Nama : Nurmalia Safitri
NPM : 46213694
Kelas : 3DA01
Sistem Informasi
Manajemen #
Ringkasan Materi
Ke-3
BAB 9
KEAMANAN INFORMASI
KEAMANAN INFORMASI
Istilah Keamanan
Informasi digunakan untuk mendeskripsikan perlindungan baik peralatan komputer
maupun non-komputer, fasilitas, data, dan informasi dari penyalahgunaan
pihak-pihak yang tidak berwenang. Peralatan ini mencakup seperti mesin
fotokopi, mesin faks, serta semua jenis media, termasuk dokumen kertas.
Tujuan Keamanan Informasi
1.
Kerahasiaan,
melindungi data dan informasi dari pengungkapan kepada orang-orang yang tidak
berwenang.
2.
Ketersediaan,
menyediakan data dan informasi sedia bagi pihak-pihak yang memiliki wewenang
untuk menggunakannya.
3.
Integritas,
semua sistem informasi harus memberi representasi akurat atas sistem fisik yang
direpresentasikannya.
Manajemen Keamanan Informasi
Aktivitas untuk
menjaga agar sumber daya informasi tetap aman disebut manajemen keamanan informasi (information security management – ISM).
Aktivitas untuk menjaga agar perusahaan dan sumber daya informasinya tetap
berfungsi setelah adanya bencana disebut manajemen
keberlangsungan bisnis (business continuity management – BCM).
CIO adalah orang
yang tepat untuk memikul tanggungjawab atas keamanan informasi, namun
kebanyakan organisasi mulai menunjuk orang-orang tertentu yang dapat
mencurahkan perhatian penuh terhadap aktivitas ini. Jabatan direktur keamanan sistem informasi
perusahaan (corporate information system security Officer – CISSO)
digunakan untuk individu anggota dari unit sistem informasi, yang
bertanggungjawab atas keamanan sistem informasi perusahaan tersebut. untuk
mencapai tingkat informasi yang lebih tinggi lagi di dalam perusahaan dengan
cara menunjuk seorang direktur assurance
informasi perusahaan (corporate information assurance officer – CIAO).
KEAMANAN MANAJEMEN INFORMASI
Manajemen Resiko
dibuat untuk menggambarkan pendekatan ini di mana tingkat keamanan sumber daya
informasi perusahaan dibandingkan dengan resiko yang dihadapinya.
Terdapat pilihan
lain untuk merumuskan kebijakan keamanan informasi dengan tolak ukur (benchmark) adalah tingkat kinerja yang disarankan. Tolak ukur keamanan informasi (information
security benchmark) adalah tingkat keamanan yang disarankan yang dalam
keadaan normal harus menawarkan perlindungan yang cukup terhadap gangguan yang
tidak terotorisasi. Apabila perusahaan mengikuti pendekatan ini, maka disebut
dengan kepatuhan terhadap tolak ukur
(benchmark compliance).
ANCAMAN
Ancaman keamanan informasi (information
security threat) adalah
orang, organisasi, mekanisme, atau peristiwa yang memiliki potensi untuk
membahayakan sumber daya informasi perusahaan.
Ancaman dapat
bersifat:
Ancaman Internal dan Eksternal
Ancaman Internal
mencakup bukan hanya karyawan perusahaan, tetapi juga pekerja temporer,
konsultan, kontraktor dan bahkan mitra bisnis. Diperkirakan menghasilkan
kerusakan yang secara potensi lebih serius disbanding ancaman eksternal, karena
pengetahuan ancaman internal yang lebih mendalam akan sistem tersebut.
Tindakan Kecelakaan dan Disengaja
Banyak terjadi
kerusakan karena kecelakaan, maka dari itu sistem keamanan juga harus
mengeliminasi atau mengurangi kemungkinan terjadinya kerusakan yang disebabkan
kecelakaan.
JENIS ANCAMAN
Malicious
software atau malware terdiri dari program-program lengkap
atau segmen-segmen kode yang dapat menyerang suatu sistem dan melakukan
fungsi-fungsi yang tidak diharapkan oleh pemilik sistem, serta dapat menghapus file
atau menyebabkan sistem tersebut berhenti.
Terdapat beberapa jenis peranti lunak
berbahaya:
1.
Virus adalah program komputer yang
dapat mereplikasi dirinya sendiri tanpa dapat diamati oleh pengguna dan
menempelkan salinan dirinya pada program-program dan boot sector lain.
2.
Worm tidak dapat mereplikasi dirinya
sendiri, tetapi dapat menyebarkan salinannya melalui e-mail.
3.
Trojan Horse, tidak dapat mereplikasi
atau mendistribusikan dirinya; si pengguna menyebarkannya sebagai suatu
perangkat. Pada saat perangkat tersebut digunakan, perangkat itu menghasilkan
perubahan-perubahan yang tidak diinginkan dalam fungsionalitas sistem tersebut.
4.
Adware, memunculkan pesan-pesan iklan
yang mengganggu.
5.
Spyware, mengumpulkan data dari mesin
pengguna.
Program antispyware
sering kali menyerang cookie, yaitu
file teks kecil yang diletakkan perusahaan di Hard Drive pelanggan untuk untuk
mecatat minat belanja pelanggan mereka. Solusi yang paling efektif adalah
menghalangi antispyware untuk
menghapus cookies pihak pertama yang
disimpan perusahaan untuk para pelanggannya, tapi hanya menghapus cookies pihak ketiga yang diletakkan
oleh perusahaan lain.
Risiko
Risiko
keamanan informasi (information security risk)
adalah potensi output yang tidak diharapkan dari pelanggaran keamanan informasi
oleh ancaman keamanan informasi.
Pengungkapan
Informasi yang Tidak Terotorisasi dan Pencurian
1.
Penggunaan yang Tidak Terotorisasi
Terjadi ketika orang-orang yang biasanya tidak berhak menggunakan
sumber daya perusahaan mampu melakukan hal tersebut.
2.
Penghancuran yang Tidak Terotorisasi
dan Penolakan Layanan
Seseorang dapat merusak atau menghancurkan peranti lunak maupun
peranti keras, sehingga menyebabkan operasional komputer tidak berfungsi.
3.
Modifikasi yang Tidak Terotorisasi
Perubahan
dapat dilakukan pada data, informasi dan peranti lunak perusahaan dan tanpa
disadari menyebabkan para pengguna output sistem tersebut mengambil keputusan
yang salah.
PERSOALAN
E-COMMERCE
Menurut survei Gartner Group, pemalsuan kartu kredit 12 kali lebih sering terjadi
untuk para peritel e-commerce. Untuk itu, perusahaan-perusahaan kartu kredit
yang utama telah mengimplementasikan program yang ditujukan secara khusus untuk
keamanan kartu kredit e-commerce.
Kartu
Kredit “Sekali Pakai”
Berkerja dengan cara: saat pemegang kartu
ingin membeli sesuatu secara online, ia akan memperoleh angka yang acak dari
situs web perusahaan kartu kredit tersebut. Angka inilah, dan bukannya nomor
kartu kredit pelanggan tersebut, yang diberikan kepada pedagang e-commerce,
yang kemudian melaporkannya ke perusahaan kartu kredit untuk pembayaran.
Praktik
Keamanan yang Diwajibkan oleh Visa
Visa mengumumkan 10 praktik terkait keamanan
yang diharapkan perusahaan ini untuk diikuti oleh para peritelnya.
1.
Memasang dan memelihara firewall
2.
Memperbarui keamanan
3.
Melakukan enkripsi pada data yang
disimpan
4.
Melakukan enkripsi pada data yang
dikirim
5.
Menggunakan dan memperbarui peranti
lunak antivirus
6.
Membatasi akses data pada orang-orang
yang ingin tahu
7.
Memberikan ID unik kepada setiap orang
yang memiliki kemudahan mengakses data
8.
Memantau akses data dengan ID unik
9.
Tidak menggunakan kata sandi default
yang disediakan oleh vendor
10. Scara
teratur menguji sistem keamanan
Selain itu, Visa mengidentifikasi 3 praktik
umum yang harus diikuti oleh peritel dalam mendapatkan keamanan informasi untuk
semua aktivitas, bukan hanya yang berhubungan dengan e-commerce.
1.
Menyaring karyawan yang memiliki akses
terhadap data
2.
Tidak meninggalkan data (disket,
kertas, dll) atau komputer dalam keadaan tidak aman
3.
Menghancurkan data jika tidak
dibutuhkan lagi
MANAJEMEN
RESIKO
Pendefinisian resiko ada 4 langkah:
1.
Identifikasi asset-aset bisnis yang
harus dilindungi dari resiko
2.
Menyadari resikonya
3.
Menentukan tingkatan dampak pada
perusahaan jika resiko benar-benar terjadi
4.
Menganalisis kelemahan perusahaan
tersebut
Tingkat keparahan dampak dapat
diklasifikasikan menjadi:
1.
Dampak yang Parah (serve impact),
membuat perusahaan bangkrut atau sangat membatasi kemampuan perusahaan untuk
berfungsi.
2.
Dampak Signifikan (significant
impact), menyebabkan kerusakan dan biaya yang signifikan, tetapi perusahaan
tersebut akan selamat.
3.
Dampak Minor (minor impact),
menyebabkan kerusakan yang mirip dengan yang terjadi dalam operasional
sehari-hari.
Setelah analisis resiko diselesaikan, hasil
temuan sebaiknya didokumentasikan dalam laporan analisis resiko. Isi laporan
ini sebaiknya mencakup informasi berikut ini, mengenai tiap-tiap resiko:
1.
Deskripsi Resiko
2.
Sumber Resiko
3.
Tingginya Tingkat Resiko
4.
Pengendalian yang Diterapkan pada
Resiko
5.
(Para) Pemilik Resiko
6.
Tindakan yang Direkomendasikan Untuk
Mengatasi Resiko
7.
Jangka Waktu yang Direkomendasikan
Untuk Mengatasi Resiko
Jika perusahaan telah mengatasi resiko
tersebut, laporan harus diselesaikan dengan cara menambahkan bagian akhir:
8.
Apa yang Telah Dilaksanakan Untuk
Mengatasi Resiko
KEBIJAKAN
KEAMANAN INFORMASI
Kebijakan keamanan harus diterapkan untuk
mengarahkan keseluruhan program.
Ada 5 fase implementasi kebijakan keamanan.
1.
Fase I – Inisiasi Proyek. Tim yang
menyusun kebijakan keamanan dibentuk.
2.
Fase II – Penyusunan Kebijakan. Tim
proyek berkonsultasi dengan semua pihak yang berminta dan terpengaruh oleh
proyek ini untuk menentukan kebutuhan kebijakan baru tersebut.
3.
Fase III – Konsultasi dan Persetujuan.
Tim proyek berkonsultasi dengan manajemen
untuk memberitahukan semuanya sampai saat itu, serta untuk mendapatkan
pandangan mengenai berbagai persyaratan kebijakan.
4.
Fase IV – Kesadaran dan Edukasi.
Program pelatihan kesadaran dan edukasi kebijakan dilaksanakan dalam unit-unit
organisasi.
5.
Fase V – Penyebarluasan Kebijakan.
Kebijakan keamanan ini disebarluaskan ke seluruh unit organisasi di mana
kebijakan tersebut dapat diterapkan.
Kebijakan
Terpisah Dikembangkan Untuk:
1.
Keamanan sistem informasi
2.
Pengendalian akses sistem
3.
Keamanan personel
4.
Keamanan lingkungan dan fisik
5.
Keamanan komunikasi data
6.
Klasifikasi informasi
7.
Perencanaan kelangsungan usaha
8.
Akuntabilitas manajemen
Kebijakan ini
diberitahukan kepada karyawan sebaiknya dalam bentuk tulisan, dan melalui
program pelatihan dan edukasi. Setelah itu, pengendalian dapat
diimplementasikan.
PENGENDALIAN
Pengendalian (Control) adalah mekanisme yang
diterapkan baik untuk melindungi perusahaan dari resiko atau untuk meminimalkan
dampak resiko tersebut pada perusahaan jika resiko tersebut terjadi.
Pengendalian
dibagi menjadi 3 kategori:
1. PENGENDALIAN TEKNIS
Technical Control
adalah pengendalian yang menjadi satu di dalam
sistem dan dibuat oleh para penyusun sistem salama masa siklus penyusunan
sistem.
Pengendalian
Akses
Dasar untuk keamanan melawan ancama yang dilakukan oleh
orang-orang yang tidak diotorisasi adalah pengendalian akses. Dilakukan melalui
proses 3 tahap yang mencakup:
1.
Identifikasi Pengguna.
Mengidentifikasi diri mereka dengan cara memberikan sesuatu yang mereka
ketahui, misal kata sandi.
2.
Autentikasi Pengguna. Memverifikasi
hak akses dengan cara memberikan sesuatu yang mereka miliki, smartcard atau
tanda tertentu atau chip identifikasi.
3.
Otorisasi Pengguna. Dapat memperoleh
otorisasi untuk memasuki tingkat atau derajat penggunaan tertentu.
Identifikasi dan
Autentikasi memanfaatkan profil pengguna. Otorisasi memanfaatkan file
pengendalian akses.
Sistem Deteksi Gangguan
Mengenali upaya
pelanggaran keamanan sebelum memiliki kesempatan untuk melakukan perusakan.
salah satu contoh yang baik adalah peranti
lunak proteksi virus.
Firewall
Pendekatan ketiga
adalah membangun dinding pelindung. Firewall
berfungsi sebagai penyaring dan penghalang yang membatasi aliran data ke dan
dari perusahaan tersebut dan internet.
Tiga jenis firewall:
1. Firewall Penyaring Paket. Router
adalah alat jaringan yang mengarahkan aliran lalu lintas jaringan. Jika router
diposisikan antara Internet dan jaringan internal, router dapat berlaku sebagai
firewall.
2. Firewall Tingkat Sirkuit. Salah
satu peningkatan keamanan dari router adalah firewall tingkat sirkuit yang
terpasang antara Internet dan jaringan perusahaan, tapi lebih dekat dengan
medium komunikasi dan memungkinkan tingkat autentikasi dan penyaringan yang
tinggi, jauh lebih tinggi disbanding router.
3. Firewall Tingkat Aplikasi.
Firewall ini berlokasi antara router dan komputer yang menjalankan aplikasi.
PENGENDALIAN KRIPTOGRAFIS
Data dan
informasi yang tersimpan dan ditransmisikan dapat dilindungi dari pengungkapan
yang tidak terotorisasi dengan kriptografi, yaitu penggunaan kode yang
menggunakan proses-proses matematika. Data dan informasi tersebut dapat
dienkripsi dalam penyimpanan dan juga ditransmisikan ke dalam jaringan.
Pengendalian Fisik
Peringatan
pertama terhadap gangguan yang tidak terotorisasi adalah mengunci pintu ruangan
komputer. Kunci yang lebih canggih, yang dibuka dengan cetakan telapak tangan
dan cetakan suara, serta kamera pengintai dan alat penjaga keamanan.
2. PENGENDALIAN FORMAL
Mencakup penentuan cara berperilaku, dokumentasi prosedur dan
praktik yang diharapkan, dan pengawasan serat pencegahan perilaku yang berbeda
dari panduan yang berlaku.
3. PENGENDALIAN INFORMAL
Mencakup
program pelatihan dan edukasi serta program pembangunan manajemen.
MENCAPAI
TINGKAT PENGENDALIAN YANG TEPAT
Ketiga jenis pengendalian tersebut mengharuskan biaya. Dengan demikian,
keputusan untuk mengendalikan pada akhirnya dibuat berdasarkan biaya versus
keuntungan, tapi dalam beberapa industri terdapat pula
pertimbangan-pertimbangan lain.
DUKUNGAN
PEMERINTAH DAN INDUSTRI
Beberapa organisasi pemerintahan dan
internasional telah menentukan standar-standar yang ditujukan untuk menjadi
panduan bagi organisasi yang ingin mendapatkan keamanan informasi. Beberapa
pihak penentu standar menggunakan istilah Baseline
(dasar) dan bukannya benchmark.
Contoh:
1.
BS7799 milik Inggris. Standar Inggris
menentukan satu set pengendalian dasar.
2.
BSI IT Baseline Protection Manual. Ditujukan
untuk memberikan keamanan yang cukup jika yang menjadi tujuan adalah kebutuhan
proteksi normal .
3.
COBIT. Berfokus pada proses yang dapat
diikuti perusahaan dalam menyusun standar, pemeliharaan dokumentasi.
4.
GASSP. Penekanannya adalah pada alasan
penentuan kebijakan keamanan.
5.
ISF. Memberikan perhatian yang cukup
banyak pada perilaku pengguna yang
diharapkan untuk kesuksesan program tersebut.
STANDAR
INDUSTRI
The Center for Internet Security (CIS) adalah
organisasi nirlaba yang didedikasikan untuk membantu para pengguna komputer
guna membuat sistem mereka lebih aman, dalam 2 bentuk: CIS Benchmark (dengan
cara menerapkan pengendalian khusus teknologi) dan CIS Scoring Tools (untuk
menghitung tingkat keamanan, membandingkannya dengan tolak ukur, dan menyiapkan
laporan yang mengarahkan pengguna dan administrator sistem untuk mengamankan
sistem).
SERTIFIKASI
PROFESIONAL
Profesi TI menawarkan program sertifikasi.
Ada 3 contoh:
1. Asosiasi Audit Sistem dan Pengendalian
2. Konsorsium Sertifikasi Keamanan Sistem
Informasi Internasional
3. Institut SANS
MELETAKKAN
MANAJEMEN KEAMANAN INFORMASI PADA TEMPATNYA
Kebijakan ini dibuat berdasarkan identifikasi
ancaman dan resiko ataupun berdasarkan panduan yang diberikan oleh pemerintah
dan asosiasi industri.
MANAJEMEN
KEBERLANGSUNGAN BISNIS
Awal penggunaan komputer, aktivitas ini
disebut perencanaan bencana, namun
istilah yang lebih positif adalah perencanaan
kontijensi. Elemen penting dalam perencanaan kontijensi adalah rencana kontijensi, yang merupakan
dokumen tertulis formal yang menyebutkan secara detail tindakan-tindakan yang
harus dilakukan jika terjadi gangguan pada operasi komputasi. Terdapat
subrencana yang umum:
1.
Rencana Darurat. Menyebutkan cara-cara
yang akan menjaga keamanan karyawan jika bencana terjadi.
2.
Rencana Cadangan. Perusahaan harus
mengatur agar fasilitas komputer cadangan tersedia seandainya fasilitas yang
biasa hancur atau rusak sehingga tidak bisa digunakan.
Cadangan dapat diperoleh melalu:
·
Redundansi. Peranti keras, peranti
lunak, dan data diduplikasi.
·
Keberagaman. Sumber daya informasi
tidak dipasang di tempat yang sama.
·
Mobilitas. Membuat perjanjian dengan
para pengguna peralatan yang sama sehingga masing-masing perusahaan dapat
menyediakan cadangan kepada yang lain jika terjadi bencana besar.
3.
Rencana Catatan Penting
Adalah
dokumen kertas, microform dan media penyimpanan optis dan magnetis yang penting
untuk meneruskan bisnis perusahaan. Rencana
catatan penting menentukan bagaimana catatan penting tersebut harus
dilindungi.
MELETAKKAN
MANAJEMEN KEBERLANGSUNGAN BISNIS PADA TEMPATNYA
Merupakan salah satu bidang penggunaan
komputer di mana kita dapat melihat perkembangan besar.
Tidak ada komentar:
Posting Komentar