P. 1
Keamanan Sistem Informasi

Keamanan Sistem Informasi

|Views: 99|Likes:

More info:

Published by: Yudi 'Goemon' Prabowo on Mar 21, 2013
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as PDF, TXT or read online from Scribd
See more
See less

09/28/2013

pdf

text

original

Keamanan Sistem Informasi

Keamanan Sistem Informasi
• Tujuan Keamanan Informasi
Untuk mencapai tiga tujuan utama: kerahasiaan, ketersediaaan, dan integrasi. – Kerahasiaan. Untuk melindungi data dan informasi dari penggunaan yang tidak semestinya oleh orang-orang yang tidak memiliki otoritas. Sistem informasi eksekutif, sumber daya manusia, dan sistem pengolahan transaksi, adalah sistem-sistem yang terutama harus mendapat perhatian dalam keamanan informasi. – Ketersediaan. Supaya data dan informasi perusahaan tersedia bagi pihak-pihak yang memiliki otoritas untuk menggunakannya. – Integritas. Seluruh sistem informasi harus memberikan atau menyediakan gambaran yang akurat mengenai sistem fisik yang mereka wakili.

. atau bagian penjamin informasi perusahaan (corporate information assurance officer-CIAO). disebut dengan Manajemen Kelangsungan Bisnis (business continuity management-BCM). – CIO (chief information officer) akan menunjuk sekelompok khusus pegawai sebagai bagian keamanan sistem informasi perusahaan. (corporate information systems security officer-CISSO). disebut dengan Manajemen Pengamanan Informasi (information security management-ISM) • memelihara fungsi-fungsi perusahaan setelah terjadi bencana atau pelanggaran keamanan.Keamanan Sistem Informasi • Dasar-dasar Keamanan Informasi – Tujuan: • menjaga keamanan sumber-sumber informasi .

yaitu standar keamanan informasi atau benchmark. dan • melaksanakan pengawasan terhadap hal-hal yang berhubungan dengan risiko keamanan informasi. – Terdapat pilihan lain.Keamanan Sistem Informasi • Manajemen Keamanan Informasi – Manajemen keamanan informasi terdiri dari 4 tahap yaitu: • mengidentifikasi ancaman yang dapat menyerang sumber informasi perusahaan. Benchmark menunjukkan model keamanan yang dianggap dan diyakini pemerintah dan asosiasi sebagai program keamanan informasi yang baik. • menetapkan kebijakan-kebijakan keamanan informasi. . Istilah manajemen risiko (risk management) dibuat untuk menggambarkan pendekatan secara mendasar terhadap risiko keamanan yang dihadapi oleh sumber-sumber informasi perusahaan. • mengidentifikasi risiko yang mungkin ditimbulkan oleh ancaman tersebut. – Ancaman dapat menimbulkan risiko yang harus dikontrol.

organisasi. Ancaman dapat juga terjadi secara sengaja atau tidak sengaja. mekanisme. atau kejadian yang memiliki potensi untuk menyebabkan kerusakan pada sumber-sumber informasi perusahaan. . yaitu berasal dari dalam perusahaan. – Pada kenyataannya. ancaman dapat bersifat internal.Keamanan Sistem Informasi • Ancaman – Ancaman terhadap keamanan informasi berasal dari individu. maupun eksternal atau berasal dari luar perusahaan.

– Ancaman dari dalam perusahaan mempunyai bahaya yang lebih serius dibandingkan yang dari luar perusahaan. konsultan. dan rekan bisnis perusahaan – Survey menemukan 49% kejadian yang membahayakan keamanan informasi dilakukan pengguna yang sah dan diperkirakan 81 % kejahatan komputer dilakukan oleh pegawai perusahaan. . • Ketidaksengajaan dan Kesengajaan – Tidak semua ancaman berasal dari perbuatan yang disengaja – Banyak diantaranya karena ketidaksengajaan atau kebetulan. pegawai sementara. baik yang berasal dari orang di dalam maupun luar perusahaan. – Kontrol untuk menghadapi ancaman internal dibuat untuk memprediksi gangguan keamanan yang mungkin terjadi.Keamanan Sistem Informasi • Ancaman Internal dan Eksternal – Ancaman bersifat internal berasal dari para pegawai tetap. – Kontrol untuk menghadapi ancaman eksternal baru mulai bekerja jika serangan terhadap keamanan terdeteksi. karena kelompok internal memiliki pengetahuan yang lebih mengenai sistem di dalam perusahaan. kontraktor.

. – Aktivitas-aktivitas tersebut adalah: 1. 3. penggunaan secara tidak sah.Keamanan Sistem Informasi • Resiko – Resiko keamanan informasi adalah hasil yang tidak diinginkan akibat terjadinya ancaman dan gangguan terhadap keamanan informasi. 4. pengungkapan dan pencurian informasi. 2. pengrusakan dan penolakan dan modifikasi yang tidak dibenarkan. – Semua risiko mewakili aktivitas-aktivitas yang tidak sah atau di luar dari yang diperbolehkan perusahaan.

Keamanan Sistem Informasi • Resiko 1. biasa disebut hacker. Penggunaan Secara Tidak Sah Penggunaan secara tidak sah terjadi ketika sumber daya perusahaan dapat digunakan oleh orang yang tidak berhak menggunakannya. . mata-mata industri dapat memperoleh informasi kompetitif yang berharga dan penjahat komputer dapat menggelapkan dana perusahaan. seorang hacker dapat memperoleh akses terhadap sistem telepon dan melakukan hubungan telepon interlokal secara tidak sah. Misalnya. Misalnya. Pengungkapan dan Pencurian Ketika database dan perpustakaan perangkat lunak dapat diakses oleh orang yang tidak berhak. 2.

informasi. Modifikasi Secara Tidak Sah Perubahan dapat dibuat pada data-data perusahaan.Keamanan Sistem Informasi • Resiko 3. seperti kerusakan pada layar monitor. Beberapa perubahan tidak dapat dikenali sehingga menyebabkan pengguna yang ada di output system menerima informasi yang salah dan membuat keputusan yang salah. dan tidak berfungsinya keyboard. dan perangkat lunak. . 4. biasanya dikelompokkan sebagai virus. Pengrusakan Secara Tidak Sah dan Penolakan Pelayanan Penjahat komputer dapat masuk ke dalam jaringan komputer dari komputer yang berada jauh dari lokasi dan menyebabkan kerusakan fisik. kemacetan pada printer. Tipe modifikasi yang paling dikhawatirkan adalah modifikasi disebabkan oleh perangkat lunak yang menyebabkan kerusakan. kerusakan pada disket.

Penyebaran dilakukan oleh pengguna secara tidak disengaja. di antaranya worm dan Trojan horses. . – Virus merupakan program komputer yang memperbanyak diri sendiri dan menyimpan salinannya secara otomatis pada program lainnya dan boot sectors. terdiri dari program atau segmen kode yang menyerang sistem dan melakukan fungsi perusakan.Keamanan Sistem Informasi • Ancaman Paling Terkenal – Virus – Dalam dunia komputer dikenal jenis perangkat lunak yang disebut "perangkat lunak perusak" (malacious software atau malware). Terdapat banyak jenis perangkat lunak perusak selain virus. – Worm tidak memperbanyak diri sendiri. tetapi mengirim salinannya dengan menggunakan e-mail – Trojan horses juga tidak memperbanyak diri.

Keamanan Sistem Informasi • Manajemen Resiko – Di awal bab. yaitu penentuan dampak dari risiko dan analisis kelemahan perusahaan. Kenali resiko 3. 2. – Ada empat langkah yang diambil dalam mendefmisikan risiko. Identifikasi aset-aset bisnis yang harus dilindungi dari resiko. . Analisis kelemahan-kelemahan perusahaan – Suatu pendekatan yang sistematik dapat diambil terhadap langkah 3 dan 4. yaitu: 1. 4. Tentukan tingkat-tingkat dari dampak yang ditimbulkan risiko pada perusahaan. kita telah mengidentifikasi manajemen risiko sebagai satu dari dua strategi untuk mendapatkan keamanan informasi.

• Jika tingkat kelemahan tinggi. . • Jika tingkat kelemahan sedang. maka kontrol yang ada harus dipertahankan. – Untuk dampak yang parah maupun yang signifikan. perlu dilakukan analisis kelemahan perusahaan. dampak signifikan dan dampak minor. kontrol dapat diimplementasikan • Jika tingkat kelemahan rendah.Keamanan Sistem Informasi • Manajemen Resiko – Tingkat kerusakan yang ditimbulkan risiko dapat diklasifikasikan menjadi dampak parah. kontrol harus diimplementasikan untuk menghapuskan atau menguranginya.

6. 2. Deskripsi risiko Sumberrisiko Tingkat kekuatan risiko Kontrol yang diterapkan terhadap risiko Pemilik risiko Tindakan yang direkomendasikan ntuk menangani risiko Batasan waktu yang direkomendasikan untuk menangani risiko. . 5. 7. hal-hal yang ditemukan dalam analisis harus didokumentasikan dalam laporan. 4. 8.Keamanan Sistem Informasi • Manajemen Resiko – Untuk melengkapi analisis risiko. Apa yang telah dilakukan untuk mengurangi risiko tersebut. 3. Untuk setiap risiko. isi laporan berisi informasi sbb: 1.

Pelatihan kewaspadaan dan program pendidikan kebijakan di unit organisasi.Keamanan Sistem Informasi • Kebijakan Informasi Keamanan – Kebijakan keamanan harus diimplementasikan untuk mengarahkan keseluruh program. sbb: • Fase 1-Inisiasi proyek. • Fase 5-Penyebarluasan Kebijakan. Kebijakan keamanan disebarluaskan dimana kebijakan tersebut diterapkan. • Fase 3-Konsultasi dan Persetujuan. . • Fase 2-Kebijakan Pengembangan.Tim proyek berkonsultasi dalam menentukan persyaratan-persyaratan yang diperlukan. Pembentukan Tim yang akan bertugas untuk mengembangkan kebijakan keamanan. Tim proyek berkonsultasi dan menginformasikan hasil temuan kepada para manajer. • Fase 4-Kewaspadaan dan Pendidikan.

5. Sebagian besar kontrol keamanan berdasarkan pada teknologi perangkat keras dan perangkat lunak. 2. 3. 4. Auditor internal dalam tim proyek harus memasikan bahwa kontrol telah disertakan sebagai bagian dari perancangan sistem.Keamanan Sistem Informasi • Kontrol Teknis – Kontrol teknis adalah kontrol yang dibangun di dalam sistem oleh pengembang selama siklus hidup pengembangan sistem. Kontrol terhadap akses Sistem deteksi gangguan Firewalls Kontrol kriptografi Kontrol fisik . Kontrol yang biasa dipakai saat ini adalah sebagai berikut: 1.

Kontrol Terhadap Akses Landasan keamanan untuk melawan ancaman yang timbul dari orang-orang yang tidak berwenang adalah kontrol terhadap akses.Keamanan Sistem Informasi • Kontrol Teknis 1. chip identifikasi. Pengenalan otomatis pengguna Para pengguna mengidentifikasi diri mereka meng gunakan sesuatu yang mereka kenali sebelumnya. misalnya password. Kontrol terhadap akses dilakukan melalui tiga tahap. sbb: 1. 2. 3. pengguna akan memverifikasi hak mereka terhadap akses menggunakan fasilitas seperti kartu cerdas (smart card). dll. Pengesahan otomatis pengguna Bila proses identifikasi dan verifikasi telah selesai pengguna akan diberi otorisasi untuk melakukan akses dengan tingkat-tingkat penggunaan tertentu. . Pembuktian otomatis pengguna proses identifikasi telah dilakukan.

. akses terhadap data-data penting.Keamanan Sistem Informasi • Kontrol Teknis 2. Contohnya adalah perangkat lunak proteksi virus (virus protection software). – Contoh yang lain tentang deteksi terhadap gangguan adalah perangkat lunak yang diarahkan untuk mengidentifikasi pengganggu potensial sebelum penggangu tersebut memiliki kesempatan untuk menimbulkan kerusakan. Alat untuk memprediksi ancaman dari dalam perusahaaan telah dikembangkan dengan mempertimbangkan berbagai karakteristik. file yang dimiliki dan pemakaian protokol-protokol jaringan tertentu. Sistem Deteksi Gangguan – Logika dasar dari sistem deteksi gangguan adalah bagaimana mengenali potensi pengganggu keamanan sebelum sebelum usaha tersebut menjadi nyata dan menimbulkan kerusakan. seperti posisi pegawai di perusahaan. jenis aplikasi yang digunakan. kemampuan untuk mengubah komponen perangkat keras.

Dengan cara ini. . Firewalls – Firewall bertindak sebagai suatu saringan dan penghalang yang membatasi aliran data dari internet masuk dan keluar perusahaan. Kelemahan router adalah bahwa router ini merupakan satu-satunya titik yang digunakan untuk menjaga keamanan. Satu tingkat diatas router adalah circuit-level firewall atau firewall tingkat sirkuit yang di-install antara Internet dan jaringan perusahaan. Firewall tingkat aplikasi ini ditempatkan antara router dan komputer yang melakukan aplikasi. Ada tiga jenis firewall.Keamanan Sistem Informasi • Kontrol Teknis 3. – PACKET-FILTERING FIREWALL. circuit-level. tetap firewall ini cenderung mengurangi akses terhadap sumber daya dan merepotkan programer. Konsep yang menjadi latar belakang firewall adalah membangun satu pengaman untuk seluruh komputer yang ada di jaringan perusahaan. yaitu packet-filtering. Firewall aplikasi adalah firewall yang paling efektif. dan aplication level. pemeriksaan keamanan secara penuh dapat dilakukan. – APPLICATION-LEVEL FIREWALL. Firewall penyaring adalah Satu perangkat yang biasanya disertakan ke dalam jaringan adalah router. – CIRCUIT-LEVEL FIREWALL. tetapi tetap memiliki kelemahan sebagai sistem keamanan yang berpusat pada satu titik.

Kriptografi adalah penyusunan dan penggunaan kode dengan proses-proses matematika. – Dengan meningkatnya popularitas e-commerce dan pengembangan teknologi enkripsi yang berkesinambungan. – Kriptografi meningkat popularitasnya sejalan dengan perkembangan penggunaan ecommerce. Kontrol Kriptografi (Cryptographic Control) – Penyimpanan dan transmisi data dapat dilindungi dari pemakaian secara ilegal melalui kriptografi. sehingga pemakai ilegal hanya akan mendapatkan data berbentuk kode yang tidak dapat dibaca. Salah satunya adalah SET (Secure Electronic Transactions/Pengaman Transaksi Elektronik) yang melakukan pemeriksaan keamanan menggunakan tanda tangan digital. Penggunaan tanda tangan rangkap ini lebih efektif dibandingkan dengan penggunaan nomor seri seperti yang terdapat pada kartu kredit. penggunaan enkripsi diperkirakan akan meningkat walaupun ada pembatasan-pembatasan yang dilakukan pemerintah. dan protokol khusus yang ditujukan untuk aplikasi kriptografi telah dikembangkan.Keamanan Sistem Informasi • Kontrol Teknis 4. .

Kontrol Fisik – Langkah pencegahan pertama terhadap gangguan ilegal dari luar adalah mengunci pintu ruang komputer. banjir. – Perusahaan dapat meminimalisasi pengawasan fisik dengan menempatkan pusat komputernya di lokasi yang jauh dari kota besar dan pemukiman penduduk dan jauh dari daerah yang rawan terhadap bencana alam seperti gempa bumi. yang hanya dapat dibuka dengan sidik jari dan pengenalan suara. – Selanjutnya pengawasan menggunakan kamera dan menempatkan petugas keamanan. – Pencegahan selanjutnya yaitu menggunakan kunci yang lebih canggih. dan badai .Keamanan Sistem Informasi • Kontrol Teknis 5.

dokumentasi prosedur dan penerapannya. – Ada kesepakatan universal bahwa jika kontrol formal ingin lebih efektif. .Keamanan Sistem Informasi • Kontrol Formal – Kontrol formal meliputi penetapan kode. – Kontrol bersifat formal artinya manajemen perusahaan menyediakan waktu tertentu untuk melaksanakannya. maka manajemen tingkat atas harus mengambil peran aktif dalam penetapan dan penerapannya. hasilnya didokumentasikan secara tertulis dan dalam jangka waktu panjang kontrol ini menjadi salah satu inventaris perusahaan yang berharga. serta monitoring dan pencegahan perilaku yang menyimpang dari peraruran-peraturan yang telah ditetapkan.

mengadakan program pendidikan dan pelatihan serta program pengembangan manajemen. . memastikan bahwa para pegawai memahami misi dan tujuan perusahaan.Keamanan Sistem Informasi • Kontrol Informal – Pengawasan informal meliputi aktivitas-aktivitas seperti menanamkan etika kepercayaan perusahaan terhadap pegawainya. – Kontrol ini ditujukan untuk memastikan bahwa pegawai perusahaan memahami dan mendukung program keamanan tersebut.

– Pemerintah tidak mengharuskan perusahaan dan organisasi mengikuti standar.Keamanan Sistem Informasi • Bantuan Pemerintah dan Industri – Beberapa dari standar berbentuk benchmark sebagai salah satu strategi dalam manajemen risiko. GASSP adalah singkatan dari Generally Accepted System Security Principles. GMITS atau The Guidelines for the Management of IT Security. • GMITS. Kontrol COBIT dikeluarkan oleh ISACAF (Information Systems Audit and Control Association & Foundation). tapi lebih cenderung menyediakan bantuan dan arahan bila perusahaan akan menentukan tingkat keamanan yang ingin dicapai. Beberapa contoh standar adalah sebagai berikut: • United Kingdom's BS 7799. pendekatan baseline diikuti juga oleh German Bundesamt Fur Sicherheit in der Information technik (BSI). • COBIT. Dibuat oleh Lembaga Penelitian Nasional Amerika Serikat. Produk dari Joint Technical Committee dari ISO (International Standards Organization). Standar yang dikeluarkan oleh negara Inggris • BSI IT Baseline Protection Manual. Ada juga standar yang menggunakan istilah baseline. The Information Security Forum Standard of Good Practice . • ISF Standard of Good Practise. • GASSP.

Keamanan Sistem Informasi • Manajemen Keberlangsungan Bisnis (BCM) – Aktivitas yang dilakukan untuk melanjutkan operasional perusahaan setelah terjadinya gangguan dan bencana terhadap sistem informasi disebut Manajemen Keberlangsungan Bisnis (Business Continuity Manajemen-BCM). . rencana pencatatan kejadian-kejadian penting. Istilah ini diperhalus menjadi contingency planning atau perencanaan terhadap hal-hal di luar dugaan dan perkiraan. lebih baik dibandingkan dengan pendekatan contingency planning yang bersifat menyeluruh. – Awalnya aktivitas ini disebut sebagai disaster planning atau perencanan ketika terjadi bencana. rencana darurat. 2. – Perusahaan telah menemukan bahwa pendekatan dengan cara memilah dan mengembangkan rencana menjadi sub-rencana dimana setiap sub-rencana diarahkan pada satu topik tertentu. Yang termasuk sub-rencana rencana di antaranya: 1. dan 3.. rencana back up.

Apa perbedaan antara manajemen risiko dengan pelaksanaan benchmark ? 5. Risiko jenis apa yang menjadi perhatian dalam sistem e-commercel 6. Apa saja kedua upaya tersebut ? 4. Sebutkan tiga tujuan keamanan informasi? 3. Apa perbedaan antara kontrol formal dan kontrol informal? 9. Perencanaan apa saja yang termasuk kedalam contingency planning? . Apa yang membedakan antara bank dan organisasi pelayanan kesehatan dalam cara mereka menentukan tingkat keamanan yang tepat? 10. Apakah yang termasuk dalam keamanan informasi tetapi tidak termasuk dalam keamanan sistem? 2. Apa peranan ISP dalam sistem keamanan informasi melawan kejahatan komputer dan terorisme? 11. Apa keistimewaan dari kriptografi? 8.Keamanan Sistem Informasi Pertanyaan 1. Keamanan informasi dibagi dalam dua upaya yang terpisah. Jenis ancaman apa yang dapat ditangani oleh firewall? 7.

Keamanan Sistem Informasi • Topik Diskusi 1. Baca artikel tentang anti-virus dan tulis memo pada pimpinan Anda. Mengapa kontrol yang ditujukan pada ancaman internal lebih menekankan pada pendeteksian gangguan? 3. Memo berisi laporan mengenai kondisi perusahaan dan permintaan untuk implementasi perangkat-perangkat lunak yang diperlukan. Apa yang dimaksud dengan "memiliki" sebuah risiko? Siapa yang menjadi contoh pemilik? 4. Mengapa keamanan informasi tidak bisa hanya mengandalkan pada kriptografi. Dapatkah kebijakan ditetapkan sebelum mendefinisikan risiko dan ancaman? Mengapa? 2. Outline laporan yang akan disiapkan pada akhir analisis risiko menyebutkan tentang "pemilik risiko". Anda menemukan bahwa perusahaan tersebut tidak dilengkapi denganperangkat lunak anti virus. . sehingga tidak perlu menghadapi masalah pembatasan akses ? • Permasalahan Asumsikan bahwa Anda adalah pegawai sistem keamanan informasi perusahaan yang disewa oleh perusahaan kecil Midwest manufacturing.

You're Reading a Free Preview

Download
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->