan fisik

5.      Keamanan komunikasi data

6.      Klasifikasi informasi

7.      Perencanaan kelangsungan usaha

8.      Akuntabilitas manajemen

Kebijakan ini diberitahukan kepada karyawan, sebaiknya dalam bentuk tulisan, dan melalui program pelatihan dan edukasi. Setelah kebijakan ini ditetapkan, pengendalian dapat diimplementasikan.

2.8  Pengendalian

Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari risiko atau untuk meminimalkan dampak risiko tersebut pada perusahaan jika risiko tersebut terjadi. Pengendalian dibagi menjadi tiga kategori: teknis, formal dan informal.

a.       Pengendalian Teknis

Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu di dalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor internal di dalam tim proyek merupakan satu cara yang amat baik untuk menjaga agar pengendalian semacam ini menjadi bagian dari desain sistem. Kebanyakan pengendalian keamanan dibuat berdasarkan teknologi piranti keras dan lunak. Yang paling populer akan dijelaskan pada bagian berikut.

b.      Pengendalian Akses

Dasar untuk keamanan melawan ancaman yang dilakukan oleh orang-orang yang tidak diotorisasi adalah pengendalian akses. Alasannya sederhana: Jika orang yang tidak diotorisasi tidak diizinkan mendapatkan akses terhadap sumber daya informasi, maka pengrusakan tidak dapat dilakukan.

Pengendalian akses dilakukan melalui proses tiga tahap yang mencakup identifikasi pengguna, autentikasi penggun, dan otorisasi pengguna. Penggabungkan langkah-langkah ini menjadi sistem keamanan.

1.      Identifikasi pengguna.

Para pengguna pertama-tama mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka ketahui, misalnya kata sandi. Identifikasi dapat pula mencakup lokasi pengguna, seperti nomor telepon atau titik masuk jaringan

2.      Otentikasi pengguna.

Setelah identifikasi awal telah dilakukan, para pengguna memverifikasi hak akses dengan cara memberikan sesuatu yang mereka miliki, seperti smart card atau tanda tertentu atau chip identifikasi. Autentikasi pengguna dapat juga dilaksanakan dengan cara memberikan sesuatu yang menjadi identitas diri, seperti tanda tangan atau suara atau pola suara.

3.      Otorisasi pengguna.

Setelah pemeriksaan identifikasi dan autentikasi dilalui, seseorang kemudian dapat mendapatkan otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu. Sebagai contoh, seseorang pengguna dapat mendapatkan otorisasi hanya untuk membaca sebuah rekaman dari suatu file, sementara pengguna yang lain dapat saja memiliki otorisasi untuk melakukan perubahan pada file tersebut.

Identifikasi dan autentikasi memanfaatkan profil pengguna (user profile), atau deskripsi pengguna yang terotorisasi. Otorisasi memanfaatkan file pengendalian akses (access control file) yang menentukan tingkat akses yang tersedia bagi tiap pengguna.

Setelah para pengguna memenuhi syarat tiga fungsi pengendalian akses, mereka dapat menggunakan sumber daya informasi yang terdapat di dalam batasan file pengendalian akses. Pencatatan audit yang berbasis komputer terus dilakukan pada semua aktivitas pengendalian akses, seperti tanggal dan waktu serta identifikasi terminal, dan digunakan untuk mempersiapkan laporan keuangan.

Sistem Deteksi Gangguan

Logika dasar dari sistem deteksi gangguan adalah mengenali upaya pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan. Salah satu contoh yang baik adalah peranti lunak proteksi virus (virus protection software) yang telah terbukti efektif melawan virus yang terkirim melalui e-mail. Piranti lunak tersebut mengidentifikasi pesan pembawa virus dan mempengaruhi si pengguna.

23

Contoh deteksi pengganggu yang lain adalah peranti lunak yang ditujukan untuk mengindentifikasi calon pengganggu sebelum memiliki kesempatan untuk membahayakan. Peralatan prediksi ancaman dari dalam (insider threat prediction tool) telah disusun sedemikian sehingga dapat mempertimbangkan karakteristik seperti posisi seseorang di dalam perusahaan, akses ke dalam data yang sensitif, kemampuan untuk mengubah komponen peranti keras, jenis aplikasi yang digunakan, file yang dimiliki, dan penggunaan protokol jaringan tertentu. Hasil pembuatan profilan seperti ini, yang beberapa berbentuk kuatitatif, dapat mengklasifikasikan ancaman internal ke dalam kategori seperti ancaman yang disengaja, potensi ancaman kecelakaan, mencurigakan, dan tidak berbahaya.

Firewall

Sumber daya komputer selalu berada dalam risiko jika terhubung ke jaringan. Salah satu pendekatan keamanan adalah secara fisik memisahkan situs Web perusahaan dengan jaringan internal perusahaan yang berisikan data sensitif dan sistem informasi. Cara lain adalah menyediakan kata sandi kepada mitra dagang yang memungkinkannya memasuki jaringan internal dari internet. Pendekatan ketiga adalah membangun dinding pelindung, atau firewall.

Firewall berfungsi sebagai peyaring dan penghalang yang membatasi aliran data ke dan dari perusahaan tersebut dan internet. Konsep di balik firewall adalah dibuatnya suatu pengaman untuk semua komputer pada jaringan perusahaan dan bukannya pengaman terpisah untuk masing-masing komputer. Beberapa perusahaan yang menawarkan peranti lunak antivirus (seperti McAfee di WWW.MCAFEE.COM dan WWW.NORTON.COM) sekarang memberikan peranti lunak firewall tanpa biaya ekstra dengan pembelian produk antivirus mereka.

Tiga jenis firewall adalah penyaring paket, tingkat sirkuit, dan tingkat aplikasi.

a.       Firewall Penyaring Paket

Router adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router diposisikan antara internet dan jaringan internal, router tersebut dapat berlaku sebagai firewall. Router itu dilengkapi dengan table dan alamat-alamat IP yang menggambarkan kebijakan penyaringan. Untuk masing-masing transmisi, router mengakses tabel-tabelnya dan memungkinkan bahwa beberapa jenis pesan dari beberapa lokasi internet (alamat IP) untuk lewat. Alamat IP (IP address) adalah serangkaian empat angka (masing-masing dari 0 ke 255) yang acara unik mengidentifikasi masing-masing komputer yang terhubung dengan internet. Salah satu keterbatasan router adalah router hanya merupakan titik tunggal keamanan, sehingga jika hacker dapat melampauinya perusahaan tersebut bisa, mendapatkan masalah “IP spoofing,” yaitu menipu tabel akses router, adalah salah satu metode yang digunakan pembajak untuk menipu router.

b.      Firewall Tingkat Sirkuit

Salah satu peningkatan keamanan dari router adalah firewall tingkat sirkuit yang terpasang antara internet dan jaringan perusahaan tapi lebih dekat dengan medium komunikasi (sirkuit) kepada router. Pendekatan ini memungkinkan tingkat otentikasi dan penyaringan yang tinggi, jauh lebih tinggi dibandingkan router. Namun, keterbatasan dari titik tunggal keamanan tetap berlaku.

c.       Firewall Tingkat Aplikasi

Firewall ini berlokasi antara router dan komputer yang menjalankan aplikasi tersebut. Kekuatan penuh pemeriksaan keamanan tambahan dapat dilakukan. Setelah permintaan diotentikasi sebagai permintaan yang berasal dari jaringan yang diotorisasi (tingkat sirkuit) dan dari komputer yang diotorisasi (penyaringan paket), aplikasi tersebut dapat meminta informasi otentikasi yang lebih jauh seperti menanyakan kata sandi sekunder, menginformasikan identitas, atau bahkan memeriksa apakah permintaan tersebut berlangsung selama jam-jam kerja biasa. Meskipun merupakan jenis firewall yang paling efektif, firewall jenis ini cenderung untuk mengurangi akses ke sumber daya. Masalah lain adalah seorang programer jaringan harus menulis kode program yang spesifik untuk masing-masing aplikasi dan mengubah kode tersebut ketika aplikasi ditambahkan, dihapus, atau di modifikasi.

c.       Pengendalian Kriptografis

Data dan informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan yang tidak terotorisasi dengan kriptografis, yaitu penggunaan kode yang menggunakan proses-proses matematika. Data dan informasi tersebut dapat dienkripsi dalam penyimpanan dan juga di transmisikan ke dalam jaringan. Jika seseorang yang tidak memiliki otorisasi memperoleh akses, enkripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa dan mencegah kesalahan penggunaan.

Popularitas kriptografi semakin meningkat karena e-commerce, dan produk khusus yang ditujukan untuk meningkatkan keamanan e-commerce telah dirancang. Salah satunya adalah SET (Secure Electronic Transactions), yang melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Tanda tangan ini dikeluarkan kepada orang-orang yang dapat berpartisipasi dalam transaksi e-commerce pelanggan, penjual, dan institusi keuangan. Dua tanda tangan biasanya digunakan menggantikan nomor kartu kredit.

Perhatian yang cukup besar akhir-akhir ini ditujukan pada enkripsi yang dilakukan pemerintah, yang mengkhawatirkan pengodean tersebut dapat digunakan untuk menutupi aktivitas kriminal dan terorisme. Beberapa pembatasan telah dikenakan pada penggunaan enkripsi. Saat ini, tidak terdapat pembatasan untuk impor peranti lunak enkripsi dari negara-negara asing, namun terdapat pembatasan pada ekspornya. Departemen Perdagangan Amerika Serikat menangani kebijakan Amerika Serikat dan melarang ekspor teknologi enkripsi ke Kuba, Iran, Irak, Libia, Korea Utara, Sudan, dan Suriah. Berbagai organisasi dan negara yang membela hak individu untuk menggunakan enkripsi menolak pembatasan.

Dengan meningkatnya popularitas e-commerce dan perkembangan teknologi enkripsi yang berkelanjutan, penggunannya diharapkan untuk meningkat di dalam batasan peraturan pemerintah.

d.      Pengendalian Fisik

Peringatan pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan komputer. Perkembangan seterusnya menghasilkan kunci-kunci yang lebih canggih yang dibuka dengan cetakan telapak tangan dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan. Perusahaan dapat melaksanakan pengendalian fisik hingga pada tahap tertinggi dengan cara menempatkan pusat komputernya di tempat terpencil yang jauh dari kota dan jauh dari wilayah yang sensitif terhadap bencana alam seperti gempa bumi, banjir dan badai.

·         Meletakkan Pengendalian Teknis pada Tempatnya

Anda dapat melihat dari daftar panjang pengendalian teknis ini (dan tidak semuanya dicantumkan), bahwa teknologi telah banyak digunakan untuk mengamankan informasi. Pengendalian teknis dikenal sebagai yang terbaik untuk keamanan. Perusahaan biasanya memilih dari daftar ini dan menerapkan kombinasi yang dianggap menawarkan pengaman yang paling realistis.

e.       Pengendalian Formal

Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunnya, mendokumentasikannya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang.

Terdapat persetujuan universal bahwa supaya pengendalian formal efektif, maka manajemen puncak harus berpartisipasi secara aktif dalam menentukan dan memberlakukannya.

f.       Pengendalian Informal

Pengendalian informal mencakup program-program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

·         Mencapai Tingkat Pengendalian Yang Tepat

Ketiga jenis pengendalian – teknis, formal, dan informal – mengharuskan biaya. Karena bukanlah merupakan praktik bisnis yang baik untuk menghabiskan lebih banyak uang pada pengendalian dibandingkan biaya yang diharapkan dari risiko yang akan terjadi, maka pengendalian harus ditetapkan pada tingkatan yang sesuai. Dengan demikian, keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus keuntungan, tapi dalam beberapa industri terdapat pula pertimbangan-pertimbangan lain. Misalnya, dalam dunia perbankan, ketika melakukan manajemen risiko untuk ATM, pengendalian harus membuat sistem aman tanpa mengurangi kenyamanan pelanggan. Selain itu, dalam pelayanan kesehatan, pertanyaan-pertanyaan mengenai kesehatan pasien dan hak untuk mendapatkan privasi harus dipertimbangkan. Sistem tersebut harus tidak dibuat terlalu aman sehingga mengurangi jumlah informasi pasien yang tersedia bagi rumah sakit dan dokter yang bertanggung jawab atas kesehatan pasien.

2.9  Dukungan Pemerintah dan Industri

Beberapa organisasi pemerintahan dan international telah menentukan standar-standar yang ditujukan untuk menjadi panduan bagi organisasi yang ingin mendapatkan keamanan informasi. Beberapa standar ini berbentuk tolok ukur, yang telah diidentifikasi sebelumnya sebagai penyedia strategi alternatif untuk manajemen risiko. Beberapa pihak penentu standar menggunakan istilah baseline (dasar) dan bukannya benchmark (tolok ukur). Organisasi tidak diwajibkan mengikuti standar ini. Namun standar ini ditujukan untuk memberikan bantuan kepada perusahaan dalam menentukan tingkat target keamanan. Berikut ini adalah beberapa contohnya:

·         BS7799 milik Inggris,

Standar Inggris menetukan satu set pengendalian dasar. Standar ini pertama kali dipublikasikan oleh Bristish Standars Institute pada tahun 1995, kemudian dipublikasikan oleh International Standars Organization sebagai ISO 17799 pada tahun 2000, dan dibuat tersedia bagi para pengadopsi potensial secara online pada tahun 2003

·         BSI IT Baseline Protection Manual

Pendekatan baseline ini juga diikuti oleh German Bundesamt Fur Sicherheit in der Informationstechnik (BSI). Baseline ini ditunjukan untuk memberikan keamanan yang cukup jika yang menjadi tujuan adalah kebutuhan proteksi normal. Baseline dapat juga digunakan sebagai landasan perlindungan dengan kadar yang lebih tinggi jika dibutuhkan.

·         COBIT

COBIT, dari Information System Audit and Control Association & Foundation (ISACAF), berfokus pada proses yang dapat diikuti perusahaan dalam menyusun standar, dengan berfokus pada penulisan dan pemeliharaan dokumentasi.

·         GASSP (Generally Accepted System Security Princples (GASSP)

Adalah produk dari dewan riset nasional Amerika Serikat. Penekanannya adalah pada alasan penentuan kebijakan keamanan.

·         ISF (Standard of Good Practice)

Dari information Security Forum mengambil pendekatan baseline, dengan memberikan perhatian yang cukup banyak pada perilaku pengguna yang diharapkan untuk kesuksesan program tersebut. Edisi 2005 berisi topik-topik seperti pesan instan (instant messaging) yang aman, keamanan server Web, dan perlindungan virus.

Tidak ada satu pun dari standar-standar ini yang menawarkan cakupan yang menyeluruh dari masalah ini. Namun, jika disatukan standar-standar tersebut menjadi dasar yang baik untuk diikuti perusahaan dalam menentukan kebijakan keamanan informasinya sendiri yang mendukung budaya organisasi tersebut.

1.      Peraturan Pemerintah

Pemerintah baik di Amerika Serikat maupun Inggris telah memastikan standar dan menetapkan peraturan yang ditujukan untuk menanggapi masalah pentingnya keamanan informasi yang makin meningkat, terutama setelah peristiwa 9/11 dan semakin meluasnya internet serta peluang terjadinya kejahatan komputer. Beberapa diantaranya adalah:

·         Standar Keamanan Komputer Pemerintah Amerika Serikat

Studi yang dilakukan oleh perusahaan riset Gartner memprediksi bahwa hingga 2005, 90 persen dari semua serangan keamanan komputer akan ditujukan pada kelemahan dimana ada perlindungan yang sudah dikenal. Pemerintah Amerika Serikat merespons dengan merancangkan program yang ditujukan untuk menerapkan perlindungan yang sudah dikenal ini. Program tersebut mencakup seperangkat standar keamanan yang harus dipenuhi oleh organisasi-organisasi yang berpartisipasi, ditambah tersedianya program peranti lunak yang menilai sistem para pengguna dan membantu mereka dalam mengonfigurasi sistem mereka untuk memenuhi standar. National Institute of Standarts and Technology (NIST) menyediakan kuesioner yang dapat diisi organisasi untuk mengevaluasi keamanan sistem informasinya. Dua sistem peranti lunak, ASSET - System dan ASSET – Manajer, menyediakan bantuan untuk mengisi kuesioner dan memeriksa status rencana keamanan perusahaan.

·         Undang-Undang Antiterorisme, Kejahatan, dan Keamanan Inggris (ATCSA) 2001.

Di negara Inggris, Parlemen telah memberlakukan Undang-Undang Antiterorisme, Kejahatan dan Keamanan (Anti Terrorism, Crime, and Security Act – ATCA) 2001. Undang-undang ini memiliki tiga pasal:

1.      ISP diharuskan untuk memelihara data mengenai semua kejadian komunikasi selama 1 tahun,

2.      Otoritas pajak pemerintah diberi wewenang untuk mengungkapkan informasi mengenai situasi keuangan seseorang atau organisasi kepada pihak berwajib yang sedang menyelidiki tindakan kriminal atau terorisme dan

3.      Kewajiban kerahasiaan dihilangkan untuk badan-badan umum meskipun hanya terdapat kecurigaan akan adanya tindakan terorisme yang akan terjadi. Sejak implemetasinya, undang-undang ini telah dikritik oleh kelompok hak asasi manusia seperti Amnesty International. Akan menarik untuk dilihat apakah kritik ini berlanjut setelah pengeboman kereta London tahun 2005

2.      Standar Industri

The Center for Internet Security (CIS) adalah organisasi nirlaba yang didedikasikan untuk membantu para pengguna komputer guna membuat sistem mereka lebih aman. Bantuan diberikan melalui dua produk – CIS Benchmarks dan CIS Scoring Tools. CIS Benchmarks membantu para pengguna untuk mengamankan sistem informasi mereka dengan cara menerapkan pengendalian khusus teknologi. CIS Scoring Tools memberi kemampuan bagi pengguna untuk menghitung tingkat keamanan, membandingkannya dengan tolok ukur, dan menyiapkan laporan yang mengarahkan pengguna dan administrator sistem untuk mengamankan sistem.

3.      Sertifikasi Profesional

Mulai tahun 1960-an, profesi TI mulai menawarkan program sertifikasi. Tiga contoh berikut mengilustrasikan cakupan dari program-program ini.

4.      Asosiasi Audit Sistem dan Pengendalian

Program sertifikasi keamanan yang pertama adalah Certified Information System Auditor, yang ditawarkan oleh Information System Audit and Control Association (ISACA). Kemudian ISACA memberikan gelar Certified Information Security Manager. Untuk mendapatkan sertifikasi ini, pendaftar harus mengikuti suatu ujian (yang ditawarkan untuk pertama kali pada Juni 2003), mengikuti kode etika, dan memberikan bukti pengalaman kerja dalam bidang keamanan informasi. Informasi mengenai ISACA dapat ditemukan di WWW.ISACA.ORG.

5.      Konsorsium Sertifikasi Keamanan Sistem Informasi International

The Certification Information System Security Professional (CISSP) ditawarkan oleh International Information System Security Certification Consortium (ISC). Sertifikasi CISSP memberikan bukti bahwa pemegangnya memiliki keahlian dalam keamanan informasi yang mencakup topik seperti pengendalian akses, kriptografi, arsitektur keamanan, keamanan internet, dan praktik manajemen keamanan. Sertifikasi didasarkan oleh kinerja pada ujian berisikan 250 pertanyaan pilihan berganda. Informasi lebih banyak dapat ditemukan di WWW.ISC2.ORG.

6.      Institut SANS

Institut SANS (SysAdmin, Audit, Network, Security) menawarkan sertifikasi melalui Global Information Assurance Certifiction Program miliknya, yang mencakup mata kuliah seperti Audit Keamanan IT dan Intisari Pengendalian serta Penulisan dan Pemeriksaan Kebijakan Keamanan. Informasi mengenai SANS dapat didapatkan dari WWW.SANS.ORG.

·         Meletakkan Manajemen Keamanan Informasi Pada Tempatnya

Perusahaan harus mencanangkan kebijakan manajemen keamanan informasi sebelum menempatkan pengendalian. Kebijakan ini dapat dibuat berdasarkan identifikasi ancaman dari risiko ataupun berdasarkan panduan yang diberikan oleh pemerintah dan asosiasi industri. Perusahaan harus mengimplementasikan gabungan dari pengendalian teknis formal dan informal yang diharapkan untuk menawarkan tingkat keamanan yang diinginkan pada batasan biaya yang telah ditentukan dan disesuaikan dengan pertimbangan lain yang membuat perusahaan dan sistemnya mampu berfungsi secara efektif.

2.10          Manajemen Keberlangsungan Bisnis

Aktivitas yang ditujukan untuk menentukan operasional setelah terjadi gangguan sistem informasi disebut dengan manajemen keberlangsungan bisnis (business continuity management – BCM). Pada tahun-tahun awal penggunaan komputer, aktivitas ini disebut perencanaan bencana (disaster planning), namun istilah yang lebih positif, perencanaan kontijensi (contingency plan), yang merupakan dokumen tertulis formal yang menyebutkan secara detail tindakan-tindakan yang harus dilakukan jika terjadi gangguan, atau ancaman gangguan pada operasi komputasi perusahaan.

Banyak perusahaan telah menemukan bahwa dibandingkan sekadar mengandalkan satu rencana kontijensi besar, pendekatan yang terbaik adalah merancang beberapa subrencana yang menjawab beberapa kontijensi yang spesifik. Subrencana yang umum mencakup rencana darurat, rencana cadangan dan rencana catatan penting.

a.       Rencana Darurat

Rencana darurat (emergency plan) menyebutkan cara-cara yang akan menjaga keamanan karyawan jika bencana terjadi. Cara-cara ini mencakup sistem alarm, prosedur evakuasi, dan sistem pemadaman api.

b.      Rencana Cadangan

Perusahaan harus mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang biasa hancur atau rusak sehingga tidak dapat digunakan. Pengaturan ini merupakan bagian dari rencana cadangan (backup plan). Cadangan dapat diperoleh melalui kombinasi redundasi, keberagaman dan mobilitas.

·         Redundansi

Peranti keras, peranti lunak, dan data diduplikasikan sehingga jika satu set tidak dapat dioperasikan set cadangannya dapat meneruskan proses.

·         Keberagaman

Sumber daya informasi tidak dipasang pada tempat yang sama. Perusahaan besar biasanya membuat pusat komputer yang terpisah untuk wilayah-wilayah operasi yang berbeda-beda.

·         Mobilitas

Perusahaan dapat membuat perjanjian dengan para pengguna peralatan yang sama sehingga masing-masing perusahaan dapat menyediakan cadangan kepada yang lain jika terjadi bencana besar. Pendekatan yang lebih detail adalah membuat kontrak dengan jasa pelayanan cadangan di hot site dan cold site. Hot site adalah fasilitas komputer lengkap yang disediakan oleh pemasok untuk pelanggannya untuk digunakan jika terdapat situasi darurat. Cold site hanya mencakup fasilitas bangunan, namun tidak mencakup fasilitas komputer. Perusahaan dapat mendapatkan cold site dari pemasok atau membangun fasilitasnya sendiri. Untuk pendekatan yang manapun, perusahaan tersebut harus menyediakan sumber daya komputernya. Penyedia hot site dan cold cite yang terbesar adalah IBM dan SunGard.

c.       Rencana Catatan Penting

Catatan penting (vital records) perusahaan adalah dokumen kertas, mikroform dan media penyimpanan optis dan magnetis yang penting untuk meneruskan bisnis perusahaan tersebut. Rencana catatan penting (vital records plan) menentukan cara bagaimana catatan penting tersebut harus dilindungi. Selain menjaga catatan tersebut di situs komputer, salinan cadangan harus disimpan di lokasi yang terpencil. Semua jenis catatan dapat secara fisik dipindahkan ke lokasi terpencil tersebut, namun catatan komputer dapat ditransmisikan secara elektronik.

·         Meletakkan Manajemen Keberlangsungan Bisnis Pada Tempatnya

Manajemen keberlangsungan bisnis merupakan salah satu bidang penggunaan komputer dimana kita dapat melihat perkembangan besar. Pada akhir 1980-an hanya beberapa perusahaan yang memiliki rencana seperti itu, dan perusahaan jarang mengujinya. Sejak itu, banyak upaya telah dilaksanakan untuk mengembangkan perencanaan kontijensi, dan banyak informasi serta bantuan telah tersedia. Tersedia pula rencana dalam paket sehingga perusahaan dapat mengadaptasinya ke dalam kebutuhan khususnya. Sistem Komputer TAMP memasarkan Sistem Pemulihan Bencana (Disaster Recovery System – DRS) yang mencakup sistem manajemen basis data, instruksi, dan perangkat yang dapat digunakan untuk mempersiapkan rencana pemulihan. Paduan dan garis besar tersedia bagi perusahaan untuk digunakan sebagai titik awal atau tolok ukur. Panduan untuk perencanaan kontijensi yang disiapkan oleh Departemen Sumber Daya Informasi Texas dapat diperoleh dari WWW.DIR.STATE.TX.US/SECURITY/CONTINUITY/INDEX.HTM.

BAB III

KASUS (CASE)

·         LAPORAN RAHASIA

Perusahaan Anda, Fair Heights, disewa oleh perusahaan lain untuk melakukan pemeriksaan latar belakang terhadap para eksekutif perusahaan. Para eksekutif ini biasanya adalah manajer senior perusahaan dengan jabatan wakil presiden atau lebih tinggi. Kebanyakan pemeriksaan ini dilakukan pada eksekutif yang sedang dipertimbangkan untuk menjabat suatu posisi, namun terkadang Anda juga melakukan pemeriksaan pada eksekutif yang sudah menjabat. Pengumpulan informasi ini bukanlah jasa utama yang disediakan oleh Fair Heights. Analisis informasi dan rekomendasi keamanan adalah layanan yang membuat perusahaan Anda unik.

Selama 10 tahun terakhir, Fair Heights selalu menyediakan laporan untuk kliennya secara pribadi atau dalam laporan tertulis yang dikirimkan oleh seorang kurir. Permintaan untuk membuat rekomendasi ini tersedia di internet semakin meningkat. Alasannya adalah kebayakan perusahaan ini adalah perusahaan multinasional dan mengumpulkan eksekutif-eksekutif utama untuk mempelajari laporan Fair Heights akan menjadi suatu hal yang sulit atau mahal untuk dilakukan. Pengaturan ini dapat menyebabkan penundaan, dan perusahaan-perusahaan tersebut menginginkan informasi penting ini dikirimkan secepat mungkin.

Pergantian ke laporan berbasis Web tidak dapat dicegah lagi. Tugas Anda adalah membuat laporan untuk komite perencanaan yang mengidentifikasi dan menjawab isu-isu penting.

·         PENUGASAN

1.      Anda menginginkan laporan Fair Heights agar bersifat rahasia, tersedia luas, dan memiliki integritas. Jelaskan bagaimana membuat laporan yang dapat diakses melalui Web akan mempengaruhi masing-masing sifat ini.

2.      Buatlah daftar yang menyebutkan berbagai ancaman eksternal dan ancaman internal terhadap keamanan laporan Fair Heights. Pastikan Anda menjawab baik masalah ancaman yang tidak disengaja maupun yang disengaja terhadap keamanan

3.      Buatlah sebuah laporan singkat tentang manajemen risiko (sekitar tiga paragraf) yang mengidentifikasi beberapa risiko dan mengklasifikasi dampak dari masing-masing risiko.

BAB IV

PEMBAHASAN KASUS (CASE)

Dari kasus pada BAB III dapat kami menjawab beberapa pertanyaan yang telah diberikan yaitu:

1.      Anda menginginkan laporan Fair Heights agar bersifat rahasia, tersedia luas, dan memiliki integritas. Jelaskan bagaimana membuat laporan yang dapat diakses melalui Web akan memengaruhi masing-masing sifat ini.

Jawab:

a.       Rahasia

Di dalam keamanan informasi yang bersifat kerahasiaan ini terdapat sistem informasi eksekutif, sistem informasi sumber daya, dan sistem pemrosesan transaksi.

·         Untuk sistem pemrosesan transaksi sendiri khususnya terdapat hal-hal amat penting bagi perusahaan. Hal-hal penting itu adalah penggajian, piutang dagang, pembelian, utang dagang, kas dan beberapa akun-akun penting serta jurnal-jurnal penting.

·         Untuk sistem pemrosesan sistem informasi sumber daya adanya sistem tunjangan karyawan, sistem merekrut karyawan, management angkatan kerja, perencanaan angkatan kerja dan pelaporan lingkungan.

·         Untuk sistem informasi eksekutif terdapat sistem informasi pemasaran, manufaktur, keuangan dan SDM. Dimana teknik-teknik pemasaran dan produksi serta laporan keuangan internal dan cara memanage SDM-SDM di dalam perusahaan

Dan juga Jika laporan ini dapat diakses Web secara terbuka, maka akan mempengaruhi sifat kerahasiaan informasi perusahaan. Sehingga dibutuhkan keamanan informasi dalam akses Webnya. Karena jika dapat diakses secara mudah tanpa adanya keamanan bisa jadi menjadi sasaran para hacker dalam membobol web mengenai perusahaan kita ini. Jadi kerahasiaan dalam hal ini kurang aman jika disediakan informasi secara terbuka di Web kecuali dalam mengaksesnya kita membuat pin ataupun daftar email yang memang dibatasi dalam mengakses perusahaan ini.

b.      Tersedia luas

Di dalam keamanan informasi yang bersifat ketersediaan ini mempunyai tujuan menyediakan data dan informasi bagi pihak-pihak yang memiliki wewenang dalam perusahaan. Jika laporan ini dapat diakses Web, maka akan mempengaruhi sifat ketersediaan informasi perusahaan, karena orang lain dapat mengetahui informasi pribadi pihak-pihak yang memiliki wewenang di dalam perusahaan tersebut. Sehingga melanggar batas ketersediaan data dan informasi yang seharusnya hanya diketahui pihak-pihak yang memiliki wewenang terkait.

c.       Integritas

Di dalam keamnan informasi yang bersifat integritas mempunyai tujuan memberikan representasi akurat atas sistem fisik. Jika laporan tentang sistem fisik perusahaan dapat diakses melalui Web, maka akan ada kemungkinan perusahaan lain meniru sistem fisik perusahaan tersebut. Kemungkinan terburuknya dapat mengakibatkan perusahaan tersebut mengalami kemunduran. Tidak hanya perusahaan lain meniru bahkan sistem-sistem tersebut dipakai oleh sejumlah perusahaan padahal ada beberapa membuat perusahaan ini berbeda dengan yang lain tetapi dimanfaatkan oleh orang lain.

2.      Buatlah daftar yang menyebutkan berbagai ancaman eksternal dan ancaman internal terhadap keamanan laporan Fair Heights. Pastikan Anda menjawab baik masalah ancaman yang tidak disengaja maupun yang disengaja terhadap keamanan.

Jawab:

a.       Ancaman eksternal

Laporan yang dapat diakses Web merupakan masalah ancaman yang disengaja, karena orang lain berusaha mencari tahu data dan informasi perusahaan dengan tujuan merusak atau menyebarluaskan kepada kalayak umum. Dengan dapat diakses Web sangatlah berbahaya jika data sampai tersebar luas maka data tersebut dapat dipakai dan direkayasa sehingga di dalam perusahaan sendiri juga menimbulkan banyak masalah-masalah lainnya. Belum lagi jika dapat diakses tanpa adanya keamanan yang bagus itu dapat membuat para-para oknum digunakan dengan tidak bijaksana. Apalagi perusahaan besar seperti dapat menjadi sasaran empuk bagi orang-orang yang tidak bertanggung jawab.

b.      Ancaman internal

Analisis informasi dan rekomendasi keamanan merupakan masalah ancaman yang tidak disengaja, karena tidak mungkin pihak-pihak yang memiliki wewenang dalam perusahaan sengaja salah menganalisis data dan informasi perusahaan tersebut dan tidak mungkin juga pihak-pihak wewenang terkait menyebarluaskan data dan informasi penting perusahaan kepada kalayak umum. Hal itu sama saja dengan merusak tujuan keamanan informasi yang bersifat kerahasiaan. Karena ketika seseorang telah bergabung di dalam perusahaan ini. Adalah orang yang terpilih dan harus menjaga rahasia daripada perusahaan karena dari awal telah dijelaskan dan diberitahu tentang kondisi dan juga situasi perusahaan sehingga karyawan yang masuk bergabung dengan perusahaan ini seharusnya sudah mengerti ada hal-hal yang harus dijaga dan tidak boleh disebarluaskan begitu saja. Dan jikalaupun sampai terjadi hal-hal demikian maka antara pihak perusahaan maupun pihak internal dari perusahaan memiliki konflik yang rumit sehingga pihak internal mampu melakukan hal demikian ataupun perusahaan tersebut melakukan hal-hal yang merusak atau tidak benar terhadap data ataupun dalam menjalankan perusahaan. Sehingga pihak internal nekad untuk membeberkan rahasia yang ada di dalam perusahaan.

3.      Buatlah sebuah laporan singkat tentang manajemen risiko (sekitar tiga paragraf) yang mengidentifikasi beberapa risiko dan mengklasifikasi dampak dari masing-masing risiko.

Jawab:

Manajemen risiko adalah salah satu cara untuk mencapai keamanan informasi. Manajemen risiko harus dipersiapkan secara maksimal, karena merupakan salah satu kunci keamanan informasi baik dari dalam maupun luar perusahaan. Jika tidak dipersiapkan secara maksimal, maka akan menimbulkan beberapa risiko.

     Dalam kasus ini ditemukan beberapa risiko, yaitu: penyediaan laporan tertulis yang dikirimkan oleh seorang kurir dan laporan yang dapat diakses Web.

     Dampak dari penyediaan laporan tertulis yang dikirimkan oleh seorang kurir adalah pencurian dan penyebaran data. Jika waktu pengiriman terlalu lama dapat menyebabkan pencurian data dan informasi perusahaan. Jika data sampai tersebar maka kerahasiaan data dari perusahaan dapat terbongkar dan hal tersebut sangatlah berbahaya. Sedangkan dampak dari laporan yang adapat diakses Web adalah pengguna yang tidak terotorisasi. Jika laporan dapat diakses Web memungkinkan adanya banyak hacker yang membobol data dan informasi penting perusahaan. Jika hal itu terjadi dapat menimbulkan banyak masalah dan terjadi kekacauan yang hebat seperti kasus-kasus belakangan ini yang terjadi pada tiket.com

BAB V

PENUTUP

5.1  Kesimpulan

Jadi, rumusan masalah harus dinyatakan dalam bentuk petanyaan bukan pernyataan. Perumusan masalah atau research questions atau disebut juga sebagai research problem, diartikan sebagai suatu rumusan yang mempertanyakan suatu fenomena, baik dalam kedudukannya sebagai fenomena mandiri, maupun dalam kedudukannya sebagai fenomena yang saling terkait di antara fenomena yang satu dengan yang lainnya, baik sebagai penyebab maupun sebagai akibat. Rumusan masalah itu merupakan suatu pertanyaan yang akan dicarikan jawabannya melalui pengumpulan data.

Tujuan penelitian merupakan rumusan kalimat yang menunjukkan adanya hasil, sesuatu yang diperolah setelah penelitian penelitian selesai, sesuatu yang  akan dicapai/dituju dalam sebuah penelitian. Rumusan tujuan mengungkapkan keinginan peniliti untuk memperoleh jawaban atas permasalahan penelitian yang diajukan.

Manfaat penelitian adalah aplikasi hasil penelitian, baik bagi lembaga-lembaga tertentu atau pun masyarakat. Oleh sebab itu dalam pendahuluan perlu dijelaskan manfaat apa yang dapat diambil dari hasil penelitian yang dilakukan.

5.2 Saran

Untuk menentukan tujuan dan manfaat penelitian sebaiknya dihubungkan dengan rumusan masalah yang ada supaya lebih mudah dalam menentukan manfaat dan tujuan yang ingin dicapai oleh peneliti. Referensi dari buku harusnya lebih dari satu jangan terpatok dengan satu buku saja.

DAFTAR PUSTAKA

McLeod, Jr., Raymond; Schell, George P. 2011. Sistem Informasi Managemen

(Terjemahan). Jakarta: Salemba Empat