BAB 9 KEAMANAN INFORMASI


BAB 9
KEAMANAN INFORMASI

RANGKUMAN

KEBUTUHAN ORGANISASI AKAN KEAMANAN DAN PENGENDALIAN
     Dalam dunia masa kini, banyak organisasi semakin sadar akan pentingnya menjaga seluruh sumber daya mereka, baik yang bersifat virtual maupun fisik, agar aman dari ancaman baik dalam dan luar.
     Pemerintah federal amerika serikat sekarang menerapkan pencegahan dan pengadilan yang serupa, melalui otoritas patriot Act (undang undang patriot) dan office of homeland security (dinas keamanan dalam negri).

KEAMANAN INFORMASI
Istilah Keamanan Informasi digunakan untuk mendeskripsikan perlindungan baik peralatan komputer maupun non-komputer, fasilitas, data, dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang. Peralatan ini mencakup seperti mesin fotokopi, mesin faks, serta semua jenis media, termasuk dokumen kertas.

Tujuan Keamanan Informasi
1.      Kerahasiaan, melindungi data dan informasi dari pengungkapan kepada orang-orang yang tidak berwenang.
2.      Ketersediaan, menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang untuk menggunakannya.
3.      Integritas, semua sistem informasi harus memberi representasi akurat atas sistem fisik yang direpresentasikannya.
Manajemen Keamanan Informasi
    Manajemen tidak hanya diharapkan untuk menjaga agar sumber daya informasi aman, namun juga diharapkan untuk menjaga perusahaan tersebut agar tetap berfungsi setelah suatu bencana atau jebol nya sistem keamanan. Aktivitas untuk menjaga agar sumber daya informasi tetap aman disebut manajemen kemanan informasi (information security management – ISM),
     CIO adalah orang yang tepat untuk memikul tanggung jawab atas keamanan informasi, namun kebanyakan organisasi mulai menunjuk orang orang tertentu yang dapat mencurahkan perhatian penuh terhadap aktivitas ini.

ANCAMAN
Ancaman Internal dan Eksternal
Ancaman Internal mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer, konsultan, kontraktor dan bahkan mitra bisnis. Diperkirakan menghasilkan kerusakan yang secara potensi lebih serius disbanding ancaman eksternal, karena pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut.
Tindakan Kecelakaan dan Disengaja
Banyak terjadi kerusakan karena kecelakaan, maka dari itu sistem keamanan juga harus mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan kecelakaan.

JENIS ANCAMAN
Malicious software atau malware terdiri dari program-program lengkap atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan fungsi-fungsi yang tidak diharapkan oleh pemilik sistem, serta dapat menghapus file atau menyebabkan sistem tersebut berhenti.
Terdapat beberapa jenis peranti lunak berbahaya:
1.      Virus adalah program komputer yang dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh pengguna dan menempelkan salinan dirinya pada program-program dan boot sector lain.
2.      Worm tidak dapat mereplikasi dirinya sendiri, tetapi dapat menyebarkan salinannya melalui e-mail.
3.      Trojan Horse, tidak dapat mereplikasi atau mendistribusikan dirinya; si pengguna menyebarkannya sebagai suatu perangkat. Pada saat perangkat tersebut digunakan, perangkat itu menghasilkan perubahan-perubahan yang tidak diinginkan dalam fungsionalitas sistem tersebut.
4.      Adware, memunculkan pesan-pesan iklan yang mengganggu.
5.      Spyware, mengumpulkan data dari mesin pengguna.

RISIKO
     Risiko keamanan informasi (information security risk) didefinisikan sebagai potensi output yang tidak diharapkan dari pelanggaran keamanan informasi oleh ancaman keamanan informasi. Semua risiko mewakili tindakan yang tidak terotorisasi. Risiko risiko seperti ini dibagi menjadi 4 jenis : pengungkapan informasi yang tidak terotorisasi dan pencurian, penggangguan yang tidak terotorisasi, penghancuran yang tidak terotorisasi dan penolakan layanan, serta modifikasi yang tidak terotorisasi.

PERSOALAN E-COMMERCE
     e-Commerce (perdagangan elektronik) telah memperkenalkan suatu permasalahan keamanan baru. Masalah ini bukanlah perlindungan data, informasi, dan peranti lunak, tapi perlindungan dari permalsuan kartu kredit.
MANAJEMEN RESIKO
Pendefinisian resiko ada 4 langkah:
1.      Identifikasi asset-aset bisnis yang harus dilindungi dari resiko.
2.      Menyadari resikonya.
3.      Menentukan tingkatan dampak pada perusahaan jika resiko benar-benar terjadi.
4.      Menganalisis kelemahan perusahaan tersebut.
Tingkat keparahan dampak dapat diklasifikasikan menjadi:
1.      Dampak yang Parah (serve impact).
2.      Dampak Signifikan (significant impact).
3.      Dampak Minor (minor impact).
Isi Laporan Resiko :
1.      Deskripsi Resiko
2.      Sumber Resiko
3.      Tingginya Tingkat Resiko
4.      Pengendalian yang Diterapkan pada Resiko
5.      (Para) Pemilik Resiko
6.      Tindakan yang Direkomendasikan Untuk Mengatasi Resiko
7.      Jangka Waktu yang Direkomendasikan Untuk Mengatasi Resiko
Jika perusahaan telah mengatasi resiko tersebut, laporan harus diselesaikan dengan cara menambahkan bagian akhir:
8.      Apa yang Telah Dilaksanakan Untuk Mengatasi Resiko


KEBIJAKAN KEAMANAN INFORMASI
     Dengan mengabaikan bahwa apakah perusahaan mengikuti strategi manajemen resiko atau kepatuhan terhadap tolak ukur maupun tidak, suatu kebijakan keamanan harus diterapkan untuk mengarahkan keseluruh program perusahaan dapat menerapkan kebijakan keamanan nya dengan mengikuti pendekatan yang bertahap.

PENGENDALIAN
     Pengendalian (control) adalah mekanisme yang diterapkan baik untuk melindungi perusahaan dari resiko atau untuk memiminimalkan dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi. Pengendalian dibagi menjadi 3 kategori : teknis, formal, dan informal.

PENGENDALIAN TEKNIS
     Pengendalian teknis (technical control) adalah pengendalian yang menjadi satu didalam sistem dan dibuat oleh para penyusun sistem selama masa siklus penyusunan sistem. Melibatkan seorang auditor internal didalam team proyek merupakan satu cara yang amat baik untuk menjaga agar mengendalian semacam ini menjadi bagian dari desain sistem. Kebanyakan
pengendalian keamanan dibuat berdasarkan teknologi peranti keras dan lunak.

PENGENDALIAN FORMAL
     Pengendalian formal mencakup penentuan cara berperilaku, dokumentasi prosedur dan praktik yang diharapkan, dan pengawasan serta pencegahan perilaku yang berbeda dari panduan yang berlaku. Pengendalian ini bersifat formal karena manajemen menghabiskan banyak waktu untuk menyusunya, mendokumentasikanya dalam bentuk tulisan, dan diharapkan untuk berlaku dalam jangka panjang.

PENGENDALIAN INFORMAL
     Pengendalian informal mencakup program program pelatihan dan edukasi serta program pembangunan manajemen. Pengendalian ini ditujukan untuk menjaga agar para karyawan perusahaan memahami serta mendukung program keamanan tersebut.

Tanya jawab

    1.      Terdapat 4 risiko yang sudah dijlaskan, lalu bagaimana cara menanggulangi risiko yang ada tersebut ?
Jawab :
Di dalam perusahaan yaitu bagian manajemen keamanan informasi selalu ada seorang CIAO yang merupakan direktur keamanan informasi yang bertugas untuk menjaga sistem informasi perusahaan agar tetap aman selain itu CIAO beserta unit lain harus siap mengahadpi atau menanggulangi risiko yang akan diterima oleh perusahaan. Selain itu tujuan dari kemanan informasi adalah integritas, kerahasiaan dan ketersediaan, dengan adanya hal tersebut maka risiko apapun akan bisa diatasi dan bisa terselesaikan deng CIAO yang dah ditetapkan oleh perusahan.
     2.      Apa perbedaan dari keamanan informasi dengan keamanan system ?
Keamanan sistem meliputi perlindungan peranti keras dan data, sedangkan kemanan informasi digunakan untuk  mendeskripsikan perlindungan peralatan computer maupun nonkomputer, fasilitas, data dan informasi dari penyalahgunaan pihak-pihak yang tidak berwenang.
     3.      Apa kelebihan dari pengendalian kriptografis ?
Kelebihan dari kriptogafis yaitu data dan informasi dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan, jika seseorangyang tidak memiliki otorisasi memperoleh akses, enskripsi tersebut akan membuat data dan informasi yang dimaksud tidak berarti apa-apa. Selain itu kelebihan dari kriptografis yaitu dalam pengendalian ini menggunakan kode yang melalui proses matematika, jadi untuk kerahasiaan ataupun keamanan kriptografis lebih baik dari yang lain.
      4.      Bagaimana cara mengatasi IP Spoofing ?
Memasang filter di router dengan memanfaatkan ingress dan engress filtering pada router merupakan langkah pertama dalam mempertahankan diri dari spoofing. Selain itu juga dapat memanfaatkan ACL (acces control list) untuk memblok alamat IP privat dalam jaringan untuk downstream. Selain itu cara lain yaitu dengan manambahkan bug pada system keamanan, karena dengan adanya bug sebanyak apapun hacker yang akan mengambil data maka akan terakses atau tersaring deng bug tersebut.

KESIMPULAN
Pada bab keamanan sistem ini dapat disimpulkan bahwa untuk menjaga keamanan sistem informasi perusahaan dibutuhkan ektra penuh pengendalian dan pencegahan. Diperlukan manajemen risiko dan manajemen keberlangsungan bisnis untuk mencegah risiko terjadinya ancaman dan untuk mengendalikan dan mengoperasikan bisnis dengan baik saat sesudah terlanjur terjadinya ancaman. Perusahaan juga harus sering memperbarui sistem informasinya agar terhindar dari pecurian dan agar perusahaan lebih efektif lagi dan lebih bisa untuk berkembang menjadi perusahaan yang integritas dan bisa bersaing secara kompetitif.

KOMENTAR

Perusahaan diharapkan bisa memperbaiki dan memperbarui sistem informasinya agar bisa lebih efektif, bisa bersaing secara kompetitif dan terdindar dari risiko ancaman virus. Perusahaan lebih baik mencari seorang pro IT dalam mengurus sistem informasinya secara penuh dan juga seorang pro tersebut harus bisa dipercaya untuk menjaga sistem informasi tersebut. Perusahaan harus lebih hati-hati lagi dalam mengelola sistem informasinya dan keamanan sistem informasinya.

Komentar

Posting Komentar

Postingan populer dari blog ini

BAB 2 : Sistem Informasi Untuk Keunggulan Kompetitif

Gambar
BAB 2 SISTEM INFORMASI UNTUK KEUNGGULAN KOMPETITIF Ø   Pada setiap perusahaan terdapat sistem informasi keunggulan kompetitif. Di dalam menentukan sistem informasi tersebut melalui beberapa tahapan antara lain : 1.       Perusahaan dan lingkunganya : pada setiap perusahaan dalam menganalisis lingkungan maka perusahaan besar harus mengetahui model sistem umum perusahaan, perusahaan didalam lingkungannya, aliran sumber daya lingkungan.   2.       Mengelola aliran sumber daya fisik – manajemen rantai pasokan : di dalam manajemen rantai pasokan perusahaan dapat melaksanakan aktivitas seperti meramalkan permintaan pelanggan, membuat jadwal produksi, transportasi dan aktivifitas dalam perusahaan lainnya. Dalam mengelola manajemen rantai pasokan bisa dengan mudah dilakukan dengan cara menggunakan sistem elektronik dan sistem perencanaan sumber daya usaha. 3.       Keunggulan kompetit...
Baca selengkapnya

BAB 8 INFORMASI DALAM PRAKTIK

BAB 8  INFORMASI DALAM PRAKTIK RINGKASAN INFORMASI SEBAGAI SALAH SATU FAKTOR PENTING PENENTU KEBERHASILAN                 Pada tahun 1961, D.Ronald Daniel dari McKinsey & Company, salah satu perusahaan konsulian terbesar di Amerika, memperkenalkan istilah critical success factor(CSF) atau faktor penting penentu keberhasilan. Ia mengungkapkan bahwa terdapat beberapa aktivitas penting yang akan menentukan keberhasilan atau kegagalan bagi semua jenis organisasi. Ketika manajemen sebuah perusahaan menjalankan konsep CSF mereka akan memusatkan perhatian pada pengedintifikasian CSF dan kemudian memonitor sampai seberapa jauh mereka telah mencapainya. SISTEM PEMROSESAN TRANSAKSI                 Istilah sistem pemrosesan transaksi digunakan untuk menjelaskan sistem informasi mengunpulkan data yang menguraikan ...
Baca selengkapnya